对字符串进行验证之前先进行规范化

最新推荐文章于 2023-02-28 14:59:09 发布
最新推荐文章于 2023-02-28 14:59:09 发布
阅读量1w 收藏 3
点赞数
分类专栏: java

对字符串进行验证之前先进行规范化

原文来自:http://www.javaarch.net/jiagoushi/1068.htm


应用系统中经常对字符串会进行各种规则的验证,不过由于字符串信息在java6中是基于unicode的4.0版本的,而java7则是unicode的6.0.0版本。


unicode的规范化格式有几种,每种的处理方式有些不一样。


NFC
Unicode 规范化格式 C。如果未指定 normalization-type,那么会执行 Unicode 规范化。
NFD
Unicode 规范化格式 D。
NFKC
Unicode 规范化格式 KC。
NFKD
Unicode 规范化格式 KD。

如果我们对输入字符串先进行验证,再规范化,Normalizer.normalize将unicode的文本转成等价的规范化格式内容,下面这个用Pattern.compile("[<>]")验证不通过,


[java]  view plain  copy
  1. // String s may be user controllable  
  2.     // \uFE64 is normalized to < and \uFE65 is normalized to > using NFKC  
  3.     String s = "\uFE64" + "script" + "\uFE65";  
  4.     // Validate  
  5.     Pattern pattern = Pattern.compile("[<>]"); // Check for angle brackets  
  6.     Matcher matcher = pattern.matcher(s);  
  7.     if (matcher.find()) {    
  8.       // Found black listed tag  
  9.       throw new IllegalStateException();  
  10.     } else {  
  11.       // . . .  
  12.     }  
  13.     // Normalize  
  14.     s = Normalizer.normalize(s, Form.NFKC);  



如果对输入字符串先进行规范化在进行验证,使用Pattern.compile("[<>]")验证就能正确判断出来,抛出IllegalStateException异常,正确过滤有问题的输入文本,

[java]  view plain  copy
  1. String s = "\uFE64" + "script" + "\uFE65";  
  2. // Normalize  
  3. s = Normalizer.normalize(s, Form.NFKC);  
  4. // Validate  
  5. Pattern pattern = Pattern.compile("[<>]");  
  6. Matcher matcher = pattern.matcher(s);  
  7. if (matcher.find()) {  
  8.   // Found black listed tag  
  9.   throw new IllegalStateException();  
  10. else {  
  11.   // . . .  
  12. }  



