原文:http://www.open-open.com/code/view/1455809388308

public class AntiXSS {

    /**

     * 滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码

     *

     * @param content

     *            需要滤除的字符串

     * @return 过滤的结果

     */

    public static String replaceHtmlCode(String content) {

        if (null == content) {

            return null;

        }

        if (0 == content.length()) {

            return "";

        }

        // 需要滤除的脚本事件关键字

        String[] eventKeywords = { "onmouseover", "onmouseout", "onmousedown",

                "onmouseup", "onmousemove", "onclick", "ondblclick",

                "onkeypress", "onkeydown", "onkeyup", "ondragstart",

                "onerrorupdate", "onhelp", "onreadystatechange", "onrowenter",

                "onrowexit", "onselectstart", "onload", "onunload",

                "onbeforeunload", "onblur", "onerror", "onfocus", "onresize",

                "onscroll", "oncontextmenu", "alert" };

        content = replace(content, "<script", "<script", false);

        content = replace(content, "</script", "</script", false);

        content = replace(content, "<marquee", "<marquee", false);

        content = replace(content, "</marquee", "</marquee", false);

        content = replace(content, "'", "_", false);// 将单引号替换成下划线

        content = replace(content, "\"", "_", false);// 将双引号替换成下划线

        // 滤除脚本事件代码

        for (int i = 0; i < eventKeywords.length; i++) {

            content = replace(content, eventKeywords[i],

                    "_" + eventKeywords[i], false); // 添加一个"_", 使事件代码无效

        }

        return content;

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, 并以大小写敏感方式进行查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     */

    private static String replace(String source, String oldStr, String newStr) {

        return replace(source, oldStr, newStr, true);

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, matchCase 为是否设置大小写敏感查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     * @param matchCase

     *            是否需要按照大小写敏感方式查找

     */

    private static String replace(String source, String oldStr, String newStr,

            boolean matchCase) {

        if (source == null) {

            return null;

        }

        // 首先检查旧字符串是否存在, 不存在就不进行替换

        if (source.toLowerCase().indexOf(oldStr.toLowerCase()) == -1) {

            return source;

        }

        int findStartPos = 0;

        int a = 0;

        while (a > -1) {

            int b = 0;

            String str1, str2, str3, str4, strA, strB;

            str1 = source;

            str2 = str1.toLowerCase();

            str3 = oldStr;

            str4 = str3.toLowerCase();

            if (matchCase) {

                strA = str1;

                strB = str3;

            } else {

                strA = str2;

                strB = str4;

            }

            a = strA.indexOf(strB, findStartPos);

            if (a > -1) {

                b = oldStr.length();

                findStartPos = a + b;

                StringBuffer bbuf = new StringBuffer(source);

                source = bbuf.replace(a, a + b, newStr) + "";

                // 新的查找开始点位于替换后的字符串的结尾

                findStartPos = findStartPos + newStr.length() - b;

            }

        }

        return source;

    }

    public static void main(String [] args){

        //String str = "./fabu-advSousuo.jsp?userName=xxx<script>alert(123);</script>&password=yyy";

        String str= "http://192.168.63.87:7001/xxx/xxxx/fabu-search.jsp?searchText=<script>alert('11');</script>";

        System.out.println(AntiXSS.replaceHtmlCode(str));

    }

}

Java处理XSS漏洞的工具类代码的更多相关文章

  1. java导出数据EXCEL的工具类(以spring-webmvc-4.0.4jar为基础)

    1.本工具类继承于  spring-webmvc-4.0.4jar文件心中的一个类   AbstractExcelView 2.代码如下 package com.skjd.util; import j ...

  2. java中定义一个CloneUtil 工具类

    其实所有的java对象都可以具备克隆能力,只是因为在基础类Object中被设定成了一个保留方法(protected),要想真正拥有克隆的能力, 就需要实现Cloneable接口,重写clone方法.通 ...

