特殊字符转义

最新推荐文章于 2024-05-13 12:10:52 发布
最新推荐文章于 2024-05-13 12:10:52 发布
阅读量752 收藏
点赞数
分类专栏: spring 文章标签: javascript html spring sql jsp 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmhui879/article/details/6458643
版权
  1. Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。   
  2.   
  3. 在这个分为两部分的文章中,我们将从众多的 Spring 工具类中遴选出那些好用的工具类介绍给大家。第 1 部分 介绍了与文件资源操作和 Web 相关的工具类。在第 2 部分中将介绍特殊字符转义和方法入参检测工具类。   
  4.   
  5. 特殊字符转义   
  6.   
  7. 由于 Web 应用程序需要联合使用到多种语言,每种语言都包含一些特殊的字符,对于动态语言或标签式的语言而言,如果需要动态构造语言的内容时,一个我们经常会碰到的问题就是特殊字符转义的问题。下面是 Web 开发者最常面对需要转义的特殊字符类型:   
  8.   
  9. HTML 特殊字符;    
  10. JavaScript 特殊字符;    
  11. SQL 特殊字符;    
  12. 如果不对这些特殊字符进行转义处理,则不但可能破坏文档结构,还可以引发潜在的安全问题。Spring 为 HTML 和 JavaScript 特殊字符提供了转义操作工具类,它们分别是 HtmlUtils 和 JavaScriptUtils。   
  13.   
  14. HTML 特殊字符转义   
  15.   
  16. HTML 中 <,>,& 等字符有特殊含义,它们是 HTML 语言的保留字,因此不能直接使用。使用这些个字符时,应使用它们的转义序列:   
  17.   
  18. &:&    
  19. " :"    
  20. < :<    
  21. > :>    
  22. 由于 HTML 网页本身就是一个文本型结构化文档,如果直接将这些包含了 HTML 特殊字符的内容输出到网页中,极有可能破坏整个 HTML 文档的结构。所以,一般情况下需要对动态数据进行转义处理,使用转义序列表示 HTML 特殊字符。下面的 JSP 网页将一些变量动态输出到 HTML 网页中:   
  23.   
  24.   
  25. 清单 1. 未进行 HTML 特殊字符转义处理网页   
  26.                    
  27. <%@ page language="java" contentType="text/html; charset=utf-8"%>   
  28. <%!   
  29.    String userName = "</td><tr></table>";   
  30.    String address = " /" type=/"button";   
  31.  %>   
  32. <table border="1">   
  33.    <tr>   
  34.      <td>姓名:</td><td><%=userName%></td> ①   
  35.    </tr>   
  36.    <tr>   
  37.      <td>年龄:</td><td>28</td>   
  38.    </tr>   
  39. </table>   
  40.  <input value="<%=address%>"  type="text" /> ②   
  41.     
  42.   
  43.   
  44. 在 ① 和 ② 处,我们未经任何转义处理就直接将变量输出到 HTML 网页中,由于这些变量可能包含一些特殊的 HTML 的字符,它们将可能破坏整个 HTML 文档的结构。我们可以从以上 JSP 页面的一个具体输出中了解这一问题:   
  45.   
  46. <table border="1">   
  47.    <tr>   
  48.      <td>姓名:</td><td></td><tr></table></td>    
  49.      ① 破坏了 <table> 的结构   
  50.    </tr>   
  51.    <tr>   
  52.      <td>年龄:</td><td>28</td>   
  53.    </tr>   
  54. </table>   
  55.  <input value=" " type="button"  type="text" />    
  56.  ② 将本来是输入框组件偷梁换柱为按钮组件   
  57.     
  58.   
  59.   
  60. 融合动态数据后的 HTML 网页已经面目全非,首先 ① 处的 <table> 结构被包含 HTML 特殊字符的 userName 变量截断了,造成其后的 <table> 代码变成无效的内容;其次,② 处 <input> 被动态数据改换为按钮类型的组件(type="button")。为了避免这一问题,我们需要事先对可能破坏 HTML 文档结构的动态数据进行转义处理。Spring 为我们提供了一个简单适用的 HTML 特殊字符转义工具类,它就是 HtmlUtils。下面,我们通过一个简单的例子了解 HtmlUtils 的具体用法:   
  61.   
  62.   
  63. 清单 2. HtmpEscapeExample   
  64.                    
