自定义EL函数防止HTML注入

最新推荐文章于 2023-05-10 15:09:59 发布
最新推荐文章于 2023-05-10 15:09:59 发布
阅读量2.2k 收藏 1
点赞数 3
分类专栏: JavaWeb 参与感Thinking in Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881836/article/details/51052436
版权

我们先来看看没有自定义EL函数时是怎么HTML注入的。

首先,我们定义一个jsp页面用于搜集用户提交的表单数据

<form action="ResultServlet" method="post">
		用户名:<input type="text" name="username"><br><br>
		留言:     
		<textarea rows="6" cols="100" name="message"></textarea><br>
		<input type="submit" value="提交">
</form>

我们让表单数据提交给ResultServlet来处理,所以我们定义一个servlet来处理数据 

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ResultServlet extends HttpServlet 
{
	
	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException 
	{
		request.setCharacterEncoding("UTF-8");
		String name=request.getParameter("username");//获取username
		String message=request.getParameter("message");//获取mesage
		request.setAttribute("name",name);
		request.setAttribute("message",message);
		
		request.getRequestDispatcher("/result.jsp").forward(request,response);//请求转发,给result.jsp显示处理的结果
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException 
	{
		doGet(request,response);
	}
}

EL表达式显示处理后的数据 
<body>
	用户名:${caorui:filter(name)}<br>
	留言内容:${caorui:filter(message)}
</body>

现在,我们可以来测试数据了,一起来看看结果:






很不幸,我们被HTML注入成功了( ▼-▼ )


-------------------------------------------------------------------------------------------我是分割线-------------------------------------------------------------------------------------------------------------


作为一个合格的javaweb程序员,我们应该要解决这个问题。一般情况下,自定义EL函数,可以防止HTML注入(当然,还有更好的办法)。
现在,我们来解决这个BUG。


第一步,开发我们自己的EL函数,这个函数的所属类必须定义为public,函数本身必须为public  static。这个函数的功能是实现HTML编码转换防止注入 

public class HTMLFilter 
{
	public static String filter(String message)
	{
		if(message==null)
		{
			return null;
		}
		char content[]=new char[message.length()];
		message.getChars(0,message.length(),content,0);
		StringBuffer result=new StringBuffer(content.length+50);
		for(int i=0;i<content.length;i++)
		{
			switch(content[i])
			{
			case '<':
				result.append("<");
				break;
			case '>':
				result.append(">");
				break;
			case '&':
				result.append("&");
				break;
			case '"':
				result.append(""");
			default:
				result.append(content[i]);
			}
		}
		return (result.toString());
	}
}

我们要让EL函数可以调用这个static方法,此时我们应该在tld(标签库描述符)文件中注册自定义函数,将这个函数映射成EL自定义函数。这个文件可以放到WEB-INF 目录下。 

<?xml version="1.0" encoding="UTF-8" ?>  
<taglib xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee web-jsptaglibrary_2_0.xsd"  
    version="2.0">  
    <tlib-version>1.0</tlib-version>  
    <jsp-version>2.0</jsp-version>  
    <short-name>function</short-name>  
    <uri>http://www.baidu.com</uri>
    <function>  
        <name>filter</name>  
        <function-class>packge01.HTMLFilter</function-class>  
        <function-signature>java.lang.String filter(java.lang.String)</function-signature>  
    </function>  
</taglib>


最后,我们可以在显示的jsp页面中使用自定义EL函数 

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="caorui" uri="http://www.baidu.com" %>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
</head>
<body>
	用户名:${caorui:filter(name)}<br>
	留言内容:${caorui:filter(message)}
</body>
</html>

再来看看执行效果



ok,到此为止我们成功了!

