原文:http://www.open-open.com/code/view/1455809388308

public class AntiXSS {

    /**

     * 滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码

     *

     * @param content

     *            需要滤除的字符串

     * @return 过滤的结果

     */

    public static String replaceHtmlCode(String content) {

        if (null == content) {

            return null;

        }

        if (0 == content.length()) {

            return "";

        }

        // 需要滤除的脚本事件关键字

        String[] eventKeywords = { "onmouseover", "onmouseout", "onmousedown",

                "onmouseup", "onmousemove", "onclick", "ondblclick",

                "onkeypress", "onkeydown", "onkeyup", "ondragstart",

                "onerrorupdate", "onhelp", "onreadystatechange", "onrowenter",

                "onrowexit", "onselectstart", "onload", "onunload",

                "onbeforeunload", "onblur", "onerror", "onfocus", "onresize",

                "onscroll", "oncontextmenu", "alert" };

        content = replace(content, "<script", "<script", false);

        content = replace(content, "</script", "</script", false);

        content = replace(content, "<marquee", "<marquee", false);

        content = replace(content, "</marquee", "</marquee", false);

        content = replace(content, "'", "_", false);// 将单引号替换成下划线

        content = replace(content, "\"", "_", false);// 将双引号替换成下划线

        // 滤除脚本事件代码

        for (int i = 0; i < eventKeywords.length; i++) {

            content = replace(content, eventKeywords[i],

                    "_" + eventKeywords[i], false); // 添加一个"_", 使事件代码无效

        }

        return content;

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, 并以大小写敏感方式进行查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     */

    private static String replace(String source, String oldStr, String newStr) {

        return replace(source, oldStr, newStr, true);

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, matchCase 为是否设置大小写敏感查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     * @param matchCase

     *            是否需要按照大小写敏感方式查找

     */

    private static String replace(String source, String oldStr, String newStr,

            boolean matchCase) {

        if (source == null) {

            return null;

        }

        // 首先检查旧字符串是否存在, 不存在就不进行替换

        if (source.toLowerCase().indexOf(oldStr.toLowerCase()) == -1) {

            return source;

        }

        int findStartPos = 0;

        int a = 0;

        while (a > -1) {

            int b = 0;

            String str1, str2, str3, str4, strA, strB;

            str1 = source;

            str2 = str1.toLowerCase();

            str3 = oldStr;

            str4 = str3.toLowerCase();

            if (matchCase) {

                strA = str1;

                strB = str3;

            } else {

                strA = str2;

                strB = str4;

            }

            a = strA.indexOf(strB, findStartPos);

            if (a > -1) {

                b = oldStr.length();

                findStartPos = a + b;

                StringBuffer bbuf = new StringBuffer(source);

                source = bbuf.replace(a, a + b, newStr) + "";

                // 新的查找开始点位于替换后的字符串的结尾

                findStartPos = findStartPos + newStr.length() - b;

            }

        }

        return source;

    }

    public static void main(String [] args){

        //String str = "./fabu-advSousuo.jsp?userName=xxx<script>alert(123);</script>&password=yyy";

        String str= "http://192.168.63.87:7001/xxx/xxxx/fabu-search.jsp?searchText=<script>alert('11');</script>";

        System.out.println(AntiXSS.replaceHtmlCode(str));

    }

}

Java处理XSS漏洞的工具类代码的更多相关文章

  1. java导出数据EXCEL的工具类(以spring-webmvc-4.0.4jar为基础)

    1.本工具类继承于  spring-webmvc-4.0.4jar文件心中的一个类   AbstractExcelView 2.代码如下 package com.skjd.util; import j ...

  2. java中定义一个CloneUtil 工具类

    其实所有的java对象都可以具备克隆能力,只是因为在基础类Object中被设定成了一个保留方法(protected),要想真正拥有克隆的能力, 就需要实现Cloneable接口,重写clone方法.通 ...