  65. package com.baobaotao.escape;   
  66. import org.springframework.web.util.HtmlUtils;   
  67. public class HtmpEscapeExample {   
  68.     public static void main(String[] args) {   
  69.         String specialStr = "<div id=/"testDiv/">test1;test2</div>";   
  70.         String str1 = HtmlUtils.htmlEscape(specialStr); ①转换为HTML转义字符表示   
  71.         System.out.println(str1);   
  72.           
  73.         String str2 = HtmlUtils.htmlEscapeDecimal(specialStr); ②转换为数据转义表示   
  74.         System.out.println(str2);   
  75.           
  76.         String str3 = HtmlUtils.htmlEscapeHex(specialStr); ③转换为十六进制数据转义表示   
  77.         System.out.println(str3);   
  78.           
  79.         ④下面对转义后字符串进行反向操作   
  80.         System.out.println(HtmlUtils.htmlUnescape(str1));   
  81.         System.out.println(HtmlUtils.htmlUnescape(str2));   
  82.         System.out.println(HtmlUtils.htmlUnescape(str3));   
  83.     }   
  84. }   
  85.     
  86.   
  87.   
  88. HTML 不但可以使用通用的转义序列表示 HTML 特殊字符,还可以使用以 # 为前缀的数字序列表示 HTML 特殊字符,它们在最终的显示效果上是一样的。HtmlUtils 提供了三个转义方法:   
  89.   
  90. 方法 说明    
  91. static String htmlEscape(String input)  将 HTML 特殊字符转义为 HTML 通用转义序列;    
  92. static String htmlEscapeDecimal(String input)  将 HTML 特殊字符转义为带 # 的十进制数据转义序列;    
  93. static String htmlEscapeHex(String input)  将 HTML 特殊字符转义为带 # 的十六进制数据转义序列;    
  94.   
  95. 此外,HtmlUtils 还提供了一个能够将经过转义内容还原的方法:htmlUnescape(String input),它可以还原以上三种转义序列的内容。运行以上代码,您将可以看到以下的输出:   
  96.   
  97. str1:<div id="testDiv">test1;test2</div>   
  98. str2:<div id="testDiv">test1;test2</div>   
  99. str3:<div id="testDiv">test1;test2</div>   
  100. <div id="testDiv">test1;test2</div>   
  101. <div id="testDiv">test1;test2</div>   
  102. <div id="testDiv">test1;test2</div>   
  103.     
  104.   
  105.   
  106. 您只要使用 HtmlUtils 对代码 清单 1 的 userName 和 address 进行转义处理,最终输出的 HTML 页面就不会遭受破坏了。   
  107.   
  108. JavaScript 特殊字符转义   
  109.   
  110. JavaScript 中也有一些需要特殊处理的字符,如果直接将它们嵌入 JavaScript 代码中,JavaScript 程序结构将会遭受破坏,甚至被嵌入一些恶意的程序。下面列出了需要转义的特殊 JavaScript 字符:   
  111.   
  112. ' :/'    
  113. " :/"    
  114. / ://    
  115. 走纸换页: /f    
  116. 换行:/n    
  117. 换栏符:/t    
  118. 回车:/r    
  119. 回退符:/b    
  120.     
  121. 我们通过一个具体例子演示动态变量是如何对 JavaScript 程序进行破坏的。假设我们有一个 JavaScript 数组变量,其元素值通过一个 Java List 对象提供,下面是完成这一操作的 JSP 代码片断:   
  122.   
  123.   
  124. 清单 3. jsTest.jsp:未对 JavaScript 特殊字符进行处理   
  125.                    
  126. <%@ page language="java" contentType="text/html; charset=utf-8"%>   
  127. <jsp:directive.page import="java.util.*"/>   
  128. <%   
  129.   List textList = new ArrayList();   
  130.   textList.add("/";alert();j=/"");   
  131. %>   
  132. <script>   
  133.   var txtList = new Array();   
  134.    <% for ( int i = 0 ; i < textList.size() ; i++) { %>   
  135.      txtList[<%=i%>] = "<%=textList.get(i)%>";    
  136.      ① 未对可能包含特殊 JavaScript 字符的变量进行处理   
  137.    <% } %>   
  138. </script>   
  139.     
  140.   
  141.   
  142. 当客户端调用这个 JSP 页面后,将得到以下的 HTML 输出页面:   
  143.   
  144. <script>   
  145.   var txtList = new Array();   
  146.    txtList[0] = "";alert();j=""; ① 本来是希望接受一个字符串,结果被植入了一段JavaScript代码   
  147. </script>   
  148.     
  149.   
  150.   
