jello-optimizer-velocity-xss
与FIS组@2betop发布的jello-optimizer-velocity-xss类似
自动将JSP内容区的变量加 fn:escapeXml
包裹,用于防止恶意代码执行。
另外,对于<c:out>
标签强制加入属性escapeXml="true"
使用
安装
npm install -g jello-optimizer-jsp-xss
启用插件
fisconfig;
然后使用 release 命令的时候,记得带上 -o
参数。
jello release -o
配置项
blacklist
。数组格式,元素为正则对象,。用于规定哪些变量不转换。
fisconfig;
cleanJspComments
。布尔值。默认为true,即在编译时去除服务端注释<% ... %>。