  3. java中的Arrays这个工具类你真的会用吗

    Java源码系列三-工具类Arrays ​ 今天分享java的源码的第三弹,Arrays这个工具类的源码.因为近期在复习数据结构,了解到Arrays里面的排序算法和二分查找等的实现,收益匪浅,决定研读 ...

  4. Java操作文件夹的工具类

    Java操作文件夹的工具类 import java.io.File; public class DeleteDirectory { /** * 删除单个文件 * @param fileName 要删除 ...

  5. Java汉字转成汉语拼音工具类

    Java汉字转成汉语拼音工具类,需要用到pinyin4j.jar包. import net.sourceforge.pinyin4j.PinyinHelper; import net.sourcefo ...

  6. java下载Excel模板(工具类)

    一次文件下载记录 一次不成熟的文件下载操作记录,希望能对需要的人有所帮助. 1.前端代码 $("#downloadModel").click(function(){ var mod ...

  7. XSS漏洞扫描工具:BruteXSS

    下载Brute,一个xss漏洞扫描工具:https://codeload.github.com/shawarkhanethicalhacker/BruteXSS/legacy.zip/master 我 ...

  8. Jedis工具类代码

    安装Redis可以参考 https://www.cnblogs.com/dddyyy/p/9763098.html Redis的学习可以参考https://www.cnblogs.com/dddyyy ...

  9. java中excel导入\导出工具类

    1.导入工具 package com.linrain.jcs.test; import jxl.Cell; import jxl.Sheet; import jxl.Workbook; import ...

随机推荐

  1. kotlin - Parcelable implementations generator

    本文摘自——https://kotlinlang.org/docs/tutorials/android-plugin.html Android Extensions plugin provides P ...

  2. No-5.远程管理常用命令

    远程管理常用命令 目标 关机/重启 shutdown 查看或配置网卡信息 ifconfig ping 远程登录和复制文件 ssh scp 01. 关机/重启 序号 命令 对应英文 作用 01 shut ...

  3. 12scrapy_redis

    一.简介 1.redis redis是一个key-value存储系统.和Memcached类似,它支持存储的value类型相对更多,包括string(字符串).list(链表).set(集合).zse ...

  4. luogu P3393 逃离僵尸岛-搜索剪枝+spfa

    P3393 逃离僵尸岛 题目描述 小a住的国家被僵尸侵略了!小a打算逃离到该国唯一的国际空港逃出这个国家. 该国有N个城市,城市之间有道路相连.一共有M条双向道路.保证没有自环和重边. K个城市已经被 ...

  5. 8. Truncate undo表空间

    8. Truncate undo表空间 要Truncate Undo 表空间,必须为MySQL实例配置至少两个undo表空间(两个undo表空间可确保一个undo表空间保持活动状态,另一个处于脱机状态 ...

  6. utf-8 下汉字为什么需要三个字节

    Unicode 十六进制码点范围 --> UTF-8 二进制0000 0000 - 0000 007F --> 0xxxxxxx 0000 0080 - 0000 07FF --> ...

  7. Ural 1960 Palindromes and Super Abilities

    Palindromes and Super Abilities Time Limit: 1000ms Memory Limit: 65536KB This problem will be judged ...

  8. 『NYIST』第八届河南省ACM竞赛训练赛[正式赛一]-CodeForces 237C,素数打表,二分查找

    C. Primes on Interval time limit per test 1 second memory limit per test 256 megabytes input standar ...

  9. 用SQLLDR来装载date类型的控制文件

    以前给山东某单位做oracle数据库恢复得时候,恢复出来得数据中包含date类型,当时给客户提供得是sqlldr得方式,因为数据量比较大,用sqlldr装载起来速度比较快,所以采用了这种方式,结果在装 ...

  10. 洛谷P1244 青蛙过河

    P1244 青蛙过河 362通过 525提交 题目提供者该用户不存在 标签 难度普及- 时空限制1s / 128MB 提交 讨论 题解 最新讨论更多讨论 题目什么意思 题目看不懂啊 题目描述 有一条河 ...