自定义EL函数防止HTML注入

最新推荐文章于 2025-04-12 19:05:53 发布
最新推荐文章于 2025-04-12 19:05:53 发布
阅读量2.2k 收藏 1
点赞数 3
分类专栏: JavaWeb 参与感Thinking in Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012881836/article/details/51052436
版权

我们先来看看没有自定义EL函数时是怎么HTML注入的。

首先,我们定义一个jsp页面用于搜集用户提交的表单数据

<form action="ResultServlet" method="post">
		用户名:<input type="text" name="username"><br><br>
		留言:     
		<textarea rows="6" cols="100" name="message"></textarea><br>
		<input type="submit" value="提交">
</form>

我们让表单数据提交给ResultServlet来处理,所以我们定义一个servlet来处理数据 

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ResultServlet extends HttpServlet 
{
	
	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException 
	{
		request.setCharacterEncoding("UTF-8");
		String name=request.getParameter("username");//获取username
		String message=request.getParameter("message");//获取mesage
		request.setAttribute("name",name);
		request.setAttribute("message",message);
		
		request.getRequestDispatcher("/result.jsp").forward(request,response);//请求转发,给result.jsp显示处理的结果
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException 
	{
		doGet(request,response);
	}
}

EL表达式显示处理后的数据 
<body>
	用户名:${caorui:filter(name)}<br>
	留言内容:${caorui:filter(message)}
</body>

现在,我们可以来测试数据了,一起来看看结果:






很不幸,我们被HTML注入成功了( ▼-▼ )


-------------------------------------------------------------------------------------------我是分割线-------------------------------------------------------------------------------------------------------------


作为一个合格的javaweb程序员,我们应该要解决这个问题。一般情况下,自定义EL函数,可以防止HTML注入(当然,还有更好的办法)。
现在,我们来解决这个BUG。


第一步,开发我们自己的EL函数,这个函数的所属类必须定义为public,函数本身必须为public  static。这个函数的功能是实现HTML编码转换防止注入 

public class HTMLFilter 
{
	public static String filter(String message)
	{
		if(message==null)
		{
			return null;
		}
		char content[]=new char[message.length()];
		message.getChars(0,message.length(),content,0);
		StringBuffer result=new StringBuffer(content.length+50);
		for(int i=0;i<content.length;i++)
		{
			switch(content[i])
			{
			case '<':
				result.append("<");
				break;
			case '>':
				result.append(">");
				break;
			case '&':
				result.append("&");
				break;
			case '"':
				result.append(""");
			default:
				result.append(content[i]);
			}
		}
		return (result.toString());
	}
}

我们要让EL函数可以调用这个static方法,此时我们应该在tld(标签库描述符)文件中注册自定义函数,将这个函数映射成EL自定义函数。这个文件可以放到WEB-INF 目录下。 

<?xml version="1.0" encoding="UTF-8" ?>  
<taglib xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee web-jsptaglibrary_2_0.xsd"  
    version="2.0">  
    <tlib-version>1.0</tlib-version>  
    <jsp-version>2.0</jsp-version>  
    <short-name>function</short-name>  
    <uri>http://www.baidu.com</uri>
    <function>  
        <name>filter</name>  
        <function-class>packge01.HTMLFilter</function-class>  
        <function-signature>java.lang.String filter(java.lang.String)</function-signature>  
    </function>  
</taglib>


最后,我们可以在显示的jsp页面中使用自定义EL函数 

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="caorui" uri="http://www.baidu.com" %>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
</head>
<body>
	用户名:${caorui:filter(name)}<br>
	留言内容:${caorui:filter(message)}
</body>
</html>

再来看看执行效果



ok,到此为止我们成功了!

