Java过滤XSS脚本, 可通过Appscan扫描
时间:2022-04-24
本文章向大家介绍Java过滤XSS脚本, 可通过Appscan扫描,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
项目中有时会需要把一些报错或者解决方案直接返回给前端,
如果直接返回原字符串, 可能会被恶意传参来实现xss注入.
例如常规业务访问一个页面读取文件&file=sdf.cpt,
如果文件不存在, 则页面返回没有找到sdf.cpt的报错.
恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;
这时需要我们在后台对于一些报错进行去脚本话.
一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长.
1 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});
1 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+
索性直接采用最简单粗暴的字符串替换了, 把html实体编码,特殊字符如()<>/,例如> 编成> <编成<
这样显示起来没有问题,也不会导致用户输入的js语句被插入到输出页面而被执行.
改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.
1 private static String encodeHtml(String strInput) {
2 if (StringUtils.isEmpty(strInput)) {
3 return StringUtils.EMPTY;
4 }
5 StringBuffer builder = new StringBuffer(strInput.length() * 2);
6 CharacterIterator it = new StringCharacterIterator(strInput);
7 for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
8 if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
9 || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
10 builder.append(ch);
11 } else {
12 builder.append("&#" + (int) ch + ";");
13 }
14 }
15 return builder.toString();
16 }
- OpenShift企业版安装:单Master集群
- http线程池的设计与实现(c++)
- iOS崩溃堆栈符号化,定位问题分分钟搞定!
- Duang~ Android堆栈慘遭毁容?精神哥揭露毁容真相!
- Java学习笔记第一篇:坦克大战游戏
- 腾讯Bugly Unity3D Plugin使用指南
- 远丰集团旗下CMS疑有官方后门
- 前端黑魔法之远程控制地址栏
- 信息收集利器:ZoomEye
- go sync.Mutex 设计思想与演化过程 --转
- 漏洞预警 | Ubuntu 16.04版本存在本地提权漏洞(附EXP)
- 通过“震网三代”和Siemens PLC 0day漏洞,实现对工控系统的入侵实验
- 安卓端渗透工具DVHMA:自带漏洞的混合模式APP
- 小萝莉说Crash(二): Unrecognized selector xxx 之 ForwardInvocation
- java教程
- Java快速入门
- Java 开发环境配置
- Java基本语法
- Java 对象和类
- Java 基本数据类型
- Java 变量类型
- Java 修饰符
- Java 运算符
- Java 循环结构
- Java 分支结构
- Java Number类
- Java Character类
- Java String类
- Java StringBuffer和StringBuilder类
- Java 数组
- Java 日期时间
- Java 正则表达式
- Java 方法
- Java 流(Stream)、文件(File)和IO
- Java 异常处理
- Java 继承
- Java 重写(Override)与重载(Overload)
- Java 多态
- Java 抽象类
- Java 封装
- Java 接口
- Java 包(package)
- Java 数据结构
- Java 集合框架
- Java 泛型
- Java 序列化
- Java 网络编程
- Java 发送邮件
- Java 多线程编程
- Java Applet基础
- Java 文档注释
- MyVBA加载宏——添加自定义菜单01
- JavaScript|计算字符串的字节数
- 7个处理JavaScript值为undefined的技巧
- Python|快速排序
- 如何判断一个网页是列表页还是详情页
- 小游戏:围住神经猫
- JAVA|Java方法的使用
- VBA解压缩ZIP文件06——Huffman树码表
- 精品连载丨安卓 App 逆向课程之五 frida 注入 Okhttp 抓包下篇
- Excel VBA常用功能加载宏——工作表隐藏
- VBE菜单——CommandBars对象
- Java|屏幕截图
- VBA解压缩ZIP文件07——length和distance扩展
- Excel VBA常用功能加载宏——打开活动工作簿所在文件夹
- 常用功能加载宏——拆分工作表