java landray,Java正则校验XSS

最新推荐文章于 2023-08-28 14:26:45 发布
最新推荐文章于 2023-08-28 14:26:45 发布
阅读量415 收藏 1
点赞数
文章标签: java landray

package com.landray.kmss.kms.common.util;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

/**

* @author 唐有炜

*/

public class XssUtil {

private static Pattern[] patterns = new Pattern[]{

// Script fragments

Pattern.compile("", Pattern.CASE_INSENSITIVE),

// src='...'

Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// lonely script tags

Pattern.compile("", Pattern.CASE_INSENSITIVE),

Pattern.compile("

// eval(...)

Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// expression(...)

Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// javascript:...

Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE),

// vbscript:...

Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE),

// onl oad(...)=...

Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

//现场安全测试增加校验

Pattern.compile("alert(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile("<", Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile(">", Pattern.MULTILINE | Pattern.DOTALL),

// Pattern.Pattern("(document|onload|eval|script|img|svg|onerror|javascript|alert)\\\\b")

Pattern.compile("((alert|on\\w+|function\\s+\\w+)\\s*\\(\\s*(['+\\d\\w](,?\\s*['+\\d\\w]*)*)*\\s*\\))"),

//Checks any html tags i.e.

};

/*xss校验函数,返回值:true 表示存在xss漏洞,false:不存在*/

public static String stripXSS(String value) {

if (value != null) {

// TODO ESAPI library

// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to

// avoid encoded attacks.

// value = ESAPI.encoder().canonicalize(value);

// Avoid null characters

value = value.replaceAll("\0", "");

// Remove all sections that match a pattern

for (Pattern scriptPattern : patterns) {

value = scriptPattern.matcher(value).replaceAll("");

}

}

return value;

}

public static boolean checkIsXSS(String value) {

boolean isXss = false;

if (value != null) {

for (Pattern scriptPattern : patterns) {

Matcher matcher = scriptPattern.matcher(value);

if (matcher.find()) {

isXss = true;

break;

}

}

}

return isXss;