EL表达式注入漏洞:深入了解与防范
syntax_loop446的博客
09-22 549
为了保护应用程序的安全,我们应该加强对用户输入的验证和过滤,使用安全的EL解析器,采用最小权限原则,定期更新和修补系统,并提高安全意识。当开发人员未能正确验证和过滤用户输入,并将用户输入直接传递给EL表达式进行求值时,攻击者有机会构造恶意输入,执行未授权的操作。EL表达式注入漏洞是指攻击者通过构造恶意输入,将恶意EL表达式注入到应用程序中,从而执行非法的代码。然而,如果我们在验证用户名和密码之前直接将用户输入传递给EL表达式进行求值,就存在EL表达式注入漏洞的风险。一、EL表达式注入漏洞的原理。
java 代码执行el,专属于java的漏洞——EL表达式注入
weixin_39997443的博客
03-20 1246
前言“FSRC经验分享”系列文章,旨在分享焦点科技信息安全部工作过程中的经验总结,包括但不限于漏洞分析、运营技巧、sdl推行、等保合规、自研工具等等。欢迎各位安全从业者持续关注~0x01EL简介表达式语言(Expression Language 以下简称EL)是以JSTL(JavaServer Pages Standard Tag Library,JSP标准标签库)的一部分出现的,原本被叫做SPE...
EL表达式,#{}和${}区别(是否防止sql注入
HSH541的博客
08-12 1462
#相当于对数据 加上 双引号,$相当于直接显示数据 #可以有效的防止SQL注入 会加上“” 之后写进sql中 $不能防止SQL注入 因为会直接写进sql语句中 使用#时: 1、用#来传递参数时,sql在解析的时候会加上“”,当成字符段来解析。例如id=“12”。所有很大程度上防止sql注入。 使用时:2、用时: 2、用时:2、用传入数据直接显示在生成的sql中,如上面的语句id=${12}直接解析为id=12,执行时会报错。 能用#尽量用#。 #{} 用于CRUD(增删改查)语句,${} 则用于模糊查询(记
HTML攻击(只用于学习)
最新发布
m0_74579330的博客
04-12 469
width:100%;防护我们前端入手,针对用户输入内容在展示到页面之前进行处理,通过特定的函数对可能引发 HTML 注入攻击的危险字符进行转义,以此改变它们原本在 HTML 语境下的语义,让浏览器将其作为普通文本进行显示,而不会当作 HTML 标签或特殊符号去解析执行,当匹配到 < 字符时,就将其替换为<,这样在浏览器解析 HTML 时,它会把<当作普通文本显示出来,而不会当作 HTML 标签的起始符号去解析后面的内容,从而避免了攻击者通过输入<script>等标签来发起 HTML 注入攻击的可能性。
Web Hacking 101 中文版 五、HTML 注入
热门推荐
龙哥盟
03-17 4万+
五、HTML 注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述超文本标记语言(HTML注入有时也被称为虚拟污染。 这实际上是一个由站点造成的攻击,该站点允许恶意用户向其 Web 页面注入 HTML,并且没有合理处理用户输入。 换句话说,HTML 注入漏洞是由接收 HTML 引起的,通常通过一些之后会呈现在页面的表单输入。 这个
EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号
永动机的白
12-10 2629
问题: 最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题: 如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变. 此处说明HTML标签被解析了,让我们看看出现问题的代码 <div class="content"> <div class="message"> <div class="tmenu...
HTML注入
donghaima的专栏
04-02 1672
默认地,ASP.NET 1.1和2.0请求验证会对送至服务器的数据检测是否含有HTML标记元素和保留字符.这可以防止用户向程序中输入脚本.请求验证会对照一个有潜在威胁的字符串列表进行匹配,如果发现异常它会抛出一个HttpRequestValidationException类型的异常.你可以在你的web.config文件中的元素中加入validateRequest="false" 或在单独的页面的@
浅析EL表达式注入漏洞
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 3161
0x01 EL简介 EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。 EL表达式主要功能如下: 获取数据:EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的Web域中检索Java对象、获取数据(某个Web域中的对象,访问JavaBean的属性、访问List集合、访问Map集合、访问数组); 执行运算:利用EL表达式可以在J
