原文:http://www.open-open.com/code/view/1455809388308

public class AntiXSS {

    /**

     * 滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码

     *

     * @param content

     *            需要滤除的字符串

     * @return 过滤的结果

     */

    public static String replaceHtmlCode(String content) {

        if (null == content) {

            return null;

        }

        if (0 == content.length()) {

            return "";

        }

        // 需要滤除的脚本事件关键字

        String[] eventKeywords = { "onmouseover", "onmouseout", "onmousedown",

                "onmouseup", "onmousemove", "onclick", "ondblclick",

                "onkeypress", "onkeydown", "onkeyup", "ondragstart",

                "onerrorupdate", "onhelp", "onreadystatechange", "onrowenter",

                "onrowexit", "onselectstart", "onload", "onunload",

                "onbeforeunload", "onblur", "onerror", "onfocus", "onresize",

                "onscroll", "oncontextmenu", "alert" };

        content = replace(content, "<script", "<script", false);

        content = replace(content, "</script", "</script", false);

        content = replace(content, "<marquee", "<marquee", false);

        content = replace(content, "</marquee", "</marquee", false);

        content = replace(content, "'", "_", false);// 将单引号替换成下划线

        content = replace(content, "\"", "_", false);// 将双引号替换成下划线

        // 滤除脚本事件代码

        for (int i = 0; i < eventKeywords.length; i++) {

            content = replace(content, eventKeywords[i],

                    "_" + eventKeywords[i], false); // 添加一个"_", 使事件代码无效

        }

        return content;

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, 并以大小写敏感方式进行查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     */

    private static String replace(String source, String oldStr, String newStr) {

        return replace(source, oldStr, newStr, true);

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, matchCase 为是否设置大小写敏感查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     * @param matchCase

     *            是否需要按照大小写敏感方式查找

     */

    private static String replace(String source, String oldStr, String newStr,

            boolean matchCase) {

        if (source == null) {

            return null;

        }

        // 首先检查旧字符串是否存在, 不存在就不进行替换

        if (source.toLowerCase().indexOf(oldStr.toLowerCase()) == -1) {

            return source;

        }

        int findStartPos = 0;

        int a = 0;

        while (a > -1) {

            int b = 0;

            String str1, str2, str3, str4, strA, strB;

            str1 = source;

            str2 = str1.toLowerCase();

            str3 = oldStr;

            str4 = str3.toLowerCase();

            if (matchCase) {

                strA = str1;

                strB = str3;

            } else {

                strA = str2;

                strB = str4;

            }

            a = strA.indexOf(strB, findStartPos);

            if (a > -1) {

                b = oldStr.length();

                findStartPos = a + b;

                StringBuffer bbuf = new StringBuffer(source);

                source = bbuf.replace(a, a + b, newStr) + "";

                // 新的查找开始点位于替换后的字符串的结尾

                findStartPos = findStartPos + newStr.length() - b;

            }

        }

        return source;

    }

    public static void main(String [] args){

        //String str = "./fabu-advSousuo.jsp?userName=xxx<script>alert(123);</script>&password=yyy";

        String str= "http://192.168.63.87:7001/xxx/xxxx/fabu-search.jsp?searchText=<script>alert('11');</script>";

        System.out.println(AntiXSS.replaceHtmlCode(str));

    }

}

Java处理XSS漏洞的工具类代码的更多相关文章

  1. java导出数据EXCEL的工具类(以spring-webmvc-4.0.4jar为基础)

    1.本工具类继承于  spring-webmvc-4.0.4jar文件心中的一个类   AbstractExcelView 2.代码如下 package com.skjd.util; import j ...

  2. java中定义一个CloneUtil 工具类

    其实所有的java对象都可以具备克隆能力,只是因为在基础类Object中被设定成了一个保留方法(protected),要想真正拥有克隆的能力, 就需要实现Cloneable接口,重写clone方法.通 ...

  3. java中的Arrays这个工具类你真的会用吗

    Java源码系列三-工具类Arrays ​ 今天分享java的源码的第三弹,Arrays这个工具类的源码.因为近期在复习数据结构,了解到Arrays里面的排序算法和二分查找等的实现,收益匪浅,决定研读 ...

