EscapeHtmlReference的escape方法调用以下方法实现:
StringEscapeUtils.escapeHtml(param);  再调用
org.apache.commons.lang.Entities.HTML40.escape(writer, string);
代码如下:
public void escape(Writer writer, String str) throws IOException {
    int len = str.length();

    for(int i = 0; i < len; ++i) {
        char c = str.charAt(i);
        String entityName = this.entityName(c);
        if(entityName == null) {
            if(c > 127) {
                writer.write("&#");
                writer.write(Integer.toString(c, 10));
                writer.write(59);   //就是个分号
            } else {
                writer.write(c);
            }
        } else {
            writer.write(38);
            writer.write(entityName);
            writer.write(59);
        }
    }

}

我们也可以自己调用
StringEscapeUtils.escapeHtml(param);
比如:
String param = request.getParameter("p");
String x = StringEscapeUtils.escapeHtml(param);
System.out.println(x);

输入 <script>alert(/xxx/)</script>  输出 &lt;script&gt;alert(/xxx/)&lt;/script&gt;

velocity 也可以自定义 EventHandler 处理xss,配置EscapeHtmlReference 替换成自己的EventHandler 
<bean id="velocityConfigurer"
      class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">
    <property name="resourceLoaderPath" value="/WEB-INF/pages/"/>
    <property name="velocityProperties">
        <props>
            <prop key="input.encoding">utf-8</prop>
            <prop key="output.encoding">utf-8</prop>
            <prop key="eventhandler.referenceinsertion.class">org.apache.velocity.app.event.implement.EscapeHtmlReference</prop>
            <prop key="eventhandler.escape.html.match">/^(?!\$\!?unesc_).*/</prop>
        </props>
    </property>
</bean>
												


											
velocity 的 escape实现的更多相关文章
	

    
								
  1. maven+springmvc+spring+mybatis+velocity整合
		
      一.ssmm简介 ssmm是当下企业最常用的开发框架架构 maven:管理项目jar包,构建项目 spring:IOC容器,事务管理 springmvc:mvc框架 myBatis:持久层框架 v ...
    
		
    2. 
						
  2. HDU 3533 Escape (BFS + 预处理)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total S ...
    
		
    3. 
						
  3. 《Velocity java开发指南》中文版(下)转载
		
    文章出自:http://sakyone.iteye.com/blog/524292 8.Application Attributes Application Attributes (应用程序属性)是和 ...
    
		
    4. 
						
  4. 《Velocity 模板使用指南》中文版[转]
		
    转自:http://blog.csdn.net/javafound/archive/2007/05/14/1607931.aspx <Velocity 模板使用指南>中文版 源文见 htt ...
    
		
    5. 
						
  5. HDU 3533 Escape(bfs)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Total Su ...
    
		
    6. 
						
  6. HDU 3533 Escape(大逃亡)
		
    HDU 3533 Escape(大逃亡) /K (Java/Others)   Problem Description - 题目描述 The students of the HEU are maneu ...
    
		
    7. 
						
  7. 【算法】Escape
		
    The students of the HEU are maneuvering for their military training. The red army and the blue army  ...
    
		
    8. 
						
  8. Velocity初始化过程解析
		
    velocity就是由template,engine,context组成. 1.首先创建一个template(如果是用在web上就是一个html文件),将需要参数化或实例化的地方用跟context有关 ...
    
		
    9. 
						
  9. HDU3533 Escape —— BFS / A*算法 + 预处理
		
    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=3533 Escape Time Limit: 20000/10000 MS (Java/Others)  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. cadence原理图和PCB互联显示成功但是不能高亮和database
			
    问题现象:cadence原理图和PCB互联显示成功但是不能高亮我的问题 解决:尝试修复数据库试试,Tools->Database check 提醒:有一个封装非法命名,在原理图中修改后 再次保存 ...
    
			
    2. 
						
  2. Mysql又一次整理笔记--woods备忘
			
    ==============================SQL备忘 CRUD 查询 多表 事件等=============================== ------------------ ...
    
			
    3. 
						
  3. 557. Reverse Words in a String III【easy】
			
    557. Reverse Words in a String III[easy] Given a string, you need to reverse the order of characters ...
    
			
    4. 
						
  4. Django学习之raw()方法查询数据
			
    我们经常有这种需求: 用sql来查询以及写入数据到数据库,Django当然也提供了这种方式,那就是通过raw方法: sql = "select * from blog_blog where  ...
    
			
    5. 
						
  5. ex:0602-169 遇到不完整或无效的多字节字符,转换失败
			
    错误原因:在AIX系统中,用vi命令编辑文件,出现rt错误,是因为AIX系统不识别文件编码格式. 解决方法:建议重新新建一个编码格式为ASC的文件,再重新上传到AIX系统中,或者改变访问linux的客 ...
    
			
    6. 
						
  6. [Android]生成heap dump文件(.hprof)
			
    Android生成heap dump文件(.hprof) 一个heap dump就是一个程序heap的快照,能够获知程序的哪些部分正在使用大部分的内存. 它保存为一种叫做HPROF的二进制格式.对于A ...
    
			
    7. 
						
  7. tic-tac-toe游戏代码
			
    package com.p4f.tictactoe.demo; import javax.swing.border.Border; public class Board { /** * positio ...
    
			
    8. 
						
  8. ES6 学习笔记 (1)
			
    笔记来源:廖雪峰老师的javascript全栈教程 ES6:JavaScript的标准,ECMAScript在不断发展,最新版ECMAScript 6标准(简称ES6)已经在2015年6月正式发布了, ...
    
			
    9. 
						
  9. Python之图片格式转换
			
    import os import shutil from PIL import Image def getAllFiles(dirName, houzhui=' '): results = [] fo ...
    
			
    10. 
						
  10. vivo 手机的USB调试功能
			
    
			
    11.