java 跨站点脚本编制_AppScan跨站点脚本编制修复

查了下百度,跨站点脚本编制其实也就是在url后加入参数和js脚本实现一些坏坏的事情,至少appscan就是这么干的。

那么主要的工作就是把恶意代码给过滤了,作为javaweb开发,明显第一步想到的是过滤器。

网上很多都是将request对象 传入HttpServletRequestWrapper的子类 ,主要是将获取信息的方法过滤了一下,主要有:getParameterValues,getParameterValues,getParameter这几个方法。也就是每次用request.getParameter("??")这些个方法时,会第一时间先过滤一遍恶意代码。

然而!!!我按照appscan 的检测url 再输了一次 还是会执行js脚本,原因在它传的参数我后台根本没有,也就是 不会用getParamter方法来过滤一遍!

所以还是要将所有的parameterName循环一遍 把他们带的参数给干掉!

public class NoHostFilter implements Filter {

public static Logger log = LoggerFactory.getLogger(NoHostFilter.class);

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest request, ServletResponse res, FilterChain chain)

throws IOException, ServletException {

MyServletRequest req = new MyServletRequest((HttpServletRequest) request);

HttpServletResponse response = (HttpServletResponse) res;

// 获取请求所有参数,校验防止脚本注入,防止XSS漏洞

String url = req.getRequestURI();

Enumeration> params = req.getParameterNames();

String paramN = null;

while (params.hasMoreElements()) {

paramN = (String) params.nextElement();

String paramVale = req.getParameter(paramN);

if (!paramN.toLowerCase().contains("password")) {

log.info("传参为:" + paramN + "==" + paramVale);

}

// 校验是否存在SQL注入信息

if (checkSQLInject(paramVale, url)) {

response.sendRedirect(req.getContextPath() + "/error/406.jsp");

}

}

chain.doFilter(req, response);

}

@Override

public void init(FilterConfig filterConfig) throws ServletException {

// TODO Auto-generated method stub

}

private String xssEncode(String s) {

if (s == null || s.isEmpty()) {

return s;

}

StringBuilder sb = new StringBuilder(s.length() + 16);

for (int i = 0; i < s.length(); i++) {

char c = s.charAt(i);

switch (c) {

case '>':

sb.append('>');// 全角大于号

break;

case '

sb.append('<');// 全角小于号

break;

case '\'':

sb.append('‘');// 全角单引号

break;

case '\"':

sb.append('“');// 全角双引号

break;

case '&':

sb.append('&');// 全角

break;

case '\\':

sb.append('\');// 全角斜线

break;

case '#':

sb.append('#');// 全角井号

break;

case '(':

sb.append('(');//

break;

case ')':

sb.append(')');//

break;

default:

sb.append(c);

break;

}

}

return sb.toString();

}

/**

*

* 检查是否存在非法字符,防止js脚本注入

*

* @param str

* 被检查的字符串

* @return ture-字符串中存在非法字符,false-不存在非法字符

*/

public boolean checkSQLInject(String str, String url) {

if (StringUtils.isEmpty(str)) {

return false;// 如果传入空串则认为不存在非法字符

}

// 判断黑名单

String[] inj_stra = { "script", "mid", "master", "truncate", "insert", "select", "delete", "update", "declare",

"iframe", "'", "onreadystatechange", "alert", "atestu", "xss", ";", "'", "\"", "", "(", ")", ",",

"\\", "svg", "confirm", "prompt", "onload", "onmouseover", "onfocus", "onerror" };

str = str.toLowerCase(); // sql不区分大小写

for (int i = 0; i < inj_stra.length; i++) {

if (str.indexOf(inj_stra[i]) >= 0) {

return true;

}

}

return false;

}

}

转载至链接:https://my.oschina.net/xlpapapa/blog/1636141

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/244755.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python怎么安装本地的egg_python egg怎么安装

