java前端提示反射型xss_解决反射型XSS漏洞攻击「建议收藏」

java前端提示反射型xss_解决反射型XSS漏洞攻击「建议收藏」1/*2*Copyright(C),2001-2019,xiaoi机器人3*Author:han.sun4*Date:2019/2/2811:395*History:6*7*作者姓名修改时间版本号描述8*/9package…

大家好,又见面了,我是你们的朋友全栈君。

1 /*

2 * Copyright (C), 2001-2019, xiaoi机器人3 * Author: han.sun4 * Date: 2019/2/28 11:395 * History:6 * 7 * 作者姓名 修改时间 版本号 描述8 */

9 packagecom.eastrobot.robotdev.filter;10

11 importjavax.servlet.http.HttpServletRequest;12 importjavax.servlet.http.HttpServletRequestWrapper;13 importjava.util.Map;14 importjava.util.regex.Matcher;15 importjava.util.regex.Pattern;16

17 /**

18 * 〈一句话功能简述〉
19 * TODO(解决反射型XSS漏洞攻击)20 *21 *@authorhan.sun22 *@version1.0.023 *@since2019/2/28 11:3924 */

25 public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {26

27 /**

28 * 定义script的正则表达式29 */

30 private static final String REG_SCRIPT = “”;31

32 /**

33 * 定义style的正则表达式34 */

35 private static final String REG_STYLE = “”;36

37 /**

38 * 定义HTML标签的正则表达式39 */

40 private static final String REG_HTML = “]+>”;41

42 /**

43 * 定义所有w标签44 */

45 private static final String REG_W = “]*?>[\\s\\S]*?]*?>”;46

47 private static final String REG_JAVASCRIPT = “.*javascript.*”;48

49

50 XssHttpServletRequestWrapper(HttpServletRequest request) {51 super(request);52 }53

54 @SuppressWarnings(“rawtypes”)55 @Override56 public MapgetParameterMap() {57 Map requestMap = super.getParameterMap();58 for(Object o : requestMap.entrySet()) {59 Map.Entry me =(Map.Entry) o;60 String[] values =(String[]) me.getValue();61 for (int i = 0; i < values.length; i++) {62 values[i] =xssClean(values[i]);63 }64 }65 returnrequestMap;66 }67

68 @Override69 publicString[] getParameterValues(String paramString) {70 String[] values = super.getParameterValues(paramString);71 if (values == null) {72 return null;73 }74 int i =values.length;75 String[] result = newString[i];76 for (int j = 0; j < i; j++) {77 result[j] =xssClean(values[j]);78 }79 returnresult;80 }81

82 @Override83 publicString getParameter(String paramString) {84 String str = super.getParameter(paramString);85 if (str == null) {86 return null;87 }88 returnxssClean(str);89 }90

91

92 @Override93 publicString getHeader(String paramString) {94 String str = super.getHeader(paramString);95 if (str == null) {96 return null;97 }98 str = str.replaceAll(“[\r\n]”, “”);99 returnxssClean(str);100 }101

102 /**

103 * [xssClean 过滤特殊、敏感字符]104 *@paramvalue [请求参数]105 *@return[value]106 */

107 privateString xssClean(String value) {108 if (value == null || “”.equals(value)) {109 returnvalue;110 }111 Pattern pw =Pattern.compile(REG_W, Pattern.CASE_INSENSITIVE);112 Matcher mw =pw.matcher(value);113 value = mw.replaceAll(“”);114

115 Pattern script =Pattern.compile(REG_SCRIPT, Pattern.CASE_INSENSITIVE);116 value = script.matcher(value).replaceAll(“”);117

118 Pattern style =Pattern.compile(REG_STYLE, Pattern.CASE_INSENSITIVE);119 value = style.matcher(value).replaceAll(“”);120

121 Pattern htmlTag =Pattern.compile(REG_HTML, Pattern.CASE_INSENSITIVE);122 value = htmlTag.matcher(value).replaceAll(“”);123

