2. 程式人生 > 實用技巧 >XSS工具類,清除引數中的特殊字元

XSS工具類,清除引數中的特殊字元

阿新 發佈:2020-07-22 

package com.xss;

import java.util.regex.Pattern;


/**
 * XssUtil 工具類
 */
public class XssUtil {

    static Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);


    static Pattern scriptPatternSrc = Pattern.compile("src=\"(.*?)",Pattern.CASE_INSENSITIVE );

    
 
static Pattern scriptPatternHref = Pattern.compile("href=\"(.*?)",Pattern.CASE_INSENSITIVE );

    static Pattern singleScriptPattern = scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
    static Pattern singleBeginScriptPattern = Pattern.compile("<script(.*?)>",
            Pattern.CASE_INSENSITIVE 
 
| Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern singleBeginIframePattern = Pattern.compile("<iframe(.*?)>",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern criptPattern = Pattern.compile("eval\\((.*?)\\)",
            Pattern.CASE_INSENSITIVE 
 
| Pattern.MULTILINE | Pattern.DOTALL);
    static Pattern expressionPattern = Pattern.compile("expression\\((.*?)\\)",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern javascriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
    //alert
    static Pattern alertPattern = Pattern.compile("(.*?)alert(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern importPattern = Pattern.compile("(.*?)import(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern functionPattern = Pattern.compile("(.*?)function(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern vbscriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

    static Pattern onScriptPattern = Pattern.compile("on(.*?)=['|\"](.*?)['|\"]",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);



    /**
     * 清理xss特殊字元
     * @param value 過濾的字串
     * @return: String
     */
    public static String cleanXSS(String value) {
        if (value != null) {
            // 避免script 標籤
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免src形式的表示式
            value = scriptPatternSrc.matcher(value).replaceAll("");

            // 避免href形式的表示式
            value = scriptPatternHref.matcher(value).replaceAll("");
            // 刪除單個的 </script> 標籤
            value = singleScriptPattern.matcher(value).replaceAll("");

            // 刪除單個的<script ...> 標籤
            value = singleBeginScriptPattern.matcher(value).replaceAll("");
            // 刪除單個的<iframe ...> 標籤
            value = singleBeginIframePattern.matcher(value).replaceAll("");
            // 避免 eval(...) 形式表示式
            value = criptPattern.matcher(value).replaceAll("");

            // 避免 e­xpression(...) 表示式
            value = expressionPattern.matcher(value).replaceAll("");

            // 避免 javascript: 表示式
            value = javascriptPattern.matcher(value).replaceAll("");

            value = alertPattern.matcher(value).replaceAll("");

            value = importPattern.matcher(value).replaceAll("");

            value = functionPattern.matcher(value).replaceAll("");

            // 避免 vbscript: 表示式
            value = vbscriptPattern.matcher(value).replaceAll("");
            // 避免 onXX= 表示式
            value = onScriptPattern.matcher(value).replaceAll("");

        }
        return value;
    }


}

相關推薦

XSS工具清除引數特殊字元

package com.xss; import java.util.regex.Pattern; /** * XssUtil 工具 */ public class XssUtil { static Pattern scriptPattern = Pattern.compile(\"<script>(.*?)</script>\", Pattern

Spring的工具方便在非spring管理環境獲取bean

場景 在SpringBoot的後臺專案如果想要引入並且呼叫某個bean可以直接通過註解的方式。

python封裝一個工具 對MySQL資料庫增刪改查可多欄位動態插入mysql資料庫

import pymysql#匯入庫 class Connct_mysql():#建立一個連線資料庫的 def __init__(self,host,user,password,db,port):#在建構函式裡面傳入連線資料庫的引數作為例項變數

.net工具——獲取html字串的圖片路徑列表

呼叫方法: HashSet<string> listImg = new HashSet<string>(); GetListHtmlString(TemplateContent, \"<img src=\\\"\", listImg);

.net工具——檢測是否有Sql危險字元、過濾特殊字元

#region 檢測是否有Sql危險字元 /// <summary> /// 檢測是否有Sql危險字元 /// </summary>

包裝物件比較注意點

包裝 結論先行:包裝物件之前進行比較是否相等時使用equals()或使用的對應的拆箱進行比較

GeoToolFx工具使用JavaFx編寫

使用JavaFX寫的一個簡單的工具類,可以處理一些簡單的檔案切割、合併、PDF轉換;redis、資料庫連線測試。shp檔案投影、shp檔案入庫及匯入匯出操作。如涉及向量資料操作需要安裝gdal環境。工具包已上轉

JUC 包下工具它的名字叫 LockSupport !你造麼?

前言 LockSupport 是 JUC 常用的一個工具主要作用是掛起和喚醒執行緒。在閱讀 JUC 原始碼經常看到所以很有必要了解一下。

SpringBoot2整合jasypt3.0.3 最簡便配置檔案 資料庫密碼 加密工具(加密解密工具非命令列)

環境 SpringBoot2.0以上jasypt 3.0.3jdk8 加密 username: root# 資料庫賬號 password: 123456# 資料庫密碼

springboot(十三) 常用的介面工具註解彙總

1.springboot 常用介面 1.1 Aware介面 Spring IOC容器 Bean是感知不到容器的存在Aware(意識到的)介面就是幫助Bean感知到IOC容器的存在即獲取當前Bean對應的Spring的一些元件如當前Bean對應的Applicatio

iOS - 自定義表單工具快捷的建立表單、設定頁面

技術標籤:iOS-框架iOS JhForm JhForm - 自定義表單工具通過動態配置表單model可以更加簡單、快捷的建立表單、設定頁面

定義一個工具該類要求使用者執行該程式時輸入一個路徑。該工具會將該路徑下的所有檔案列出來

import java.io.*; 10 import java.util.Scanner; 11 12 public class filelisttest1{ 13public static void recv(String path){

python工具實現將一個list集合轉為字串並且這個字串裡面加特定的字元

技術標籤:字串python列表 def list_to_str_add_char(list ,str): mystr="" for ls in list:

大佬常用的Java工具哪個你沒用過?

在Java實用程式是定義一組執行通用功能的方法的。 大佬最常用的Java實用工具及其最常用的方法。列表及其方法列表均按受歡迎程度排序。

List集合分頁工具仿PageHelper使用PageInfo

技術標籤:工具java 工具 package cn.*.*.server.utils; import java.util.List; /** * @ClassName:

Java 開發必會的工具程式碼量立減90%

1. Java自帶工具方法 1.1 List集合拼接成以逗號分隔的字串 //如何把list集合拼接成以逗號分隔的字串a,b,cList<String>list=Arrays.asList(\"a\",\"b\",\"c\");//第一種方法可以用stream流Stringjoin=list.st

IDEA打包自己的工具並通過maven使用

解決maven依賴本地倉庫自制工具Cannot resolve 問題 一、簡介 當我們多個專案都重複使用一些工具類的時候打包並通過依賴來使用會方便很多。普通專案直接通過新增 Project Structure - Artifacts再build就能打包

springboot使用工具獲取IOC容器的bean物件

package com.dzqc.yx.util; import org.springframework.beans.BeansException; import org.springframework.context.ApplicationContext;

大雜燴(常用工具常用資料庫操作等等)

1、常用資料庫關鍵欄位 1 DB2資料庫操作 2 1、表增加欄位 3 ALTER TABLE 表名 ADD COLUMN 欄位名 VARCHAR(2);

圖片處理工具新增水印圖片縮圖合法性校驗

本文完全借鑑https://blog.csdn.net/qq_22174779/article/details/88199898 package xyz.guqing.imageutil;