org.apache.commons.lang3.StringEscapeUtils注意事项

最新推荐文章于 2022-03-09 13:55:34 发布
最新推荐文章于 2022-03-09 13:55:34 发布
阅读量3.2k 收藏 1
点赞数 1
分类专栏: Apache开源类 文章标签: java json 移动开发

 最近客户安全管理组扫描已交付的程序,发现程序存在xss漏洞,于是要求修复。修复的建议是将请求的所有url和参数做过滤。于是有同事在增加了一个过滤器,这个过滤器继承了HttpServletRequestWrapper类,代码如下:

import java.net.URLDecoder;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XSSRequestWrapper extends HttpServletRequestWrapper {
	public XSSRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
	}

	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = stripXSS(values[i]);
		}
		return encodedValues;
	}

	public String getRequestURI() {
		String uri = super.getRequestURI();
		try {
			uri = URLDecoder.decode(uri, "UTF-8");
		} catch (Exception e) {
		}
		return stripXSS(uri);
	}

	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		return stripXSS(value);
	}

	public String getHeader(String name) {
		String value = super.getHeader(name);
		return stripXSS(value);
	}

	private String stripXSS(String value) {
		if (value != null) {
			value = StringEscapeUtils.escapeHtml3(value);
		}
		return value;
	}
}

 在这个类中,引用了org.apache.commons.lang3.StringEscapeUtils,使用了StringEscapeUtils类的public static final String escapeHtml3(String input)方法对请求中的参数做过滤。

Struts的方法在收到这个前台页面发送来请求时,处理请求。其中,取得参数时,发现经过ajax传递到后台参数中的中文都被转成中文了。后来在后台的方法中获取参数后再调用StringEscapeUtils的另一个方法转码就无问题了。

		String json = request.getParameter("jsonStr");
		json = StringEscapeUtils.unescapeHtml3(json);

 

ancoa
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
org.apache.commons.lang jar包下载
05-16
org.apache.commons.lang.StringEscapeUtils.class org.apache.commons.lang.StringUtils.class org.apache.commons.lang.SystemUtils.class org.apache.commons.lang.UnhandledException.class org.apache....
慎用StringEscapeUtils.escapeHtml方法【转】
五谷杂粮
07-01 2520
推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。 最近在数据库里发现某个表的内容全都成了HTML entity表示,中文也全被转换成了”&amp;#25105;”这样的格式,而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到数据库之前...
commons-lang3StringEscapeUtils类的常用方法总结
dy051107的博客
04-19 8211
StringEscapeUtils 从类名能看出来,是对特定字符串转义和不转义输出的工具类,例如以下的情况,使用【类名.方法名】的方式 html,xml的标签(" & < >等) javajavascript的转义字符(tab键,双引号(")等) csv文件中项目双引号等 对转义字符概念还没有理解的小伙伴,现行baidu下,下面我们一组一组来介绍常用...
字符串转换工具类, 继承org.apache.commons.lang3.StringUtils类
qq_27319683的博客
12-06 588
import java.io.UnsupportedEncodingException; import java.util.List; import java.util.Locale; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.http.HttpServletReques...
java stringescapeutils_StringEscapeUtils防止xss攻击详解
weixin_33918358的博客
02-26 2886
StringUtils和StringEscapeUtils这两个实用类。1、转义防止xss攻击1、转义可以分为下面的几种情况第一用户输入特殊字符的时候,在提及的时候不做任何处理保持到数据库,当用户从数据库查询对对于的数据的时候,因为数据中存在特殊字符,要让特殊字符能够正常显示不被网页执行,需要对从数据库中查询出来的数据进行转义,比如用户输入一个左尖括号(例如在数据库中存储的数据是:(123)(*&...
org.apache.commons.lang3.StringEscapeUtils的使用
snowyleafcsdn的博客
11-21 3540
StringEscapeUtilsorg.apache.commons.lang3包下,可以方便的对html等东西进行转义 StringEscapeUtils.unescapeHtml3与StringEscapeUtils.unescapeHtml4的区别在于unescapeHtml4可对更多位的html进行转义,如以下例子: String a = " (&gt;^&omeg...
org.apache.commons.lang.StringEscapeUtils
03-23
解决json数据中,返回的数据格式中带有反...如下所示{\"Count\":\"3\",\"ErrorString\":\"\",\"Success\":true,\"URL\":\"http:\\\/\\\/172.16.80.65:8080\\\/LoginSSO.aspx?UserCode=wubg&Type=WorkItem\",\"UserId\":
org.apache.commons.lang包
12-11
Apache Commons Lang资源包,下载解压缩后,可获得api文档,源码,jar包,用于开发
org.apache.commons.lang jar包下载(commons-lang3-3.1.jar)
04-13
org.apache.commons.lang.StringEscapeUtils.class org.apache.commons.lang.StringUtils.class org.apache.commons.lang.SystemUtils.class org.apache.commons.lang.UnhandledException.class org.apache....
commons-lang3-3.4jar.rar
05-26
commons-lang3-3.4jar 包括org.apache.commons.lang.StringEscapeUtils类。
Java问题集锦--The type StringEscapeUtils is deprecated
Gblfy_Blog
10-21 1070
The type StringEscapeUtils is deprecated” 之前一直使用commons-lang3-3.x.jar 这个jar包里面的 org.apache.commons.lang3.StringEscapeUtils 类来转义特殊字符,但是最近发现使用这个类会出现以下提示: Multiple markers at this line - The type StringEscapeUtils is deprecated - The method escapeXml11(Stri
org.apache.commons.lang3.StringEscapeUtils‘ 已经过时了的问题
WgRui的博客
12-29 8131
Java中字符串工具类继承org.apache.commons.lang3.StringUtils类代码
BADAO_LIUMANG_QIZHI的博客
08-10 836
场景 转换为字节数组;是否包含字符串;替换掉HTML标签方法;替换为手机识别的HTML,去掉样式及属性,保留回车; 缩略字符串(不区分中英文字符);转换为Double类型;转换为Float类型;转换为Long类型;转换为Integer类型; 获得i18n字符串;获得用户远程地址;驼峰命名法工具;转换为JS获取对象值,生成三目运算返回结果; 通过正则表达式获取内容; 实现 import...
(转)Apache Commons工具集简介
jackyrongvip的专栏
10-15 481
Apache Commons包含了很多开源的工具,用于解决平时编程经常会遇到的问题,减少重复劳动。我选了一些比较常用的项目做简单介绍。文中用了很多网上现成的东西,我只是做了一个汇总整理。 一、Commons BeanUtils http://jakarta.apache.org/commons/beanutils/index.html 说明:针对Bean的一个工具集。由于Bean往往是有一堆get...
java escape html_慎用StringEscapeUtils.escapeHtml方法【转】
weixin_35218304的博客
02-19 1947
推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目中大量使用StringUtils和StringEscapeUtils这两个实用类。最近在数据库里发现某个表的内容全都成了HTML entity表示,中文也全被转换成了”我”这样的格式,而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到 数据库之前,用StringEsca...
StringEscapeUtils类转义与反转义(对js sql html xml等代码进行转义)
始于足下
09-08 1674
public class Test { String s = "";           System.out.println(StringEscapeUtils.escapeHtml3(s));                      String u = "<pre class="brush: java;">";           S
xss攻击解决方案
M1275601161的博客
03-09 3836
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Req

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值