java中的Normalizer类


[java]  view plain  copy
  1. public final class Normalizer {  
  2.   
  3.   
  4.    private Normalizer() {};  
  5.   
  6.   
  7.     /** 
  8.      * This enum provides constants of the four Unicode normalization forms 
  9.      * that are described in 
  10.      * <a href="http://www.unicode.org/unicode/reports/tr15/tr15-23.html"> 
  11.      * Unicode Standard Annex #15 — Unicode Normalization Forms</a> 
  12.      * and two methods to access them. 
  13.      * 
  14.      * @since 1.6 
  15.      */  
  16.     public static enum Form {  
  17.   
  18.   
  19.         /** 
  20.          * Canonical decomposition. 
  21.          */  
  22.         NFD,  
  23.   
  24.   
  25.         /** 
  26.          * Canonical decomposition, followed by canonical composition. 
  27.          */  
  28.         NFC,  
  29.   
  30.   
  31.         /** 
  32.          * Compatibility decomposition. 
  33.          */  
  34.         NFKD,  
  35.   
  36.   
  37.         /** 
  38.          * Compatibility decomposition, followed by canonical composition. 
  39.          */  
  40.         NFKC  
  41.     }  
  42.   
  43.   
  44.     /** 
  45.      * Normalize a sequence of char values. 
  46.      * The sequence will be normalized according to the specified normalization 
  47.      * from. 
  48.      * @param src        The sequence of char values to normalize. 
  49.      * @param form       The normalization form; one of 
  50.      *                   {@link java.text.Normalizer.Form#NFC}, 
  51.      *                   {@link java.text.Normalizer.Form#NFD}, 
  52.      *                   {@link java.text.Normalizer.Form#NFKC}, 
  53.      *                   {@link java.text.Normalizer.Form#NFKD} 
  54.      * @return The normalized String 
  55.      * @throws NullPointerException If <code>src</code> or <code>form</code> 
  56.      * is null. 
  57.      */  
  58.     public static String normalize(CharSequence src, Form form) {  
  59.         return NormalizerBase.normalize(src.toString(), form);  
  60.     }  
  61.   
  62.   
  63.     /** 
  64.      * Determines if the given sequence of char values is normalized. 
  65.      * @param src        The sequence of char values to be checked. 
  66.      * @param form       The normalization form; one of 
  67.      *                   {@link java.text.Normalizer.Form#NFC}, 
  68.      *                   {@link java.text.Normalizer.Form#NFD}, 
  69.      *                   {@link java.text.Normalizer.Form#NFKC}, 
  70.      *                   {@link java.text.Normalizer.Form#NFKD} 
  71.      * @return true if the sequence of char values is normalized; 
  72.      * false otherwise. 
  73.      * @throws NullPointerException If <code>src</code> or <code>form</code> 
  74.      * is null. 
  75.      */  
  76.     public static boolean isNormalized(CharSequence src, Form form) {  
  77.         return NormalizerBase.isNormalized(src.toString(), form);  
  78.     }  
  79. }  
Sky786905664
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java normalizer是什么,关于Normalizer.normalize()方法的用途
weixin_35785793的博客
03-11 2243
在工作中,经常在看到Normalizer.normalize()方法的身影,遂了解了下这个方法的作用。现假设系统对外部输入作校验,如果发现输入中包含""字符,就判定此输入不合法,无法通过校验。但如果输入的是全角形式的字符,判断就会稍微变得麻烦,而且并不方便,一旦有所遗漏,出错之后排查可能会花费较多的时间。// 包含全角尖括号String sbcCase = "\uFe64" + ";reboot;...
《Java安全编码标准》一2.2 IDS01-J验证标准化字符串
weixin_33965305的博客
08-01 468
2.2 IDS01-J验证标准化字符串 许多应用能够接收非受信的输入字符串,但需要对基于字符串的字符数据进行过滤和验证处理。例如,为了避免跨站脚本(Cross-Site Scripting, XSS)的安全漏洞问题,某些应用会采用在输入中禁止<script>标签的策略。这种黑名单式的机制是一种有效的安全策略,尽管它们对于输入验证和净化来说是...
springmvc 练习 校验页面输入数据是否符合规范
酆都城博客
08-15 182