}

}

标签:CASE,XSS,Java,DOTALL,Pattern,校验,compile,MULTILINE,INSENSITIVE

来源: https://www.cnblogs.com/tangyouwei/p/13573221.html

赵和玉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java校验正则_Java正则校验XSS
weixin_39791349的博客
02-22 609
package com.cnblogs.tangyouwei.common.util;import java.util.regex.Matcher;import java.util.regex.Pattern;/*** @author 唐有炜*/public class XssUtil {private static Pattern[] patterns = new Pattern[]{// Sc...
启动蓝凌OA项目的全步骤.md
07-11
公司用的oa项目的启动和初始化步骤。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
Java、SpringBoot简易XSS检测工具,参数校验注解
gg5461849的博客
05-05 1065
【代码】Java、SpringBoot简易XSS检测工具,参数校验注解。
存储型xss正则表达式校验
huryer的专栏
11-09 3850
使用js正则表达式校验前台录入的数据是否存在存储型xss注入漏洞 <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title>存储型xss正则表达式校验</title> </head> <body> <script> var v=...
XSS检测Java源码
Little Boy
08-31 2155
1、跨站脚本的概念 这里就不多说了,可以百度。或者去看: 邱永华. XSS 跨站脚本攻击剖析与防御[J]. 国科技信息, 2013, 20: 079. 吴翰清. 白帽子讲 Web 安全[J].信息安全与通信保密, 2015 (5): 93. 2.防御框架 自己查阅了文献参考了网上一些代码,自己实现了一套防御框架。 防御框架结构图如下如所示:
linux NFS详细配置
06-01
这个配置表示,目录 `/usr/ekp/landray` 将被共享给 IP 地址范围为 `172.16.52.0/24` 的客户端,具有读写权限,并且同步写入到内存和硬盘,无需 root 权限。 2.启动 NFS 服务 启动 NFS 服务需要启动两个服务:`...
OA厂商优缺点 方面的文档 我在网上找的
07-20
复旦协达的JAVA产品理念成熟,设计开放,有一定技术含量,但功能表现一般,实际效果与宣传不符,成功案例较少。 13. 炎黄盈动(www.actionsoft.com.cn) 炎黄盈动在流程和平台设计上有一定优势,是国内早期从事这...
2011协同OA系统选型对比指南
11-02
- **蓝凌(landray.com.cn)** - 开发技术:LOTUS - 主要优势:广泛的合作关系、技术实力雄厚、完善的体系结构、高端定位、独特的知识管理特色。 - 主要劣势:知识管理的普及仍面临挑战、LOTUS平台存在局限性、...
XSS 攻击是什么?怎么验证是否XSS攻击漏洞?
最新发布
赵先森
08-28 1629
XSS 攻击是什么?怎么验证是否XSS攻击漏洞?
Java接口xss,Java审计之XSS
weixin_42510567的博客
03-22 1597
Java审计之XSS篇0x00 前言继续 学习一波Java审计的XSS漏洞的产生过程和代码。0x01 Java XSS漏洞代码分析xss原理xss产生过程:后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。XSS代码分析在php里面会使用echo对用户输入的参数进行直接输出,导致了xss漏洞的产生。而在Java里面会将接收到的未经过滤的参数共...
Java代码审计(6)XSS审计思路
划水的小白白
01-25 898
0、前言 0.1 XSS的审计思路 0.2 补充一些知识 1、反射型XSS审计 2、存储型XSS审计 2.1、搭建项目: 2.2、审计 3、存在过滤的XSS项目 4、XSS的修复 4.1、XSS的修复的主要分为两点:
java找不到路径应该怎么弄_cd java 找不到指定路径
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-05 2393
原因是:JDK11没有直接的jre,要用户选择jre模块:打开命令提示符,要cd到%JAVA_HOME%(D:\JAVA\JDK11)(用户安装路径)然后运行命令:bin\jlink.exe--module-pathjmods--add-modulesjava.desktop--outputjre会在本目录下生成jre文件...
常用正则表达式大全(Xss防范、sql注入、手机邮箱验证等等,持续补充~)
热门推荐
少说,多做
05-20 1万+
常用正则表达式大全 文章目录一、安全防范类1.SQL注入1.Xss拦截二、常用校验类1.手机号校验2.邮箱校验3.邮政编码校验4.IP地址校验使用示例 一、安全防范类 1.SQL注入 (\=.*\-\-)|(\w+(%|\$|#|&)\w+)|(.*\|\|.*)|(\s+(and|or)\s+)|(\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|mast
java使用@Constraint注解来做Xss校验
滕青山博客
01-03 2085
目的 我们的注解如果想来进行校验字段,那么依赖 @Constraint 是很不错的选择的。比如说当前创建新用户的时候,需要验证前台传过来的用户名是不是包含了script脚本,通过使用自定义注解,我们可以很方便地进行属性校验。 方法 一、自定义Xss校验注解 我们需要校验Xss,所以我们自定义一个Xss校验注解,并且使用@Constraint修饰它。 @Retention(RetentionPolicy.RUNTIME) @Target(value = { ElementType.METHOD, Elemen
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 1990
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其的、等方法,替换掉非法字符\等,使得从request获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
xss之反射型
xu_1234567的博客
11-04 703
1.搭建靶场DVWA 本次xss实验测试在DVMA靶场环境下进行测试 DVWA下载地址 https://github.com/digininja/DVWA 1.反射型xss原理 一. 将DVWA的难度级别设置为low 二. 尝试一般的xss攻击 <script>alert(1)</script> <body onload=alert(2)> <a href='' onclick=alert(3)>click1</a> #点击click1时弹
自己动手写ORM框架-java
晗的专栏
04-28 2359
利用xml做配置文件,可以动态生成sql: Java代码   package com.landray.kmss.util;      import java.io.IOException;   import java.lang.reflect.InvocationTargetException;   import java.lang.reflect.Method; 
D:\javaWork\WorkTX\daoyuan\trunk\src\com\landray\kmss\kms\iso\cs\wordimg\work.java:34:13 java: 找不到符号 符号: 方法 setRotate(int) 位置: 类型为org.apache.poi.xwpf.usermodel.XWPFRun的变量 run
06-03
可以使用Java的AffineTransform类来实现文本的旋转。以下是修改后的代码: ```java import java.awt.geom.AffineTransform; import java.io.FileOutputStream; import java.io.IOException; import java.io....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值