jello-optimizer-velocity-xss

与FIS组@2betop发布的jello-optimizer-velocity-xss类似

自动将JSP内容区的变量加 fn:escapeXml 包裹，用于防止恶意代码执行。

另外，对于<c:out>标签强制加入属性escapeXml="true"

使用

安装

npm install -g jello-optimizer-jsp-xss

启用插件

fis.config.set('modules.optimizer.jsp', 'jsp-xss');
 

然后使用 release 命令的时候，记得带上 -o 参数。

jello release -o

配置项

• blacklist 。数组格式，元素为正则对象,。用于规定哪些变量不转换。

fis.config.set('settings.optimizer.velocity-xss', {
  blacklist: [
    /^foo/i, // foo 打头的变量不进行转换。
  ]
});

• cleanJspComments 。布尔值。默认为true，即在编译时去除服务端注释<% ... %>。