经常接触Python的同学可能会注意到&#xff0c;当需要安装第三方python包时&#xff0c;可能会用到easy_install命令。easy_install是由PEAK(Python Enterprise Application Kit)开发的setuptools包里带的一个命令&#xff0c;它用来安装egg包。egg包是目前最流行的python应用打…

java 动态字符串_Java动态编译执行一串字符串,类似于Javascript里的eval函数

Javascript里的eval函数能动态执行一串js脚本。那Java里怎么做到呢。有两种方法:一种是使用可以执行js脚本的Java类 ScriptEngineManagerpublic static void main(String args[]){ScriptEngineManager manager new ScriptEngineManager();ScriptEngine se manager.getEngineB…

jquery全局变量_jQuery源码一个小细节,却很好地体现了性能优化的思想,很优秀...

写在前面听闻大佬们在写一些框架或者库的时候&#xff0c;到处都隐藏了一些细节&#xff0c;所以阅读他们的源代码&#xff0c;无论从性能优化、还是JS API的学习、亦或是代码风格等方面给到我们很多启发。这两天我翻看了一下jQuery1.x的源代码&#xff0c;看到了这么一段&…

java connection 共享_java 使用HttpURLConnection发送数据简单实例

java 使用HttpURLConnection发送数据简单实例每个 HttpURLConnection 实例都可用于生成单个请求&#xff0c;但是其他实例可以透明地共享连接到 HTTP 服务器的基础网络。请求后在 HttpURLConnection 的 InputStream 或 OutputStream 上调用 close() 方法可以释放与此实例关联的…

mockito mock void方法_Spock如何模拟抽象类方法

我们平时写单元测试时经常会遇到调用抽象类或父类的方法&#xff0c;这些抽象方法可能是调用底层接口或数据库&#xff0c;需要mock掉&#xff0c;让抽象方法返回一个我们指定的值&#xff0c;以便测试当前代码逻辑的场景。下面讲下Spock如何结合power mock实现动态mock抽象方法…

new 实例化对象是啥意思_二. 初步认识JS中的类和对象

1 构造函数的定义在JS中, 没有类(class)的概念, 主要是通过构造函数来模拟的.语法function 构造函数名 () {// 函数体}使用function关键字表示定义一个构造函数构造函数名一般首字母大写示例function Person() {}通过以上方式就可以定义一个Person构造函数, 相当于定义好了一个…

java get 空指针_Java 中空指针处理方法

空指针异常(Null Pointer Exception)是我们平时最容易碰到的&#xff0c;也是最令人讨厌的异常。本文介绍如何避免出现空指针异常。首先我们看如下的示例&#xff1a;private Boolean isFinished(String status) {if (status.equalsIgnoreCase("Finish")) {return Bo…

正则匹配问号_爬虫之正则表达式

1什么是正则表达式正则表达式&#xff0c;也称规则表达式&#xff08;Regular Expression,在代码中常简写为RE&#xff09;。2为什么使用用来匹配、替换一类具有相同规则字符串3使用规则3.1单字符&#xff1a;3.2数量修饰&#xff1a;3.3边界&#xff1a;3.4分组&#xff1a;3.…

java farm tycoon_Idle Farm Tycoon

详情Have you always wanted to run your own farm? Now you can fulfill your dream!To start things off, begin with a few wheat farms. Once the first money is rolling, you can purchase new crops, bushes, trees and animals!Dont be afraid of running out of spac…

java treeset subset_Java中TreeSet的详细用法

第1部分 TreeSet介绍TreeSet简介TreeSet 是一个有序的集合&#xff0c;它的作用是提供有序的Set集合。它继承于AbstractSet抽象类&#xff0c;实现了NavigableSet, Cloneable, java.io.Serializable接口。TreeSet 继承于AbstractSet&#xff0c;所以它是一个Set集合&#xff0c…

sql执行有时候快有时候慢_如何让你的 SQL 执行的飞起?