  151. 由于包含 JavaScript 特殊字符的 Java 变量直接合并到 JavaScript 代码中,我们本来期望 ① 处所示部分是一个普通的字符串,但结果变成了一段 JavaScript 代码,网页将弹出一个 alert 窗口。想像一下如果粗体部分的字符串是“";while(true)alert();j="”时会产生什么后果呢?   
  152.   
  153. 因此,如果网页中的 JavaScript 代码需要通过拼接 Java 变量动态产生时,一般需要对变量的内容进行转义处理,可以通过 Spring 的 JavaScriptUtils 完成这件工作。下面,我们使用 JavaScriptUtils 对以上代码进行改造:   
  154.   
  155. <%@ page language="java" contentType="text/html; charset=utf-8"%>   
  156. <jsp:directive.page import="java.util.*"/>   
  157. <jsp:directive.page import="org.springframework.web.util.JavaScriptUtils"/>   
  158. <%   
  159.   List textList = new ArrayList();   
  160.   textList.add("/";alert();j=/"");   
  161. %>   
  162. <script>   
  163.    var txtList = new Array();   
  164.    <% for ( int i = 0 ; i < textList.size() ; i++) { %>   
  165.    ① 在输出动态内容前事先进行转义处理   
  166.    txtList[<%=i%>] = "<%=JavaScriptUtils.javaScriptEscape(""+textList.get(i))%>";   
  167.    <% } %>   
  168. </script>   
  169.     
  170.   
  171.   
  172. 通过转义处理后,这个 JSP 页面输出的结果网页的 JavaScript 代码就不会产生问题了:   
  173.   
  174. <script>   
  175.    var txtList = new Array();   
  176.    txtList[0] = "/";alert();j=/"";   
  177.    ① 粗体部分仅是一个普通的字符串,而非一段 JavaScript 的语句了   
  178. </script>   
  179.     
  180.   
  181.   
  182. SQL特殊字符转义   
  183.   
  184. 应该说,您即使没有处理 HTML 或 JavaScript 的特殊字符,也不会带来灾难性的后果,但是如果不在动态构造 SQL 语句时对变量中特殊字符进行处理,将可能导致程序漏洞、数据盗取、数据破坏等严重的安全问题。网络中有大量讲解 SQL 注入的文章,感兴趣的读者可以搜索相关的资料深入研究。   
  185.   
  186. 虽然 SQL 注入的后果很严重,但是只要对动态构造的 SQL 语句的变量进行特殊字符转义处理,就可以避免这一问题的发生了。来看一个存在安全漏洞的经典例子:   
  187.   
  188. SELECT COUNT(userId)    
  189. FROM t_user    
  190. WHERE userName='"+userName+"' AND password ='"+password+"';   
  191.     
  192.   
  193.   
  194. 以上 SQL 语句根据返回的结果数判断用户提供的登录信息是否正确,如果 userName 变量不经过特殊字符转义处理就直接合并到 SQL 语句中,黑客就可以通过将 userName 设置为 “1' or '1'='1”绕过用户名/密码的检查直接进入系统了。   
  195.   
  196. 所以除非必要,一般建议通过 PreparedStatement 参数绑定的方式构造动态 SQL 语句,因为这种方式可以避免 SQL 注入的潜在安全问题。但是往往很难在应用中完全避免通过拼接字符串构造动态 SQL 语句的方式。为了防止他人使用特殊 SQL 字符破坏 SQL 的语句结构或植入恶意操作,必须在变量拼接到 SQL 语句之前对其中的特殊字符进行转义处理。Spring 并没有提供相应的工具类,您可以通过 jakarta commons lang 通用类包中(spring/lib/jakarta-commons/commons-lang.jar)的 StringEscapeUtils 完成这一工作:   
  197.   
  198.   
  199. 清单 4. SqlEscapeExample   
  200.                    
  201. package com.baobaotao.escape;   
  202. import org.apache.commons.lang.StringEscapeUtils;   
  203. public class SqlEscapeExample {   
  204.     public static void main(String[] args) {   
  205.         String userName = "1' or '1'='1";   
  206.         String password = "123456";   
  207.         userName = StringEscapeUtils.escapeSql(userName);   
  208.         password = StringEscapeUtils.escapeSql(password);   
  209.         String sql = "SELECT COUNT(userId) FROM t_user WHERE userName='"  
  210.             + userName + "' AND password ='" + password + "'";   
  211.         System.out.println(sql);   
  212.     }   
  213. }   
  214.     
  215.   
  216.   
