碼上快樂

相關內容    簡體    繁體

XSS工具類,清除參數中的特殊字符

本文轉載自   查看原文   2020-07-22 15:21   567    JAVA

 

 

 

package com.xss;

import java.util.regex.Pattern;


/**
 * XssUtil 工具類
 */
public class XssUtil {

    static Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);


    static Pattern scriptPatternSrc = Pattern.compile("src=\"(.*?)",Pattern.CASE_INSENSITIVE );

    static Pattern scriptPatternHref = Pattern.compile("href=\"(.*?)",Pattern.CASE_INSENSITIVE );

    static Pattern singleScriptPattern = scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
    static Pattern singleBeginScriptPattern = Pattern.compile("<script(.*?)>",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern singleBeginIframePattern = Pattern.compile("<iframe(.*?)>",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern criptPattern = Pattern.compile("eval\\((.*?)\\)",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    static Pattern expressionPattern = Pattern.compile("expression\\((.*?)\\)",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    static Pattern javascriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
    //alert
    static Pattern alertPattern = Pattern.compile("(.*?)alert(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern importPattern = Pattern.compile("(.*?)import(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern functionPattern = Pattern.compile("(.*?)function(.*?)", Pattern.CASE_INSENSITIVE);

    static Pattern vbscriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

    static Pattern onScriptPattern = Pattern.compile("on(.*?)=['|\"](.*?)['|\"]",
            Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);



    /**
     * 清理xss特殊字符
     * @param value 過濾的字符串
     * @return: String
     */
    public static String cleanXSS(String value) {
        if (value != null) {
            // 避免script 標簽
            value = scriptPattern.matcher(value).replaceAll("");

            // 避免src形式的表達式
            value = scriptPatternSrc.matcher(value).replaceAll("");

            // 避免href形式的表達式
            value = scriptPatternHref.matcher(value).replaceAll("");
            // 刪除單個的 </script> 標簽
            value = singleScriptPattern.matcher(value).replaceAll("");

            // 刪除單個的<script ...> 標簽
            value = singleBeginScriptPattern.matcher(value).replaceAll("");
            // 刪除單個的<iframe ...> 標簽
            value = singleBeginIframePattern.matcher(value).replaceAll("");
            // 避免 eval(...) 形式表達式
            value = criptPattern.matcher(value).replaceAll("");

            // 避免 e­xpression(...) 表達式
            value = expressionPattern.matcher(value).replaceAll("");

            // 避免 javascript: 表達式
            value = javascriptPattern.matcher(value).replaceAll("");

            value = alertPattern.matcher(value).replaceAll("");

            value = importPattern.matcher(value).replaceAll("");

            value = functionPattern.matcher(value).replaceAll("");

            // 避免 vbscript: 表達式
            value = vbscriptPattern.matcher(value).replaceAll("");
            // 避免 onXX= 表達式
            value = onScriptPattern.matcher(value).replaceAll("");

        }
        return value;
    }


}

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 String特殊字符工具類-StringEscapeUtil 特殊字符的過濾,防止xss攻擊 Pandas 清除 Excel 特殊字符 GET請求中對於參數中特殊字符的處理 預防XSS攻擊,(參數/響應值)特殊字符過濾 java中split函數參數特殊字符的處理(轉義),如:"." 、"\"、"|" RestTemplate/httpclient請求:請求參數中的特殊字符處理 解決restTemplate中URL 參數含有特殊字符的問題 解決url中特殊字符截斷參數的問題 GET請求中參數含有某些特殊字符的處理
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM