Java---前置校验

其他 2021-01-25 10:27:22 阅读次数: 0

(一)防攻击工具类

package cn.zcy.gov.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class PatternUtils {
    private final static Pattern TRN_PATTERN = Pattern.compile("\\s*|\t|\r|\n");
    private final static Pattern SCRIPT_PATTERN = Pattern.compile("<[\\s]*?script[^>]*?>[\\s\\S]*?<[\\s]*?\\/[\\s]*?script[\\s]*?>", Pattern.CASE_INSENSITIVE);
    private final static Pattern STYLE_PATTERN = Pattern.compile("<[\\s]*?style[^>]*?>[\\s\\S]*?<[\\s]*?\\/[\\s]*?style[\\s]*?>", Pattern.CASE_INSENSITIVE);
    private final static Pattern HTML_PATTERN1 = Pattern.compile("<[^>]+>", Pattern.CASE_INSENSITIVE);
    private final static Pattern HTML_PATTERN2 = Pattern.compile("<[^>]+", Pattern.CASE_INSENSITIVE);

    private final static Pattern SRC_PATTERN1 = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    private final static Pattern SRC_PATTERN2 = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    private final static Pattern EVAL_PATTERN = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    private final static Pattern EXPRESSION_PATTERN = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
    private final static Pattern JAVASCRIPT_PATTERN = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
    private final static Pattern VBSCRIPT_PATTERN = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
    private final static Pattern ONLOAD_PATTERN = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

    public static Boolean canXSS(String value) {
        if (value != null) {
            //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);
            //避免空字符串
            value = value.replaceAll(" ", "");
            // 避免script 标签
            if (SCRIPT_PATTERN.matcher(value).find()) {
                return true;
            }
            // 避免src形式的表达式

            if (SRC_PATTERN1.matcher(value).find()) {
                return true;
            }
            if (SRC_PATTERN2.matcher(value).find()) {
                return true;
            }
            // 避免 eval(...) 形式表达式
            if (EVAL_PATTERN.matcher(value).find()) {
                return true;
            }
            // 避免 e­xpression(...) 表达式
            if (EXPRESSION_PATTERN.matcher(value).find()) {
                return true;
            }
            // 避免 javascript: 表达式
            if (JAVASCRIPT_PATTERN.matcher(value).find()) {
                return true;
            }
            // 避免 vbscript:表达式
            if (VBSCRIPT_PATTERN.matcher(value).find()) {
                return true;
            }
            // 避免 onload= 表达式
            if (ONLOAD_PATTERN.matcher(value).find()) {
                return true;
            }
        }
        return false;
    }

    public static String delHtmlTag(String inputString) {
        String htmlStr = inputString;

        //过滤script标签
        Matcher mScript = SCRIPT_PATTERN.matcher(htmlStr);
        htmlStr = mScript.replaceAll("");

        //过滤style标签
        Matcher mStyle = STYLE_PATTERN.matcher(htmlStr);
        htmlStr = mStyle.replaceAll("");

        //过滤html标签
        Matcher mHtml = HTML_PATTERN1.matcher(htmlStr);
        htmlStr = mHtml.replaceAll("");
        Matcher mHtml1 = HTML_PATTERN2.matcher(htmlStr);
        htmlStr = mHtml1.replaceAll("");

        Matcher m = TRN_PATTERN.matcher(htmlStr);
        htmlStr = m.replaceAll("");

        return htmlStr;
    }
}

(二)工具类的调用

    @RequestMapping(value = "/letter/create")
    @ResponseBody
    public Boolean createLetter(@Valid PublicLetterDto publicLetterDto, BindingResult bindingResult,
                                @RequestParam(value = "attachments", required = false) MultipartFile[] attachments,
                                HttpServletRequest request) {


        SysSite sysSite = SystemInitData.getSite(RequestUtils.analyzeDomain());
        if (bindingResult.hasErrors()) {
            throw new JsonResponseException(bindingResult.getAllErrors().get(0).getDefaultMessage());
        }
        if (PatternUtils.canXSS(publicLetterDto.getName())) {
            throw new JsonResponseException("name.is.valid");
        }

        //==========================上海【starat】
        //判断是否为上海网站
        if (sysSite.getId() == 77) {
            //短信验证码
            if (!publicLetterDto.getCaptcha().equals("手机发的短信验证码".trim())) {
                throw new JsonResponseException("captcha.is.valid");
            }
            if (!IdCardUtils.isIDNumber(publicLetterDto.getIdCardNum())) {
                throw new JsonResponseException("idCardNum.is.valid");
            }

            if (PatternUtils.canXSS(publicLetterDto.getAddress())) {
                throw new JsonResponseException("address.is.valid");
            }
            if (!publicLetterDto.getEmail().matches(EMAILPATTERN)) {

                throw new JsonResponseException("email.is.not.right");
            }


        }

猜你喜欢

转载自blog.csdn.net/CUITAO2305532402/article/details/111303733
今日推荐
数学建模Matlab之数据预处理方法
充电桩---ISO15118协议详细介绍
对话Kaldi之父、小米首席语音科学家Daniel Povey:开源环境比金钱和荣誉更吸引我 | AGI技术50人...
Hugging Face全攻略:轻松下载Llama 3模型,探索NLP的无限可能!【实操】
阅读送书抽奖?玩转抽奖游戏,js-tool-big-box工具库新上抽奖功能
百度发布Comate代码知识增强2.0,国内首个支持实时检索智能代码助手
黑客利用扫雷游戏 Python 克隆隐藏恶意脚本,攻击欧洲和美国金融机构
微软对开源字体 Cascadia Code 进行重大更新
好书推荐《ChatGPT原理与架构:大模型的预训练、迁移和中间件编程 》
Baidu Comate 智能编码助手:编程新伙伴,效率新飞跃
AI时代:人工智能大模型引领科技创造新时代
百篇博客 · 千里之行
周排行
Python模块之shelve
勇于承担责任
Hikyuu 1.1.0 发布,量化交易研究框架
字节跳动Java3面“凉凉”~不负韶华,努力复习备战“金三银四”
Linux下静态链接库与动态链接库的区别
spring boot架构改造
怎么理解AOP
文件不同步 --本地和eclipse
在linux配置nginx负载均衡
Linux Shell基础命令
每日归档
更多
2024-05-28(2)
2024-05-27(56)
2024-05-26(6)
2024-05-25(68)
2024-05-24(65)
2024-05-23(9)
2024-05-22(41)
2024-05-21(8)
2024-05-20(36)
2024-05-19(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022