主题
XSS验证拦截器
WARNING
过滤xss信息,启用后会自动对参数值进行html编码处理。支持application/x-www-form-urlencoded
、application/json
和url地址
传参,不支持form-data
方式
配置
参数说明
配置后,对需要验证的地址进行验证拦截
enabled
:是否启用拦截器,默认不启用false
items
^1.5.0:规则列表,可以配置多个urls
^1.5.0:需要拦截的地址forbid-urls
^1.5.0:禁止处理的地址safe-type
^1.5.0:安全类型,默认NONE
,可选项有NONE
、SIMPLE_TEXT
、BASIC
、BASIC_WITH_IMAGES
、RELAXED
add-attributes
^1.5.0:自定义属性列表tag
:标签attributes
:属性列表
add-tags
^1.5.0:自定义标签列表add-enforced-attributes
^1.5.0:自定义强制属性添加到标记tag
:标签attribute
:属性value
:值
add-protocols
^1.5.0:指定为元素的URL属性添加允许的URL协议列表tag
:标签attribute
:属性protocols
:协议列表
示例
yaml
wueasy:
gateway:
filter:
xss:
enabled: true
items:
- urls:
- /**
safe-type: RELAXED
add-tags:
- div
- table
add-attributes:
- tag: a
attributes:
- href
- style
- tag: ":all"
attributes:
- style