vue+element组件默认函数增加自定义入参
weixin_44343167的博客
07-22 478
element组件默认函数增加自定义入参 ★— template内容 <!-- 输入框 下拉菜单和输入混合 --> <el-autocomplete class="inline-input" v-model="editItem[item.prop]" placeholder="请输入或选择" :loading="loadingOptions" :loading-text="loadingText" :fetch-suggestions="((queryS
详解在Vue中通过自定义指令获取dom元素
12-08
自定义指令中,我们可以监听绑定的数据变化,但需要注意的是,这些钩子函数内部的`this`并不指向Vue实例,因此无法直接使用`this.$el`来获取元素。 为了解决这个问题,我们可以采取以下策略。首先,创建一个...
【Commons-EL进阶:高级特性与自定义函数开发】:打造企业级安全解决方案(安全机制与调试技巧)
[【Commons-EL进阶:高级特性与自定义函数开发】:打造企业级安全解决方案(安全机制与调试技巧)](https://p1-jj.byteimg.com/tos-cn-i-t2oaga2asx/gold-user-assets/2020/2/29/1708eca87ee0599f~tplv-t2oaga2asx-...
Inject:从外部来源将html注入您的网站-html source website
03-24
Inject.js 它是什么? 一个javascript文件,它将从其他网页提取html,并将该html注入到您的文档中,类似于iframe。 我什么时候使用这个? 如果您想控制要导入到网页中的html,则iframe不能与父级CSS和javascript很好地配合使用。 例如,您可以使用自己的javascript或css来定位注入html,否则,如果您无法访问所请求的html的源,则很难做到这一点。 评论 在,inject使用来获取请求页面的html,从源中删除任何样式或脚本标签,然后再注入到您的页面中。 这意味着调用者有责任为页面的布局添加css等(如果需要)。 与任何了。 使用Yahoo!规避了同源政策。 作为代理,因此您可以做的比AJAX多,并且通过扩展受到额外的安全限制。 给我看看代码! < div data-inject-src =" {example.com} " s
防止html脚本注入的脚本
04-17
NULL 博文链接:https://username2.iteye.com/blog/1826071
HTML 注入
voctor2436的博客
05-05 877
XSS(Cross-site Scripting)中文翻译是“跨站脚本攻击”,XSS本质上是HTML注入攻击,但又不同于HTML注入,XSS利用脚本标记运行JavaScript等脚本程序,可以通过JavaScript获取机密数据和一些列危险操作,而HTML注入只是使用HTML标签修改页面内容。HTML注入是一种漏洞,一种网络攻击方式,当网页无法清理用户提供的输入或验证输出时,攻击者就可以伪造自己的有效负载,并通过易受攻击的字段将恶意HTML代码注入应用程序,从而修改网页内容,甚至获取一些敏感数据。
bWAPP HTML Injection (HTML注入)
angry_program的博客
02-24 1822
前言 bwapp靶场每一种类型都分为3种等级: Low, Medium, High 这边我就按照类型归类写, 方便查阅。 话不多说, 直接lu靶场 0x01 HTML injection Reflected GET 分析网站: Low Low等级没有任何防护, 直接注入即可: Medium 在Medium等级中, 继续进行注入的话, 会发现&lt...
html页面注入教程,html注入的入门教程
weixin_35941591的博客
06-03 1657
HTML injection的背景:1 现在的XSS就是跨站脚本***一般都是在有服务器交互的情况下在客户端产生的一些问题,那么在没有服务器交互的情况下呢?2 另外就是很多人都认为html文件是绝对安全的,那么真的是这样么?什么是HTML injection:有交互才会产生漏洞,无论交互是怎么进行的,HTML文件并不是像大家想的那样没有任何交互,在HTML文件里还是会用到一些javascrip...
Web渗透(二)HTML注入知识整理
weixin_39157582的博客
08-23 6399
HTML注入知识整理1、什么是HTML注入2、HTML注入类型3、漏洞挖掘4、修复建议 1、什么是HTML注入 HTML注入有时也被称为虚拟污染。这实际是一个由站点造成的攻击,该站点允许恶意用户向其Web页面注入HTML,并且没有合理处理用户输入。换句话说,HTML注入漏洞是由网站接收HTML引起的,一般出现在网站页面的表单输入。 由于HTML是用于定义网页结构的语言,如果攻击者可以注入HTML,它们基本上可以改变浏览器呈现的内容。有时,这可能会导致页面外观的完全改变,或在其他情况下,创建表单来欺骗用户。例
