StringEscapeUtils.escapeHtml4「建议收藏」

StringEscapeUtils.escapeHtml4「建议收藏」跨站脚本XSS又叫CSS(CrossSiteScript)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。对于不可信的输…

大家好,欢迎来到IT知识分享网。

跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。

对于不可信的输入可以采用 apache.commons.lang3.StringEscapeUtils 对输入字符串进行过滤,将’<’ ‘>’ ‘*’ 三个字符转换成html编码格式 < & &gt. 防止而已的HTML注入攻击:

i

mport org.apache.commons.lang3.StringEscapeUtils;
 
public class XSStest
{
    public static void main(String[] args)
    {
        String s = "<alert>(123)(*&^%$#@!)</alert>";
 
        s = StringEscapeUtils.escapeHtml4(s);
        
        System.out.println(s);
    }
}

这样输出是: <alert>(123)(*&^%$#@!)</alert>

可以有效的防止恶意的页面跳转,alert弹框。

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/26366.html

(0)
上一篇 2023-05-08 15:00
下一篇 2023-05-10 12:00

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信