PebbleTemplates 默认一些安全处理
PebbleTemplates 支持了不少安全控制(这个是也模版引擎普遍存在的问题)
内容转义
核心是规避xss 问题,包含了自定以及手工处理,包含了html,js,css,url_param 。。。。
方法访问的
因为模版很容易引入一些非安全方法引用,官方包含了一个方法访问校验 MethodAccessValidator
已经包含了一些实现,默认使用的BlacklistMethodAccessValidator 主要的控制如下
private static final String[] FORBIDDEN_METHODS = {"getClass",
"wait",
"notify",
"notifyAll"};
@Override
public boolean isMethodAccessAllowed(Object object, Method method) {
boolean methodForbidden = object instanceof Class
|| object instanceof Runtime
|| object instanceof Thread
|| object instanceof ThreadGroup
|| object instanceof System
|| object instanceof AccessibleObject
|| this.isUnsafeMethod(method);
return !methodForbidden;
}
同时创建引擎的时候可以自己控制
PebbleEngine engine = new PebbleEngine.Builder().loader(delegatingLoader).methodAccessValidator(new BlacklistMethodAccessValidator()).extension(new MyExtension()).build();
说明
做好安全控制还是比较重要的,了解提供的基本能力,可以更好的确保安全
参考资料
https://pebbletemplates.io/wiki/guide/extending-pebble/
https://pebbletemplates.io/wiki/guide/escaping/
https://pebbletemplates.io/wiki/filter/escape/
https://pebbletemplates.io/wiki/guide/spring-boot-integration/
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 全程不用写代码,我用AI程序员写了一个飞机大战
· DeepSeek 开源周回顾「GitHub 热点速览」
· 记一次.NET内存居高不下排查解决与启示
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· .NET10 - 预览版1新功能体验(一)
2020-03-17 mocha ReferenceError: describe is not defined 问题解决
2020-03-17 zombie 快速&&无头基于nodejs 的浏览器测试框架
2020-03-17 Backstage构建开发人员门户的开放平台
2015-03-17 用NativeScript创建JavaScript原生移动应用
2014-03-17 javascript 自定义事件