!51 实现预览加密的（受密码保护）office文件

* 1. 修复getCorsFile接口高危安全漏洞 * 1. 优化密码错误提示（“密码错误，请重新输入密码。”） * 1. 修复PPT重复预览bug，此bug导致ppt每次预览会执行两次转换（请求两次onlinePreview接口），在大文件尤其耗时（双倍时… * 1. 【加密office预览】优化受密码保护的office文件检查逻辑，提升旧文件格式的兼容性 * 1. 【加密office预览】优化office文件是否受密码保护判断逻辑，避免兼容性误判 * 1. 【加密office预览】优化重新输入密码提示。 * 1. 【加密office预览】优化当密码输入错误后，不是抛出异常，而是提示用户重新输入 * 1. 优化prompt提示框的输入密码提示样式 * 1. 实现基于userToken缓存加密文件，没有userToken的加密文件不缓存 * 1. 优化docker构建方案，使用分层构建方式，采用层级缓存解决构建慢发布慢等问题。从原本5分钟左右缩短至几秒 * 1. 加密文件暂时不缓存（后续基于用户token实现，基于用户缓存） * 1. 优化office文件下载逻辑，跳过重复下载（大量节约带宽与磁盘空间）。 * 1. 修复预览不同类型的加密office文件bug * 实现预览加密的（受密码保护）office文件
2022-07-21 03:19:46 +00:00
parent 04703aa03c
commit acffcbfe98
26 changed files with 746 additions and 492 deletions
--- a/server/src/main/java/cn/keking/web/controller/OnlinePreviewController.java
+++ b/server/src/main/java/cn/keking/web/controller/OnlinePreviewController.java
@ -19,6 +19,7 @@ import org.springframework.util.StringUtils;
 import org.springframework.web.bind.annotation.RequestMapping;
 import org.springframework.web.bind.annotation.RequestMethod;
 import org.springframework.web.bind.annotation.ResponseBody;
+import org.springframework.web.util.HtmlUtils;

 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
@ -73,10 +74,13 @@ public class OnlinePreviewController {
        String fileUrls;
        try {
            fileUrls = new String(Base64.decodeBase64(urls));
+            // 防止XSS攻击
+            fileUrls = HtmlUtils.htmlEscape(fileUrls);
        } catch (Exception ex) {
            String errorMsg = String.format(BASE64_DECODE_ERROR_MSG, "urls");
            return otherFilePreview.notSupportedFile(model, errorMsg);
        }
+
        logger.info("预览文件url：{}，urls：{}", fileUrls, urls);
        // 抽取文件并返回文件列表
        String[] images = fileUrls.split("\\|");
@ -102,6 +106,11 @@ public class OnlinePreviewController {
     */
    @RequestMapping(value = "/getCorsFile", method = RequestMethod.GET)
    public void getCorsFile(String urlPath, HttpServletResponse response) {
+        if (urlPath == null || urlPath.toLowerCase().startsWith("file:") || urlPath.toLowerCase().startsWith("file%3") || !urlPath.toLowerCase().startsWith("http")) {
+            logger.info("读取跨域文件异常，可能存在非法访问，urlPath：{}", urlPath);
+            return;
+        }
+
        logger.info("下载跨域pdf文件url：{}", urlPath);
        try {
            URL url = WebUtils.normalizedURL(urlPath);
@ -125,6 +134,4 @@ public class OnlinePreviewController {
        return "success";
    }

-
-
 }