富文本提交数据到后台防止xss攻击

news/2024/10/30 11:29:57/

StringEscapeUtils.unescapeHtml的使用
富文本提交数据到后台后,保存到数据库的格式可能是这样的:
<p>打发 发顺丰</p>
我们有时候需要的是:

<p>打发 发顺丰</p>

    public static void main(String[] args) {

//方式一
        //org.apache.commons.lang3.StringEscapeUtils会把中文也转义
        String str = StringEscapeUtils.unescapeHtml4("&lt;p&gt;打发 发顺丰&lt;/p&gt;");
        //获取数据库数据,相当于解码反转译
        System.out.println(str);
        String str2 = StringEscapeUtils.escapeHtml4("<p>打发 发顺丰</p>");
        //获取富文本编辑器数据,相当于过滤转译,防止跨站xss攻击
        System.out.println(str2);

//方式二
        //spring的org.springframework.web.util.HtmlUtils.htmlEscape 不会转义中文
        System.out.println( HtmlUtils.htmlEscape("<font>打发 发顺丰 xing</font>"));

输出结果:

转义HTML,注意汉字:&lt;font&gt;chen&#25171;&#21457; &#21457;&#39034;&#20016;  xing&lt;/font&gt;
反转义HTML:<font>chen打发 发顺丰   xing</font>
&lt;font&gt;chen打发 发顺丰   xing&lt;/font&gt;

}

StringEscapeUtils.escapeHtml的具体使用
 跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
 对于不可信的输入可以采用 apache.commons.lang3.StringEscapeUtils 对输入字符串进行过滤,将’<’ ‘>’ ‘*’ 三个字符转换成html编码格式 < & &gt. 防止HTML注入攻击

import org.apache.commons.lang3.StringEscapeUtils;
 
public class XSStest{
    public static void main(String[] args) {
        String s = "<alert>(123)(*&^%$#@!)</alert>";
        s = StringEscapeUtils.escapeHtml4(s);
        System.out.println(s);
    }
}
 <alert>(123)(*&^%$#@!)</alert>
可以有效的防止恶意的页面跳转,alert弹框。


http://www.ppmy.cn/news/368708.html

相关文章

vivo冯宇飞:iQOO不请代言人 品牌更亲近互联网用户

iQOO品牌负责人冯宇飞 新浪手机讯 2月21日下午消息&#xff0c;中国手机厂商vivo旗下子品牌iQOO&#xff08;中文发音艾酷&#xff09;在北京举办了一场小型媒体沟通会&#xff0c;会上vivo副总裁、iQOO品牌负责人冯宇飞与新浪手机在内的几家媒体聊了聊iQOO品牌的规划。 iQOO是…

【记录点滴】StringEscapeUtils.unescapeHtml与StringEscapeUtils.escapeHtml4使用

StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后&#xff0c;保存到数据库的格式可能是这样的&#xff1a; <p>【产品名称】艾酷维多种维生素锌软糖</p> 我们有时候需要的是&#xff1a; <p>【产品名称】艾酷维多种维生素锌软糖</p>…

电子狗服务器登记到本机信息,电子狗一键升级 车友在线傻瓜化操作

据相关资料统计&#xff0c;消费者在选购GPS导航仪的时候&#xff0c;有15%的因素是考虑有无电子狗功能&#xff0c;以及电子狗功能设计是否人性化。电子狗已经是GPS导航仪最重要的卖点之一。但我们也不得不面对目前电子狗升级太麻烦的问题。 据相关资料统计&#xff0c;消费者…

iQOO正式面世,vivo怎么玩转独立子品牌?

iQOO怎么发音&#xff1f;iQOO代表了什么含义&#xff1f;iQOO的定位是怎样的 &#xff1f;……等等太多问题需要vivo一一进行解答。 2019年2月12日上午&#xff0c;vivo官方账号宣布旗下增添一名新成员iQOO。从仅有的曝光图片上来看&#xff0c;vivo子品牌iQOO很有可能定位于…

樱桃键盘驱动在哪下_双十一这四款性价比樱桃轴机械键盘值得一看_搜狐汽车...

如今机械键盘都已经开始普及了&#xff0c;工艺的不断成熟&#xff0c;功能也越发丰富&#xff0c;最最最重要就是价格越来越接近普通玩家都能消费得起的水平&#xff0c;一些樱桃轴机械键盘相比几年前动不动就上五六百的价格如今变得更加亲民&#xff0c;日常的价格在双十一会…

软件开发公司

1、河南右蓝科技有限公司 成立于2018年&#xff0c;注册资金1000万&#xff0c;自公司成立以来一直专注互联网产品高端定制开发业务&#xff0c;由公司独立研发完成并发布上线的客户案例近二百例&#xff0c;包含商城类应用、视频&#xff08;视频对话&#xff09;类应用、社交…

一文看透手机市场“混战”中的必然逻辑

欢迎关注“创事记”的微信订阅号&#xff1a;sinachuangshiji 文/任慧媛 来源&#xff1a;中外管理杂志&#xff08;ID:zwgl1991&#xff09; 本期中外管理观察家&#xff1a;孙巍&#xff08;快侠科技创始人、清华大学品牌营销中心主任、品牌快营销理论开创者&#xff09; …

android版本4.4.2导航,Android 4.4.2 艾酷V82智能一体机系统剖析

对于安卓系统&#xff0c;相信很多网友都非常熟悉了&#xff0c;但都是通过智能手机了解的&#xff0c;而最近火热起来的安卓后视镜&#xff0c;可能大部分网友不是很了解。为此&#xff0c;小编深度剖析了艾酷V82这款智能车载一体机&#xff0c;来给大家介绍一下智能后视镜的安…