注入攻击(二)--------HTML(有源码)
Young12138的博客
05-10 1801
html注入攻击
html注入原理,CSS注入
weixin_28691741的博客
06-03 455
CSS仅仅只是一种用来表示样式的语言吗?当然不是!CSS就已被安全研究人员运用于渗透测试当中。使用属性选择器和iFrame,并通过CSS注入来窃取敏感数据的方法。但由于该方法需要iFrame,而大多数主流站点都不允许该操作,因此这种攻击方法并不实用。这里为大家详细介绍一种不需要iframe且只需10秒,就能为获得CSRF token的方法。什么是CSS注入大家对XSS攻击都非常熟悉了,可能很少关注...
el-date-picker自定义内容
02-21
### element-ui el-date-picker 自定义内容 在 `el-date-picker` 中实现自定义显示内容,通常涉及修改默认模板或通过插槽(slot)机制注入额外的内容。为了更好地理解这一过程,下面提供了一个具体的例子。 #### 使用作用域插槽定制日期选择器面板内的内容 Element UI 的 `el-date-picker` 支持作用域插槽功能,允许开发者向组件内部插入自定义 HTML 和逻辑。具体来说,在 `<template>` 标签中使用具名插槽可以覆盖原有结构的一部分: ```html <el-date-picker v-model="value" type="daterange" range-separator="至" start-placeholder="开始日期" end-placeholder="结束日期"> <!-- 插入到日历头部 --> <template slot="header" scope="{ prevYear, nextYear, prevMonth, nextMonth }"> <button @click="prevYear">上一年</button> <button @click="nextYear">下一年</button> <span>{{ year }}年{{ month + 1 }}月</span> <button @click="prevMonth">上一月</button> <button @click="nextMonth">下一月</button> </template> <!-- 修改周标签 --> <template slot="week-header" scope="{ weekNames }"> <th v-for="(name, index) in ['周一', '周二', '周三', '周四', '周五', '周六', '周日']" :key="index">{{ name }}</th> </template> <!-- 日单元格内容重写 --> <template slot="default" scope="{ date, data }"> {{ data.text }} <div v-if="isSpecialDay(date)">特殊标记</div> <!-- 条件渲染某些天数下的特别提示 --> </template> </el-date-picker> ``` 上述代码片段展示了如何利用作用域插槽来自定义 `el-date-picker` 的不同部分[^2]。这里不仅改变了月份导航按钮的位置和样式,还替换了原有的星期名称,并且为特定的日子添加了额外的信息展示区域。 对于更复杂的场景,比如想要完全替换整个弹窗界面,则可能需要考虑创建一个新的 Vue 组件并继承原生的选择框行为,但这超出了简单配置层面的操作范畴。 #### 动态调整 picker-options 配置项 当尝试将 `pickerOptions` 属性放置于 `data()` 函数返回的对象里时会遇到上下文丢失的问题,即 `this` 关键字不再指向当前 Vue 实例。为了避免这种情况发生,建议采用计算属性的方式处理这些选项,从而确保能够访问到最新的实例状态[^1]。 ```javascript export default { computed: { dynamicPickerOptions() { return { disabledDate(time) { const today = new Date(); // 只能选今天之后的日期 return time.getTime() < today; }, shortcuts: [{ text: '最近一周', onClick(picker) { const end = new Date(); const start = new Date(); start.setTime(start.getTime() - 3600 * 1000 * 24 * 7); picker.$emit('pick', [start, end]); } }] }; } } }; ``` 这样做的好处是可以随时根据应用的状态变化灵活改变可用的时间区间或其他交互特性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值