项目防止脚本攻击sxx存储性漏洞

最新推荐文章于 2023-01-22 14:15:56 发布
最新推荐文章于 2023-01-22 14:15:56 发布
阅读量2.3k 收藏
点赞数
分类专栏: 项目
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kang1011/article/details/109209477
版权

项目防止脚本攻击sxx存储性漏洞

在这里插入图片描述
<a 标签跳转,等等
现象:

如上页面一些更新修改添加操作,输入js一些可执行脚本,对网站进行攻击。

解决:

可引入以下的工具类,对保存的字段做过滤拦截,防止js脚本攻击。

package com.xx;
 
import java.util.regex.Pattern;
 
public class XSSUtils {
	 
    public static String striptXSS(String value) {
        if (value != null) {
 
            value = value.replaceAll("", "");      
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile(".*<.*", Pattern.CASE_INSENSITIVE );
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
    
 
}
kangfu_521
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止SXX攻击的JAVA实例
03-29
自定义过滤器,用于处理系统安全相关(XSS,SQL注入等)
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
Java Web应用程序的反跨站点脚本(XSS)过滤器
最佳 Java 编程
05-09 307
这是为Java Web应用程序编写的一个好简单的反跨站点脚本(XSS)过滤器。 它的主要作用是从请求参数中删除所有可疑字符串,然后将其返回给应用程序。 这是我以前关于该主题的帖子的改进。 您应该将其配置为链(web.xml)中的第一个过滤器,通常最好让它捕获对您站点的所有请求。 实际的实现包括两个类,实际的过滤器非常简单,它将HTTP请求对象包装在一个专门的HttpServle...
改bug时踩的坑
热门推荐
weixin_34153893的博客
04-04 2万+
用元组接收返回的多个数组 class p(object): def __init__(self): (self.x,self.y)=self.xdxx() print(self.x) def xdxx(self): a=[1,4,5,8,5] b=[4,5,8,9,9] return a,b t=p...
XSS漏洞 解决
even随手
03-28 900
转译参数      将容易引起xss漏洞的半角字符直接替换成全角字符      public String xssEncode(String s)       {           if (s == null || s.isEmpty())           {               return s;           }               
集成电路中的89Sxx开发板制作方案
10-20
 我设计这个单面开发板使用MCS - 51单片机学习的工具,便于单片机项目开发 .89Sxx开发板功能 :  89Sxx 40的DIL为基础的设计,89S51/52/53  在系统编程(ISP),通过6针接头  RS - 232和RS - 485串行端口...
sxx软件产品发展计划.pptx
10-11
sxx软件产品发展计划】主要探讨了金蝶软件在2000年的发展策略,聚焦于产品的品牌定位、应用领域、技术趋势以及市场竞争对手分析。金蝶软件旨在通过不断的产品迭代和技术创新,以满足不同规模企业的需求。 首先,...
APM32F103xCxDxE与Sxx32F103xCxDxE差异
07-05
APM32F103xCxDxE和Sxx32F103xCxDxE是两种常见的微控制器系列,它们在许多方面有着相似之处,但也存在一些显著的差异。本文将深入探讨这两个系列之间的关键区别,帮助开发者做出最佳决策。 首先,我们来看APM32F103...
对/etc/rc.d/init.d目录的一点理解
wy19910326的专栏
03-14 1万+
辅助环境:rh9,fc7 另:本文如无特殊解释,init.d指的就是/etc/rc.d/init.d目录。转载 本文包括3部分内容 1、 Linux的引导过程 2、 运行级别 3、 /etc/rc.d/ 与/etc/rc.d/init.d的关系 都仅限于自身的理解,如有差错和不足的地方请指正和补充!一起学习,一起进步。 “/etc/rc.d/init.d/目录下的脚本就类似与wind
registration.setOrder
xx先森
08-07 3724
在 spring boot 配置Filter过滤器 中简单介绍了spring boot 中如何添加过滤器,有人问到如果配置多个怎么控制,先经过哪个过滤器,后经过哪个过滤器。在web.xml中,我们知道,执行顺序是谁在前边执行谁。 在spring boot中的FilterRegistrationBean注册过滤器的类中有个order属, private int order = Ordered...
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2532
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
Pattern和Matcher详解(字符串匹配和字节码)
思緒凌亂
03-25 1万+
一:起因 (1)Java里面进行字符串操作,第一个想到的是String类 和 StringBuilder类 内含replace() 、replaceAll() 、split()、matches()等方法 —— 其实String类里面的           public String[] split(String regex, int limit) 和 matches()方法,调用是Pattern
Web安全入门——跨站脚本攻击(XSS)
最新发布
wangluoanquan152的博客
01-22 1190
跨站脚本攻击(XSS)是客户端安全的头号大敌,OWASP TOP 10多次把xss列在榜首。 XSS攻击是指黑客通过“HTML注入”篡改网页,插入恶意的脚本,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1208
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
java url注入链接_java请求URL带参之防XSS攻击
weixin_29213655的博客
02-16 584
packagecom.isoftstone.ifa.web.base.filter;importjava.util.regex.Pattern;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importorg.apache.commons.lang.Str...
shell script: pattern match (模式识别)
Achiberx
10-08 2001
关键词: Linux, pattern match, 模式识别, 匹配 以下摘自:书名: Linux Shell Scripting with Bash ,作者:Ken O. Burtch   ?(pattern-list)—Matches zero or one occurrence of the given patterns   *(pattern-list)—Matches zero
linux内存管理
SXX___SXX的博客
04-28 459
linux内存管理 linux系统的能取决于如何有效的管理动态内存,因此现在所有的多任务操作系统都在尽力优化对动态内存的使用,也就是说尽可能做到当需要时分配,不需要时释放。 内存寻址 内存地址 内存地址:作为访问内存单元内容的一种方式,主要有以下三种; 逻辑地址(logic address):包含在机器语言指令中用来指定一个操作数或一条指令的地址; 线地址(linear address)(也称虚拟地址virtual address):是一个32位的无符号整数,可以用来标识高达4GB的地址; 物理地址(
xss注入
shake863
01-16 153
先看看一个例子: [code="java"]http://localhost/php-1.php?key=%dd%22;alert(document.cookie);//[/code] 下面是php的代码: [code="java"] $key = $_GET['key']; echo ""; echo "var a = \"".addslashes($key)."\"&quo
DOM型XSS;cookie获取及XSS后台使用;XSS钓鱼演示;XSS获取键盘记录实验演示
qq_44696653的博客
04-21 2161
DOM型XSS DOM简介(摘录) 通过JavaScript,可以重构整个HTML文档,可以添加、移除、改变或重排页面上的项目。 要改变页面的某个东西,JavaScript就需要获得对HTML文档中所有元素进行添加、移动、改变或移除的方法和属,都是通过文档对象模型来获得的(DOM)。 所以就可以将DOM理解为访问HTML的标准编程接口。 DOM型XSS漏洞演示 ...
SXX32F030移植指南:AT32F421升级教程
本篇文档是MG0016_《从SXX32F030移植到AT32F421 - V1.0.0》,主要针对从SXX32F030系列单片机迁移到AT32F421系列的过程提供指导。这份应用笔记发布于2020年8月3日,旨在帮助开发者了解和执行硬件、外设和固件的迁移...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值