Jboot v3.9.6 发布，新增对 XSS 的防护配置

内容简介：Jboot 一个更简单的分布式、微服务框架。 Jboot是一个基于 JFinal、JFinal-Undertow、Dubbo、Seata、Sentinel、ShardingSphere、Nacos 等开发的微服务框架，帮助开发者降低微服务、分布式开发门槛。爽爽开发，快乐...

Jboot 一个更简单的分布式、微服务框架。

Jboot是一个基于 JFinal、JFinal-Undertow、Dubbo、Seata、Sentinel、ShardingSphere、Nacos 等开发的微服务框架，帮助开发者降低微服务、分布式开发门槛。爽爽开发，快乐生活。

到目前为止，Jboot 已经开源超过了 5 年的时间，迭代了 190+ 个版本，已经被超过 1000+ 公司在使用，其中包含了多个知名的上市公司。

Jboot v3.9.6 主要是新增了对 XSS 的防护机制，只需要添加个配置就能杜绝 XSS 攻击，同时拥有极高的性能和用户体验，同时还新增了门户网关的拦截器、负载均衡策略的动态配置功能。

在 XSS 防护中，只需要添加如下配置：

jboot.web.escapeParas = true

当用户通过表单传入 script 代码时，比如 http://127.0.0.1/index?name=<script>alert('')</script>。

通过 JFinal 的 getPara('name') 得到的值是：&lt;script&gt;alert(&#39;&#39;)&lt;/script&gt; 

但是在我们开发的过程中，我们在某些情况下，是希望获得原始的值，而非转义后的值，那怎么办呢？JbootController 提供了一个 getOriginalPara('name') 就可以得到原始的值：<script>alert('')</script>。

Jboot v3.9.6 更新内容如下：

• 新增：门户网关动态配置拦截器的功能（之前只能通过配置文件进行配置）
• 新增：门户网关动态配置负载均衡策略的功能（之前只能通过配置文件进行配置）
• 新增：columns 新增 groupBy() 和 having() 的方法，方便构建 group by 的 SQL
• 新增：新增 jboot.web.escapeParas 配置，方便全局对 xss 进行防护
• 优化：升级 JFinal、HikariCP、metrics、Shiro 等到最新版本
• 修复：使用 @bean 注解，然后 Jboot.getBean() 通过 Bean Name 获取不到对象的问题
• 修复：Redis 缓存的 removeAll() 和 getKeys() 在某些情况返回数据不正确的问题

Jboot 开发文档：

https://jbootprojects.gitee.io/docs/

同时，Jboot 官方也推出了收费的企业级开发框架 JbootAdmin ，关于 JbootAdmin 详情咨询海哥。

<dependency>
    <groupId>io.jboot</groupId>
    <artifactId>jboot</artifactId>
    <version>3.9.6</version>
</dependency>

@RequestMapping("/")
public class HelloworldController extends JbootController {

    public void index(){
        renderText("hello world");
    }

    public static void main(String[] args){
        JbootApplication.run(args);
    }
}

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持 码农网

关注我们，获取更多IT资讯^_^

查看所有标签

• Novel 1.4.3 发布，新增 xss 攻击防护
• OpenKruise v0.9.0 版本发布：新增 Pod 重启、删除防护等重磅功能
• A10 Networks为 DDoS 防护带来先进的零日自动防护(ZAP)功能
• Android防护扫盲篇
• SQLServer攻击姿势与防护总结
• DDoS攻击原理及防护探究

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。