坐标 校验 必须的坐标 <!--导入校验的jsr303规范--> <dependency> <groupId>javax.validation</groupId> <artifactId>validation-api</artifactId> <version>2.0.1.Final</version>
Java之Normalizer(归一化)
oscar999的专栏
04-06 1万+
文章目录什么是归一化? 什么是归一化? 归一化的概念在人工智能领域会普通看到, 比如使用TensorFlow框架编码时,就会出现数据归一化的步骤或函数。 简单来说, 归一化就是对一组数据进行转换,使这组数据具备相同的格式或特性。举例来说: 一组任意的整数数组:1,2,400,5000, 如果每个数都除以这组元素中的最大值的话(这里是5000),则这个数组元素的值位于0-1之间,满足数学上概率的值的...
关于Normalizer.normalize()方法的用途
热门推荐
逆光下的轮廓
04-13 5万+
在工作中,经常在看到Normalizer.normalize()方法的身影,遂了解了下这个方法的作用。现假设系统对外部输入作校验,如果发现输入中包含"&lt;"或者"&gt;"字符,就判定此输入不合法,无法通过校验。但如果输入的是全角形式的字符,判断就会稍微变得麻烦,而且并不方便,一旦有所遗漏,出错之后排查可能会花费较多的时间。// 包含全角尖括号 String sbcCase = "\uFe64...
javascript中使用正则表达式进行字符串验证示例
10-27
2. **字符串验证**:在前端开发中,验证用户输入是非常重要的一步,以防止无效数据或恶意输入。本示例中,验证了三个关键字段: - **用户名**:不能为空,这通过检查字符串长度是否为0来实现。 - **密码**:必须是...
JSON字符串格式化软件版
06-13
在使用"HiJson 2.1.2_jdk64.exe"这样的软件时,用户通常需要下载并安装程序,然后将待格式化的JSON字符串复制到软件界面,点击相应的按钮进行格式化。如果软件需要JDK 64位版本,确保系统已安装兼容的Java环境是...
编程相关 原创字符串转换小工具
03-18
4. **字符串加密解密**:保护敏感信息的安全,可以使用各种加密算法(如MD5、SHA、AES等)对字符串进行加密和解密。 5. **正则表达式操作**:通过正则表达式实现字符串的查找、替换、分割等高级操作,常用于数据...
yuanqu_对园区进行地址匹配_
09-29
这包括规范化街道名称、城市名、邮政编码等,确保数据的一致性和准确性。 2. **地理编码(Geocoding)**:这是地址匹配的核心过程,通过将文本地址转换为经纬度坐标,使得地址可以被地图系统理解和显示。地理编码...
unorm:JavaScript Unicode 8.0规范化-NFC,NFD,NFKC,NFKD
05-01
这是Common JS模块中的 。 我与Unicode Normalizer的原始作者Matsuza无关。 安装 npm install unorm 保鲜膜 您可以将此模块用作 ,例如: console . log ( 'æøåäüö' . normalize ( 'NFKD' ) ) ; 该模块使用一些功能。 其他浏览器应使用兼容性垫片,例如 。 职能 该模块导出四个函数: nfc , nfd , nfkc和nfkd ; 每个Unicode规范化一个。 在浏览器中,功能以unorm全局导出。 在CommonJS环境中,您只需要模块。 职能: unorm.nfd(str) –规范分解 unorm.nfc(str) –规范分解,后跟规范组合 unorm.nfkd(str) –兼容性分解 unorm.nfkc(str) –兼容性分解,然后进行规范组合 Node.JS示例 有关更长的示例,
validate-path:文件路径验证规范化
02-05
`validate-path`是一个Node.js库,专门用于验证规范化文件路径,确保它们符合预期格式,并能在不同的操作系统上正常工作。这个库主要针对JavaScript开发者,尤其适用于进行测试、文件系统操作以及涉及路径处理的...
java 归一化_Java之Normalizer(归一化)
weixin_27134495的博客
02-12 1913
什么是归一化?归一化的概念在人工智能领域会普通看到, 比如使用TensorFlow框架编码时,就会出现数据归一化的步骤或函数。简单来说, 归一化就是对一组数据进行转换,使这组数据具备相同的格式或特性。举例来说: 一组任意的整数数组:1,2,400,5000, 如果每个数都除以这组元素中的最大值的话(这里是5000),则这个数组元素的值位于0-1之间,满足数学上概率的值的区间。在AI中,对培训数据进...
URL网址规范化方法
春风得意,马蹄仍急;少年豪情,一笑难回。
05-30 1112
转自:http://farlee.info/archives/url-canonicalization-method.html 什么是网址 url 规范化(URL canonicalization)? url 网址规范化指的是当出现了有大于一个的链接指向含有相同内容的网页时,通过各种方法让搜索引擎只挑选其中一个最喜欢的的网址,同时告诉搜索引擎不收录和索引其他网址的过程,从搜索引擎的角度上说
字符串方法
weixin_71110616的博客
02-28 173
新人尝试发布,字符串方法
如何对用户输入进行校验
kmyhy的专栏
08-01 2401
对用户输入进行校验是非常重要,我们无法预知用户行为。当你要求用户输入信息时,用户很可能输入了不正确的格式,而一旦我们将这些错误格式的数据发送到API,往往会导致不可预期的后果,甚至程序崩溃。因此理论上只要是用户输入,我们都必须进行校验。但这不是一件简单的工作。我们不仅仅需要考虑正则校验,同时需要遵循响应式原则,尽早在用户输入的过程中发现一切错误,越早越好。仅仅在用户输入完成后才进行正则校验,不是一种良好体验。接下来,我们演示这将如何实现。...
安全编程4j-1
weixin_34297704的博客
05-21 2364
规则1.1 禁止直接使用外部输入来拼接SQL语句以防止SQL注入说明:如果对于外部输入的数据未经处理,直接用于拼接SQL语句,***者可以通过构造特殊形式的输入来改变程序中原本要执行的SQL逻辑,形成SQL注入***,导致系统功能异常、信息泄露、数据被非法修改等安全问题。错误示例:publicvoid doPrivilegedAction(String username, c...
ES6-字符串扩展-at()和normalize()
极北
10-26 2755
at() ES5 对字符串对象提供 charAt 方法,返回字符串给定位置的字符。该方法不能识别码点大于 0xFFFF 的字符。   'abc'.charAt(0) // "a" '吉'.charAt(0) // "�" 上面代码中,charAt 方法返回的是 UTF-16 编码的第一个字节,实际上是无法显示的。使用字符串实例的 at 方法,可以识别 Unicode 编号大于 0xFFF...
java中格式化字符串漏洞怎么解决
最新发布
06-02
Java中的格式化字符串漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞执行恶意代码,造成严重的安全问题。为了防止这种漏洞的出现,我们可以采用以下措施: 1. 使用`String.format()`方法进行字符串格式化。该方法会自动进行转义处理,避免了格式化字符串漏洞的风险。 2. 在输出格式化字符串时,使用`%s`等占位符代替具体的值。例如,输出一个字符串时,可以使用以下代码: ```java String str = "hello world"; System.out.printf("str=%s\n", str); ``` 这样就可以避免攻击者通过构造恶意字符串来执行攻击。 3. 对于用户输入的数据,在使用前进行严格的输入验证和过滤,确保其符合预期的格式和规范。例如,可以使用正则表达式对输入数据进行验证,或者使用特定的数据类型进行处理。 综上所述,为了防止格式化字符串漏洞的出现,我们需要在代码编写时采取相应的措施,并且在开发过程中加强对安全漏洞的认识和了解,及时修复已知的漏洞问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值