在后台接口中,未对请求参数进行校验,可能会造成跨站脚本攻击
可以采用以下方法对请求参数进行校验
public class SpecialChar {
public static boolean check(String str) {
if (str.isEmpty()) {
return true;
}
String regEx = "[ `~!@#$%^&*()+=|{}':;'\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]|\n|\r|\t";
Pattern p = Pattern.compile(regEx);
Matcher m = p.matcher(str);
return m.find();
}
}
可以对regEx中的特殊字符,根据自身情况新增或删除