1. 全栈程序员必看首页

java前端提示反射型xss_解决反射型XSS漏洞攻击「建议收藏」

全栈程序员-站长 未分类 阅读 90

java前端提示反射型xss_解决反射型XSS漏洞攻击「建议收藏」1/*2*Copyright(C),2001-2019,xiaoi机器人3*Author:han.sun4*Date:2019/2/2811:395*History:6*7*作者姓名修改时间版本号描述8*/9package…

大家好,又见面了,我是你们的朋友全栈君。

1 /*

2 * Copyright (C), 2001-2019, xiaoi机器人3 * Author: han.sun4 * Date: 2019/2/28 11:395 * History:6 * 7 * 作者姓名 修改时间 版本号 描述8 */

9 packagecom.eastrobot.robotdev.filter;10

11 importjavax.servlet.http.HttpServletRequest;12 importjavax.servlet.http.HttpServletRequestWrapper;13 importjava.util.Map;14 importjava.util.regex.Matcher;15 importjava.util.regex.Pattern;16

17 /**

18 * 〈一句话功能简述〉
19 * TODO(解决反射型XSS漏洞攻击)20 *21 *@authorhan.sun22 *@version1.0.023 *@since2019/2/28 11:3924 */

25 public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {26

27 /**

28 * 定义script的正则表达式29 */

30 private static final String REG_SCRIPT = “”;31

32 /**

33 * 定义style的正则表达式34 */

35 private static final String REG_STYLE = “”;36

37 /**

38 * 定义HTML标签的正则表达式39 */

40 private static final String REG_HTML = “]+>”;41

42 /**

43 * 定义所有w标签44 */

45 private static final String REG_W = “]*?>[\\s\\S]*?]*?>”;46

47 private static final String REG_JAVASCRIPT = “.*javascript.*”;48

49

50 XssHttpServletRequestWrapper(HttpServletRequest request) {51 super(request);52 }53

54 @SuppressWarnings(“rawtypes”)55 @Override56 public MapgetParameterMap() {57 Map requestMap = super.getParameterMap();58 for(Object o : requestMap.entrySet()) {59 Map.Entry me =(Map.Entry) o;60 String[] values =(String[]) me.getValue();61 for (int i = 0; i < values.length; i++) {62 values[i] =xssClean(values[i]);63 }64 }65 returnrequestMap;66 }67

68 @Override69 publicString[] getParameterValues(String paramString) {70 String[] values = super.getParameterValues(paramString);71 if (values == null) {72 return null;73 }74 int i =values.length;75 String[] result = newString[i];76 for (int j = 0; j < i; j++) {77 result[j] =xssClean(values[j]);78 }79 returnresult;80 }81

82 @Override83 publicString getParameter(String paramString) {84 String str = super.getParameter(paramString);85 if (str == null) {86 return null;87 }88 returnxssClean(str);89 }90

91

92 @Override93 publicString getHeader(String paramString) {94 String str = super.getHeader(paramString);95 if (str == null) {96 return null;97 }98 str = str.replaceAll(“[\r\n]”, “”);99 returnxssClean(str);100 }101

102 /**

103 * [xssClean 过滤特殊、敏感字符]104 *@paramvalue [请求参数]105 *@return[value]106 */

107 privateString xssClean(String value) {108 if (value == null || “”.equals(value)) {109 returnvalue;110 }111 Pattern pw =Pattern.compile(REG_W, Pattern.CASE_INSENSITIVE);112 Matcher mw =pw.matcher(value);113 value = mw.replaceAll(“”);114

115 Pattern script =Pattern.compile(REG_SCRIPT, Pattern.CASE_INSENSITIVE);116 value = script.matcher(value).replaceAll(“”);117

118 Pattern style =Pattern.compile(REG_STYLE, Pattern.CASE_INSENSITIVE);119 value = style.matcher(value).replaceAll(“”);120

121 Pattern htmlTag =Pattern.compile(REG_HTML, Pattern.CASE_INSENSITIVE);122 value = htmlTag.matcher(value).replaceAll(“”);123

124 Pattern javascript =Pattern.compile(REG_JAVASCRIPT, Pattern.CASE_INSENSITIVE);125 value = javascript.matcher(value).replaceAll(“”);126 returnvalue;127 }128

129 }

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/131987.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长
0 0


相关推荐

  • 一步一步写算法(之排序二叉树)[通俗易懂]