124 Pattern javascript =Pattern.compile(REG_JAVASCRIPT, Pattern.CASE_INSENSITIVE);125 value = javascript.matcher(value).replaceAll(“”);126 returnvalue;127 }128

129 }

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/131987.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Java1.8安装详细教程[通俗易懂]

    Java1.8安装详细教程[通俗易懂]JavaJDK安装与配置1、下载官网地址:http://www.oracle.com/technetwork/java/javase/downloads/index.html(1)点击DOWNLOAD(2)选择相应版本、因为我的是windows64位所以选择最下方的390.25MB的版本(3)下载后一直点击下一步就好了ps:路径不喜欢安装在C盘的可以选择…

  • python爬取网站m3u8视频,将ts解密成mp4,合并成整体视频「建议收藏」

    python爬取网站m3u8视频,将ts解密成mp4,合并成整体视频「建议收藏」一些网站会提供m3u8视频地址,以供下载观看。或者一些网站经过分析后发现是使用m3u8格式进行播放的,这时使用m3u8的地址链接就可以下载到相应的视频。一、关于m3u8:(https://blog.csdn.net/baidu_34418350/article/details/64922512)m3u8是苹果公司推出一种视频播放标准,是m3u的一种,不过编码方式是utf-8,是一种…

  • oracle的视图转mysql_oracle视图迁移到mysql[通俗易懂]

    oracle视图迁移mysql(仅记录当前项目遇到的小问题和解决方案)涉及问题点:1、函数差异oracle              mysql判断空值:  nvl(‘字段‘,值)            ifnull(‘字段‘,值)条件赋值:  decode()            casewhenthenelseend日期格式化: to_char(‘date‘,‘yy…

  • idea插件(mybatis框架下mapper接口快速跳转对应xml文件)亲测好用「建议收藏」

    idea插件(mybatis框架下mapper接口快速跳转对应xml文件)亲测好用「建议收藏」我相信目前在绝大部分公司里,主要使用的框架是S(spring)S(springMVC)M(mybatis),其中mybatis总体架构是编写mapper接口,框架扫描其对应的mapper.xml文件,由于xml里面编写大量的sql语句,所以在平时调试中需要对其进行调试,但是xml文件并不能像java文件一样,能快速进行跳转,对查找对应xml文件带来巨大的不便。网友基础idea强大的插件系…

    2022年10月26日
  • 如何使用一套键盘鼠标,同时控制多台电脑_控制鼠标

    如何使用一套键盘鼠标,同时控制多台电脑_控制鼠标1.蓝牙键盘我使用的蓝牙键盘是GANSSGS87键的蓝牙双模键盘茶轴,既支持有线,也支持无线。最大的优点是便宜,到手300多,这个价格能买到有牌子、质量还不错的机械键盘算是非常难得的。当然也有一点小瑕疵,就是不能充电,得用电池,不过大半年才换一次电池,这个缺陷也可以忽略了。接下来记录一下该键盘的蓝牙连接的设置步骤,其他键盘应该也是同理,希望能给大家一些参与:先选择你要设置的键:比如你想把Fn+Q,作为切换到Mac的快捷键,那么你先按Fn+Q,表示已经进入这个快捷键的作用域下。

    2022年10月15日
  • 实验室管理系统数据库代码_实验室废液分类标准

    实验室管理系统数据库代码_实验室废液分类标准实验室设备管理系统SQL代码课程设计时的SQL代码,不是很完整,仅供参考。完整的实验室设备管理系统设计代码包括界面设计(使用的是C#)上传到了我的资源中。***界面截图***createdatabase实验室设备管理系统onprimary( name=’实验室设备管理_data’, filename=’E:\SqlServerData\实验室设备管理系统\实验室设备管理_data.mdf’, size=5MB, maxsize=100MB, filegrow

    2022年10月13日

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号