EscapeHtmlReference的escape方法调用以下方法实现:
StringEscapeUtils.escapeHtml(param);  再调用
org.apache.commons.lang.Entities.HTML40.escape(writer, string);
代码如下:
public void escape(Writer writer, String str) throws IOException {
    int len = str.length();

    for(int i = 0; i < len; ++i) {
        char c = str.charAt(i);
        String entityName = this.entityName(c);
        if(entityName == null) {
            if(c > 127) {
                writer.write("&#");
                writer.write(Integer.toString(c, 10));
                writer.write(59);   //就是个分号
            } else {
                writer.write(c);
            }
        } else {
            writer.write(38);
            writer.write(entityName);
            writer.write(59);
        }
    }

}

我们也可以自己调用
StringEscapeUtils.escapeHtml(param);
比如:
String param = request.getParameter("p");
String x = StringEscapeUtils.escapeHtml(param);
System.out.println(x);

输入 <script>alert(/xxx/)</script>  输出 &lt;script&gt;alert(/xxx/)&lt;/script&gt;

velocity 也可以自定义 EventHandler 处理xss,配置EscapeHtmlReference 替换成自己的EventHandler 
<bean id="velocityConfigurer"
      class="org.springframework.web.servlet.view.velocity.VelocityConfigurer">
    <property name="resourceLoaderPath" value="/WEB-INF/pages/"/>
    <property name="velocityProperties">
        <props>
            <prop key="input.encoding">utf-8</prop>
            <prop key="output.encoding">utf-8</prop>
            <prop key="eventhandler.referenceinsertion.class">org.apache.velocity.app.event.implement.EscapeHtmlReference</prop>
            <prop key="eventhandler.escape.html.match">/^(?!\$\!?unesc_).*/</prop>
        </props>
    </property>
</bean>
												


											
velocity 的 escape实现的更多相关文章
	

    
								
  1. maven+springmvc+spring+mybatis+velocity整合
		
      一.ssmm简介 ssmm是当下企业最常用的开发框架架构 maven:管理项目jar包,构建项目 spring:IOC容器,事务管理 springmvc:mvc框架 myBatis:持久层框架 v ...
    
		
    2. 
						
  2. HDU 3533 Escape (BFS + 预处理)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total S ...
    
		
    3. 
						
  3. 《Velocity java开发指南》中文版(下)转载
		
    文章出自:http://sakyone.iteye.com/blog/524292 8.Application Attributes Application Attributes (应用程序属性)是和 ...
    
		
    4. 
						
  4. 《Velocity 模板使用指南》中文版[转]
		
    转自:http://blog.csdn.net/javafound/archive/2007/05/14/1607931.aspx <Velocity 模板使用指南>中文版 源文见 htt ...
    
		
    5. 
						
  5. HDU 3533 Escape(bfs)
		
    Escape Time Limit: 20000/10000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others)Total Su ...
    
		
    6. 
						
  6. HDU 3533 Escape(大逃亡)
		
    HDU 3533 Escape(大逃亡) /K (Java/Others)   Problem Description - 题目描述 The students of the HEU are maneu ...
    
		
    7. 
						
  7. 【算法】Escape
		
    The students of the HEU are maneuvering for their military training. The red army and the blue army  ...
    
		
    8. 
						
  8. Velocity初始化过程解析
		
    velocity就是由template,engine,context组成. 1.首先创建一个template(如果是用在web上就是一个html文件),将需要参数化或实例化的地方用跟context有关 ...
    
		
    9. 
						
  9. HDU3533 Escape —— BFS / A*算法 + 预处理
		
    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=3533 Escape Time Limit: 20000/10000 MS (Java/Others)  ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Failed to Stop or Restart Nginx Server Through Serevice Command(nginx进程不能停止重启)
			
    Many people are accustomed to start a Nginx web server through init scripts and then they can contro ...
    
			
    2. 
						
  2. Eclipse下Java Build Path下Libraies中添加 Maven dependencies 失败解决方案
			
    当maven 仓库有jar时,tomcat生成时总是报javaclassno..........无这个文件:用一下方法 转载:http://bugyun.iteye.com/blog/2311848  ...
    
			
    3. 
						
  3. spring启动加载过程源码分析
			
    我们知道启动spring容器两常见的两种方式(其实都是加载spring容器的xml配置文件时启动的): 1.在应用程序下加载 ApplicationContext ctx = new ClassPat ...
    
			
    4. 
						
  4. spring实现定时任务
			
    今天在项目里需要实现一个定时任务,每隔3个小时将过滤的广告通过邮件上报给运营一次.考虑了一下,从实现的技术上可以有三种做法: 1.Java自带的java.util.Timer类,这个类允许调度一个ja ...
    
			
    5. 
						
  5. css学习之overlay
			
    CSS Overlay技巧 作者:大漠 日期:2013-11-10 点击:8  本文由大漠根据SARA SOUEIDAN的<CSS OVERLAY TECHNIQUES>所译,整个译文带 ...
    
			
    6. 
						
  6. Linux----LVM扩容磁盘空间(讲的也很好)
			
    转:https://www.cnblogs.com/tail-f/p/6143085.html
    
			
    7. 
						
  7. C++学习笔记34  模版的原理
			
    模版在C++中具有很重要的地位.STL就是大量运用模版写出来的. 模版的长处我就不一一列举了.这里我仅仅说一下模版的原理. 当编译器遇到模版方法定义的时候,编译器进行语法检查,可是并不会编译模版.编译 ...
    
			
    8. 
						
  8. C++语言基础(2)-new和delete操作符
			
    在C语言中,动态分配内存用 malloc() 函数,释放内存用 free() 函数.如下所示: ); //分配10个int型的内存空间 free(p); //释放内存 在C++中,这两个函数仍然可以使 ...
    
			
    9. 
						
  9. redhat samba安装配置
			
    突然想要用,好久没配过这玩意了,再次配置一次,记录一下过程. 1.挂载镜像      mount -o loop ~/Desktop/RHEL_5.5\ i386\ DV.iso /mnt       ...
    
			
    10. 
						
  10. CronTrigger中cron表达式使用
			
    1.定时任务,当执行是具体时间的时候,不会立即执行,而是到指定时间执行. 2.实现Job接口时候,类中要有无参的public构造方法. 3.表达式中共用七个字段,按顺序是秒.分.时.日.月.周.年,默 ...
    
			
    11.