  217. 事实上,StringEscapeUtils 不但提供了 SQL 特殊字符转义处理的功能,还提供了 HTML、XML、JavaScript、Java 特殊字符的转义和还原的方法。如果您不介意引入 jakarta commons lang 类包,我们更推荐您使用 StringEscapeUtils 工具类完成特殊字符转义处理的工作。   
fmhui879
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTML特殊转义字符列表
05-11
web开发时 html 页面 特殊字符转义大全 如 引号 冒号 空格等等
基于sqlite特殊字符转义的实现方法
12-16
总之,SQLite特殊字符转义是保证SQL查询正确执行的关键步骤,开发者应确保在处理用户输入时采取适当措施。同时,熟悉SQLite的基本操作和最佳实践,对于提升数据库管理的效率和安全性有着重要意义。
特殊字符转义
热门推荐
sprita1的专栏
04-25 2万+
转义相关的字符有:. * + ( ) $ / \ ? [ ] ^ { } ,就是单独去查找这些字符时需要去转义的。 1、jsp——>action中如果有特殊字符( \ / .)等符号需要转义,可以用escape(。。。) 2、java中有特殊含义的字符(如:换行符,回车符,单引号,双引号),如果你要用它,必须在前面加一个前缀“\”如换行("\n")、回车("\r")、双引号(
【网络安全 前端XSS防护】一文带你了解HTML特殊字符转义及编码_xss特殊字符替换
最新发布
2401_84970385的博客
05-13 866
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
js特殊字符转义介绍
01-19
点的转义:. ==> \\u002E 美元符号的转义:$ ==> \\u0024 乘方符号的转义:^ ==> \\u005E 左大括号的转义:{ ==> \\u007B 左方括号的转义:[ ==> \\u005B 左圆括号的转义:( ==> \\u0028 竖线的转义:| ==> \\u...
两种方法解决javascript url post 特殊字符转义 + & #
10-22
本文主要介绍javascript使用url传值的时候数据丢失的问题,希望对大家有所帮助。
HTML特殊字符转义对照字典表
02-12
完整的HTML特殊字符转义对照表,一表在手,放心使用,从此告别百度
转义字符与特殊符号
MaFeng
03-15 3694
目录 HTML中的转义字符 XML转义字符 特殊字符和空格 HTML中的转义字符 HTML中<, >,&等有特殊含义,(前两个字符用于链接签,&用于转义),不能直接使用。使用这三个字符时,应使用它们的转义序列,如下所示: &amp; 或 &#38; & 和 &lt; 或 &#60; ...
特殊字符转义与联合列表模糊查询
fbbqt的博客
02-23 312
特殊字符转义
特殊字符转义总结
Zicheng's tech blog
10-16 1319
1、文本内容显示在网页中
特殊的转义字符—— \b 退格字符 ASCII 0x08
XcantloadX的博客
11-26 9003
字符,也就是 ASCII 码 0x8 的字符被原样输出了出来,**在文本编辑器里并没有实现退格的效果。判题平台上使用的就是类似的方法,把程序的输出直接导出,传到网站上显示,但浏览器可不认。事实上退格键在早期打印机上的作用就是“往前退一格”,后来退格键的含义变了,变成了“往前退一格 + 删除一个字符”。想要解决,则必须判断当前输出的是否为第一个或者最后一个数字,如果是,就不用输出加号。字符的确是退格字符,但此退格非彼退格,可不是键盘上的退格键。,这是个退格字符,能不能用它把多余的加号给删了呢?
HTML特殊字符转译
Silence_JK的博客
06-03 3706
最常用的字符实体 显示结果 描述 实体名称 实体编号   空格     小于号 < < > 大于号 > > & 和号 & & " 引号 " " ' 撇号 &apos; (IE不支持) '
字符串特殊字段转义
乾复道
11-01 1360
开发过程中难免有需要进行模糊匹配搜索的地方,但是如果你在使用正则表达式进行模糊匹配,那么,你就需要对特殊字符进行转义,否则,你可以试试模糊匹配以下字符串 let str = "/*"; 下面,我们来进行特殊字符转义 //正则字符串转义 function escapeRegExp(str) { return str.replace(/[\-\[\]\/\{\}\(\)\*\+\?\.\\\^\$\|]/g, "\\$&"); } //demo function regex
mybatis特殊字符转义
09-12
在Mybatis中,特殊字符需要进行转义处理。XML文件在解析时会将五种特殊字符进行转义,这五个特殊字符是:`>`(大于)、`<`(小于)、`&`(和)、`"`(英文双引号)和`&apos;`(英文单引号)。一种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值