  3. java中的Arrays这个工具类你真的会用吗

    Java源码系列三-工具类Arrays ​ 今天分享java的源码的第三弹,Arrays这个工具类的源码.因为近期在复习数据结构,了解到Arrays里面的排序算法和二分查找等的实现,收益匪浅,决定研读 ...

  4. Java操作文件夹的工具类

    Java操作文件夹的工具类 import java.io.File; public class DeleteDirectory { /** * 删除单个文件 * @param fileName 要删除 ...

  5. Java汉字转成汉语拼音工具类

    Java汉字转成汉语拼音工具类,需要用到pinyin4j.jar包. import net.sourceforge.pinyin4j.PinyinHelper; import net.sourcefo ...

  6. java下载Excel模板(工具类)

    一次文件下载记录 一次不成熟的文件下载操作记录,希望能对需要的人有所帮助. 1.前端代码 $("#downloadModel").click(function(){ var mod ...

  7. XSS漏洞扫描工具:BruteXSS

    下载Brute,一个xss漏洞扫描工具:https://codeload.github.com/shawarkhanethicalhacker/BruteXSS/legacy.zip/master 我 ...

  8. Jedis工具类代码

    安装Redis可以参考 https://www.cnblogs.com/dddyyy/p/9763098.html Redis的学习可以参考https://www.cnblogs.com/dddyyy ...

  9. java中excel导入\导出工具类

    1.导入工具 package com.linrain.jcs.test; import jxl.Cell; import jxl.Sheet; import jxl.Workbook; import ...

随机推荐

  1. Visual Odometry

    http://www.cvlibs.net/datasets/kitti/eval_odometry.php

  2. [LUOGU] P2187 小Z的笔记

    看范围猜方程,应该是O(n)级别的 f[i]表示前i个合法的最小代价,转移需要枚举断点位置,O(n^2) f[i]表示前i个合法留下的最大个数,同时更新距离最近的26个字母的位置,O(n)转移 f[i ...

  3. IDEA ctrl+alt+L 格式化快捷键无效时解决

    这几天发现自己Intellij IDEA ctrl+alt+L格式化代码无效 设置里面按照快捷键搜索 按了 ctrl+alt+L 也没反应 但是我设置的确实是默认的 ctrl+alt+L 最后终于找到 ...

  4. 为公司架构一套高质量的 Vue UI 组件库

    有没有曾遇过,产品要我们实现一个功能,但是 iview 或者 elementui 不支持,我们然后义正言辞的说,不好意思,组件库不支持,没法做到. 有没有曾和设计师争论得面红耳赤,其实也是因为组件库暂 ...

  5. python 简易计算器(只能计算加减乘除和括号)

    import re # 格式化字符串函数(消除一些错误的格式) def format_string(string): # 一系列的替换语句 string = string.replace(" ...

  6. UVA - 10410 Tree Reconstruction (根据dfs序和bfs序恢复一颗树)

    题意: 分析: 这题一开始完全没有思路, 一直没有找出规律. 参考了http://www.cnblogs.com/Wade-/p/6358859.html 和 http://www.cnblogs.c ...

  7. LeetCode 464. Can I Win

    In the "100 game," two players take turns adding, to a running total, any integer from 1.. ...

  8. 关于markdown 的简单使用(已更新)

    markdown的介绍 Markdown是一种可以使用普通文本编辑器编写的标记语言,通过类似HTML的标记语法,它可以使普通文本内容具有一定的格式. Markdown具有一系列衍生版本,用于扩展Mar ...

  9. PS学习笔记(03)

    ui到底是什么? 很多同学不知道ui是什么,以为画个ICON图标就是做ui了,导致很多人都忙着画各种各样的图标.这样很容易让那些新人们走错路,最后我想说的是icon不是全部,不要沉迷其中,要学的还有很 ...

  10. 65.什么是IOC?【从零开始学Spring Boot】

    [从零开始学习Spirng Boot-常见异常汇总] 这个小节吧,是无意当中看了一篇文章,觉得介绍的特别好,引用到我的博客中,让大家也乐下.那么他是怎么解说IOC的呢?看如下: 套用好莱坞的一句名言就 ...