  4. Java操作文件夹的工具类

    Java操作文件夹的工具类 import java.io.File; public class DeleteDirectory { /** * 删除单个文件 * @param fileName 要删除 ...

  5. Java汉字转成汉语拼音工具类

    Java汉字转成汉语拼音工具类,需要用到pinyin4j.jar包. import net.sourceforge.pinyin4j.PinyinHelper; import net.sourcefo ...

  6. java下载Excel模板(工具类)

    一次文件下载记录 一次不成熟的文件下载操作记录,希望能对需要的人有所帮助. 1.前端代码 $("#downloadModel").click(function(){ var mod ...

  7. XSS漏洞扫描工具:BruteXSS

    下载Brute,一个xss漏洞扫描工具:https://codeload.github.com/shawarkhanethicalhacker/BruteXSS/legacy.zip/master 我 ...

  8. Jedis工具类代码

    安装Redis可以参考 https://www.cnblogs.com/dddyyy/p/9763098.html Redis的学习可以参考https://www.cnblogs.com/dddyyy ...

  9. java中excel导入\导出工具类

    1.导入工具 package com.linrain.jcs.test; import jxl.Cell; import jxl.Sheet; import jxl.Workbook; import ...

随机推荐

  1. HTML5应用 + Cordova = 平台相关的混合应用

    Jerry之前的一篇文章 SAP Fiori应用的三种部署方式 曾经提到SAP Fiori应用的三种部署方式: On Premise环境下以ABAP BSP应用作为Fiori应用部署和运行的载体 部署 ...

  2. 阿里云服务器ECS部署应用教程

    购买阿里云服务器 大多数云服务器默认安装的语言运行环境版本都很旧了,python用的还是2.7,JDK用的还是1.6的,在ECS云服务器中可以自行安装,包括python3.4之类的. 在次页面购买EC ...

  3. Codeforces 1076D——最短路算法

    题目 给你一个有n个顶点.m条边的无向带权图.需要擦除一些边使得剩余的边数不超过k,如果一个点在原始图到顶点1的最短距离为d,在删边后的图中到顶点的最短距离仍是d,则称这种点是 good.问如何删边, ...

  4. javascript.json snippets vscode 注释

    vscode vue js里面的注释 javascript.json { // Place your global snippets here. Each snippet is defined und ...

  5. Proguard配置文件内容

    -injars elec-bendao-1.2.jar-outjars elec-bendao-1.2-end.jar -libraryjars lib\charsets.jar-libraryjar ...

  6. No-1.文件和目录

    文件和目录 01. 单用户操作系统和多用户操作系统(科普) 单用户操作系统:指一台计算机在同一时间 只能由一个用户 使用,一个用户独自享用系统的全部硬件和软件资源 Windows XP 之前的版本都是 ...

  7. UVa-1586-分子量

    这是一道字符串的题目,我们直接对字符串进行解析,然后计算就可以了. 我是直接开了两个数组存入对应的值,没有进行判断,我们如果在if判断里面直接增加了i的值,最好先把对应的字符存起来,然后这样才不容易出 ...

  8. [模板] 动态ST表

    ST表本身是不可修改的. 如果考虑增加一个数,可以把ST表反过来写,即f[i][j]表示i往前1<<j个数,一个数最多影响logn个数,常数非常小. #include<iostrea ...

  9. (13) openssl ca(签署和自建CA)

    用于签署证书请求.生成吊销列表CRL以及维护已颁发证书列表和这些证书状态的数据库.因为一般人无需管理crl,所以本文只介绍openssl ca关于证书管理方面的功能. 证书请求文件使用CA的私钥签署之 ...

  10. python 装饰器模拟京东登陆

    要求: 1.三个页面:主页面(home).书店(book).金融页面(finance)2.有两种登陆方式:主页面和书店页面使用京东账户登陆,金融页面使用微信账户登录2.输入:1 ,进入主页面,以此类推 ...