    一步一步写算法(之排序二叉树)[通俗易懂]

    一步一步写算法(之排序二叉树)[通俗易懂]【声明:版权所有,欢迎转载,请勿用于商业用途。 联系信箱:feixiaoxing@163.com】   前面我们讲过双向链表的数据结构。每一个循环节点有两个指针,一个指向前面一个节点,一个指向后继节点,这样所有的节点像一颗颗珍珠一样被一根线穿在了一起。然而今天

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月25日
    10
  • 【图像处理】详解 最近邻插值、线性插值、双线性插值、双三次插值「建议收藏」

    【图像处理】详解 最近邻插值、线性插值、双线性插值、双三次插值「建议收藏」

    【图像处理】详解 最近邻插值、线性插值、双线性插值、双三次插值「建议收藏」插值(Interpolation),通常指内插,既是离散数学名词,也是图像处理术语,二者的联系十分密切。作为图像放缩(Scale)的手段,常见的传统插值方法有:最近邻插值(NearestNeighbourInterpolation)、线性插值(LinearInterpolation)、双线性插值(BilinearInterpolation)、双三次插值(Bicubicinterpolation)等乃至更高阶的线性插值方法。

    全栈程序员-站长的头像 全栈程序员-站长
    2022年6月5日
    46
  • 高德地图自定义点标记大小_高德地图标注点点击事件 自定义参数

    高德地图自定义点标记大小_高德地图标注点点击事件 自定义参数

    高德地图自定义点标记大小_高德地图标注点点击事件 自定义参数init(){varprovinces=this.provinces;if(!provinces||provinces.length==0){returnfalse;}varhmap={resizeEnable:true,center:[“106.687915″,”26.499209”],zoom:10};varmap=newAMap.Map(“cont…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年5月11日
    71
  • 组合模式 Composite[通俗易懂]

    组合模式 Composite[通俗易懂]

    组合模式 Composite[通俗易懂]组合模式 Composite动机模式定义实例结构要点总结笔记动机在软件某些情况下,客户代码过多地依赖于对象容器复杂的内部实现结构,对象内部实现结构(而非抽象接口)地变化将引起客户代码地频繁变化.带来代码地维护性,扩展性等弊端如何将”客户代码与复杂地对象容器结构”解耦?让对象容器自己来实现自身地复杂结构,从而使得客户代码就像处理简单对象一样来处理复杂地对象容器模式定义将对象组合成树形结构以表示”整体-部分”地层次结构.Composite使得用户对单个对象和组合对象地使用具有一致性(稳定)实例树形

    全栈程序员-站长的头像 全栈程序员-站长
    2022年8月11日
    0
  • DOS攻击手段_ddos攻击原理与防御方法

    DOS攻击手段_ddos攻击原理与防御方法

    DOS攻击手段_ddos攻击原理与防御方法DDoS介绍DDoS是英文DistributedDenialofService的缩写,意即“分布式拒绝服务”,那么什么又是拒绝服务(DenialofService)呢?可以这么理解,凡是能导致合法用户不能够访问正常网络服务的行为都算是拒绝服务攻击。也就是说拒绝服务攻击的目的非常明确,就是要阻止合法用户对正常网络资源的访问,从而达成攻击者不可告人的目的。分布式拒绝服务攻击一旦被实施,攻击网络包就会从很多DOS攻击源(俗称肉鸡)犹如洪水般涌向受害主机,从而把合法用户的网络包淹没,导致合法用户无法正

    全栈程序员-站长的头像 全栈程序员-站长
    2022年10月1日
    0
  • C#的封装_封装元器件

    C#的封装_封装元器件

    C#的封装_封装元器件封装:即隐藏对象的属性和实现细节,仅对外公开接口,控制在程序中属性的读和修改的访问级别;将抽象得到的数据和行为(或功能)相结合,形成一个有机的整体,也就是将数据与操作数据的源代码进行有机的结合,形成“类”,其中数据和函数都是类的成员。封装的作用:封装最主要的功能在于我们能修改自己的实现代码,而不用修改那些调用我们代码的程序片段。适当的封装可以让程式码更容易理解与维护,也加强了程式码的安全性,使不同类之间的相互影响减少到最低限度,进而增强数据的安全性和简化程序的编写工作封装的优点:1.良好的封装能够减少

    全栈程序员-站长的头像 全栈程序员-站长
    2022年9月9日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号