OR 不能瞎用午饭间的小 C&#xff0c;答应着一起吃饭&#xff0c;却眼不离屏。我知道准是上午人甲产品经理又来了一个脏活。话说 SQL 程序员本身是个光荣的职业&#xff0c;顷刻间百万数据、百亿金额从指间流过&#xff0c;心都不带咯噔的。在心如止水的 SQL 编码师眼里&#x…

binaryformatter java_Java,C#使用二进制序列化、反序列化操作数据

java使用二进制序列化、反序列化的操作首先&#xff0c;要引入java.io下面相关包&#xff0c;或者直接写import java.io.*;下面&#xff0c;为了书写操作的方便&#xff0c;采用复制文件&#xff0c;和throws声明异常的方式来写public void test6() throws IOException {byte[]…

未备案域名临时跳过备案提示_做好了网页,有域名和服务器,还要怎么搭建网站?...

不知道你选择的服务器是国内大陆的还是国外或者香港的&#xff0c;如果是国内大陆的服务器我们的网站域名还需要备案&#xff0c;你的服务器提供商是那家就在那家备案&#xff0c;备案流程跟着提示走就可以了&#xff0c;接下来我们开始正式进入将网站三要素&#xff08;域名、…

python怎么退出help_(转)python中如何使用help命令?

查看python所有的modules&#xff1a;help("modules")单看python所有的modules中包含指定字符串的modules&#xff1a; help("modules yourstr")查看python中常见的topics&#xff1a; help("topics")查看python标准库中的module&#xff1a;imp…

louvain算法_单细胞聚类(四)图解Leiden算法对Louvain算法的优化

Louvain算法是目前单细胞分析中最常用的聚类算法[1]&#xff0c;Seurat/Scanpy/RaceID等单细胞分析工具都默认louvain算法。6天前HumanCell Atlas(HCA)团队发表在Nature Method上的单细胞分析流程中[2]&#xff0c;默认的聚类算法是scran包的方法&#xff1a;细胞间权重基于排序…

java 动态绑定原理_详解Java动态绑定机制的内幕(图)

在Java方法调用的过程中&#xff0c;JVM是如何知道调用的是哪个类的方法源代码&#xff1f; 这里面到底有什么内幕呢&#xff1f; 这篇文章我们就将揭露JVM方法调用的静态(static binding) 和动态绑定机制(auto binding) 。静态绑定机制//被调用的类package hr.test;class Fath…

python重新加载模块_jupyter实现重新加载模块

最近几年&#xff0c;jupyter在全球数据科学领域&#xff0c;已经成为不可或缺的重要工具。在jupyter中用python写程序&#xff0c;若import了自己写的外部模块&#xff0c;如果这个外部模块有更新&#xff0c;再次执行import&#xff0c;jupyter是不会重新导入的。一般的做法是…

java连接access2013数据库_滴水穿石–Java连接Access数据库及其操作

1、配置数据源【控制面板】—>【管理工具】—>【数据源ODBC】点击添加选择Microsoft Access Driver填写数据源名(自定义&#xff0c;如test)&#xff0c;并选择数据库(指定你的Access数据库文件)&#xff0c;如下图红色箭头标注最后&#xff0c;点击确定数据源配置完成2、…

python抠透明图_python利用蒙版抠图(使用PIL.Image和cv2)输出透明背景图

因为最近在做深度学习抠图&#xff0c;正好要用到蒙版进行抠图&#xff0c;所以我将抠图代码进行了封装注释&#xff0c;可以直接使用。可能走了弯路&#xff0c;若有高见请一定提出&#xff01;主要代码import cv2from PIL import Imageimport numpy as npclass UnsupportedFo…

java退出不报异常_如何优雅的处理异常(java)?

这篇文章应该可以解答你的疑问。Java中异常提供了一种识别及响应错误情况的一致性机制&#xff0c;有效地异常处理能使程序更加健壮、易于调试。异常之所以是一种强大的调试手段&#xff0c;在于其回答了以下三个问题&#xff1a;什么出了错?在哪出的错?为什么出错?在有效使…