时间沉淀美好
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EL表达式,#{}和${}区别(是否防止sql注入
HSH541的博客
08-12 1345
#相当于对数据 加上 双引号,$相当于直接显示数据 #可以有效的防止SQL注入 会加上“” 之后写进sql中 $不能防止SQL注入 因为会直接写进sql语句中 使用#时: 1、用#来传递参数时,sql在解析的时候会加上“”,当成字符段来解析。例如id=“12”。所有很大程度上防止sql注入。 使用时:2、用时: 2、用时:2、用传入数据直接显示在生成的sql中,如上面的语句id=${12}直接解析为id=12,执行时会报错。 能用#尽量用#。 #{} 用于CRUD(增删改查)语句,${} 则用于模糊查询(记
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
HTML注入
donghaima的专栏
04-02 1629
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
HTML 注入
voctor2436的博客
05-05 621
XSS(Cross-site Scripting)中文翻译是“跨站脚本攻击”,XSS本质上是HTML注入攻击,但又不同于HTML注入,XSS利用脚本标记运行JavaScript等脚本程序,可以通过JavaScript获取机密数据和一些列危险操作,而HTML注入只是使用HTML标签修改页面内容。HTML注入是一种漏洞,一种网络攻击方式,当网页无法清理用户提供的输入或验证输出时,攻击者就可以伪造自己的有效负载,并通过易受攻击的字段将恶意HTML代码注入应用程序,从而修改网页内容,甚至获取一些敏感数据。
Vue自定义指令写法与个人理解
10-17
指令是Vue中用于扩展HTML的一种方式,它们允许我们向HTML元素注入JavaScript逻辑。在Vue中,预定义了一些内置指令,如v-if、v-else、v-for等,用于条件渲染、循环遍历等常见任务。然而,Vue也允许开发者自定义指令,...
详解在Vue中通过自定义指令获取dom元素
12-08
自定义指令中,我们可以监听绑定的数据变化,但需要注意的是,这些钩子函数内部的`this`并不指向Vue实例,因此无法直接使用`this.$el`来获取元素。 为了解决这个问题,我们可以采取以下策略。首先,创建一个...
Angular17之Angular自定义指令详解
11-27
在Angular框架中,自定义指令是一种扩展HTML语言能力的方式,允许开发者定义新的行为或属性,以增强标准HTML元素的功能。本文将深入探讨Angular 17中的自定义指令,包括其基本概念、分类、常用常量以及如何创建和...
Vue函数式组件的应用实例详解
12-11
2. 第二个参数:一个对象,可选,用于指定组件的属性,如 HTML 属性或自定义指令。 3. 第三个参数:子级虚拟节点,可选,用于构建复杂的组件结构。 例如: ```javascript createElement('div', { class: 'container...
百度地图中自定义Dialog
09-24
这可以通过在Dialog类中注入地图对象,或者通过回调函数传递数据来实现。 通过以上步骤,我们可以在百度地图应用中成功创建并使用自定义Dialog。记住,自定义Dialog的关键在于根据具体需求设计布局和实现功能,确保...
Inject:从外部来源将html注入您的网站-html source website
03-24
Inject.js 它是什么? 一个javascript文件,它将从其他网页提取html,并将该html注入到您的文档中,类似于iframe。 我什么时候使用这个? 如果您想控制要导入到网页中的html,则iframe不能与父级CSS和javascript很好地配合使用。 例如,您可以使用自己的javascript或css来定位注入html,否则,如果您无法访问所请求的html的源,则很难做到这一点。 评论 在,inject使用来获取请求页面的html,从源中删除任何样式或脚本标签,然后再注入到您的页面中。 这意味着调用者有责任为页面的布局添加css等(如果需要)。 与任何了。 使用Yahoo!规避了同源政策。 作为代理,因此您可以做的比AJAX多,并且通过扩展受到额外的安全限制。 给我看看代码! < div data-inject-src =" {example.com} " s
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
浅谈html转义及防止javascript注入攻击的方法
10-20
下面小编就为大家带来一篇浅谈html转义及防止javascript注入攻击的方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
bWAPP HTML Injection (HTML注入)
angry_program的博客
02-24 1746
前言 bwapp靶场每一种类型都分为3种等级: Low, Medium, High 这边我就按照类型归类写, 方便查阅。 话不多说, 直接lu靶场 0x01 HTML injection Reflected GET 分析网站: Low Low等级没有任何防护, 直接注入即可: Medium 在Medium等级中, 继续进行注入的话, 会发现&lt...
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1533
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
Web渗透(二)HTML注入知识整理
weixin_39157582的博客
08-23 5824
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议 1、什么是HTML注入 HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。 由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例
注入攻击(二)--------HTML(有源码)
Young12138的博客
05-10 1468
html注入攻击
html注入原理,CSS注入
weixin_28691741的博客
06-03 409
CSS仅仅只是一种用来表示样式的语言吗?当然不是!CSS就已被安全研究人员运用于渗透测试当中。使用属性选择器和iFrame,并通过CSS注入来窃取敏感数据的方法。但由于该方法需要iFrame,而大多数主流站点都不允许该操作,因此这种攻击方法并不实用。这里为大家详细介绍一种不需要iframe且只需10秒,就能为获得CSRF token的方法。什么是CSS注入大家对XSS攻击都非常熟悉了,可能很少关注...
HTML注入实现钓鱼
weixin_45006525的博客
08-15 1727
HTML注入实现钓鱼 HTML注入介绍: 超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通过一些表单输入后会呈现在页面。 由于 HTML 是用于定义网页结构的语言,如果攻击者可以注入 HTML,它们基本上可以改变浏览器呈现的内容。 有时,这可能会导致页面外观的完全改变,恶意用户会通过注入覆盖掉之前的界面,展现出精心构造的页面,引导用户
WEB漏洞测试(二)——HTML注入 & XSS攻击
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
springboot 中flowable 自定义 Expression functions示例
最新发布
06-09
下面是一个示例,演示如何在Spring Boot应用程序中使用Flowable自定义表达式...以上例子中,我们将自定义函数注入到Spring容器中,并在`expressionManager()`方法中使用`SpringExpressionManager`来注册自定义函数
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值