1.建立一个工具类



package im.lsn.oss.exhibition.utils;

import org.apache.commons.lang3.StringUtils;

import java.beans.IntrospectionException;
import java.beans.PropertyDescriptor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.stream.Stream;

public class XssUtils {

    public static Object processXss(Object o) {
        Class clazz = o.getClass();
        Field[] fields = clazz.getDeclaredFields();
        Stream.of(fields).forEach( field ->{
            try {
                PropertyDescriptor pd = new PropertyDescriptor(field.getName(),clazz);
                if(field.getType().getName().equals("java.lang.String")){
                    String value = (String)pd.getReadMethod().invoke(o);
                    pd.getWriteMethod().invoke(o,cleanXSS(value));
                }
            } catch (IntrospectionException e) {
                e.printStackTrace();
            } catch (IllegalAccessException e) {
                e.printStackTrace();
            } catch (InvocationTargetException e) {
                e.printStackTrace();
            }
        });
        return o;
    }

    public static String cleanXSS(String value) {
        if (StringUtils.isBlank(value)) {
            return value;
        }
        value = value.replaceAll("eval(\\s*)\\(", "");
        value = value.replaceAll("javascript(\\s*):", "");
        value = value.replaceAll("<(/?)(\\s*)[sS][cC][rR][iI][pP][tT](\\s*)>", "");
        value = value.replaceAll("on[a-zA-Z]*(\\s*)=", "");
        return value;
    }
}


 




2.在方法前进行代码的处理




editForm= (ExhibitorsEditForm)XssUtils.processXss(editForm);


												


											
防御流类型的xss攻击的更多相关文章
	

    
								
  1. Web 攻击之 XSS 攻击及防御策略
		
    XSS 攻击 介绍 XSS 攻击,从最初 netscap 推出 javascript 时,就已经察觉到了危险. 我们常常需要面临跨域的解决方案,其实同源策略是保护我们的网站.糟糕的跨域会带来危险,虽然 ...
    
		
    2. 
						
  2. web渗透—xss攻击如何防御
		
    1.基于特征的防御 XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同.这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS ...
    
		
    3. 
						
  3. 浅谈xss攻击
		
    近期学习过程中提到xss攻击的问题,便想要了解一下,总结如下: XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,  ...
    
		
    4. 
						
  4. 什么是xss攻击
		
    概述: XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联 ...
    
		
    5. 
						
  5. XSS攻击原理、示例和防范措施
		
    XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式. Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Casc ...
    
		
    6. 
						
  6. 前端XSS攻击和防御
		
    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...
    
		
    7. 
						
  7. 防御XSS攻击的七条原则
		
    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS  ...
    
		
    8. 
						
  8. web安全-XSS攻击及防御
		
    XSS攻击的原理 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻 ...
    
		
    9. 
						
  9. Web 安全之 XSS 攻击与防御
		
    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 动手学深度学习9-多层感知机pytorch
			
    多层感知机 隐藏层 激活函数 小结 多层感知机 之前已经介绍过了线性回归和softmax回归在内的单层神经网络,然后深度学习主要学习多层模型,后续将以多层感知机(multilayer percetro ...
    
			
    2. 
						
  2. JavaScript 内存回收机制
			
    引用 垃圾回收算法主要依赖引用的概念,例如一个对象如果有另外一个对象的访问权限,这里就叫做一个对象引用另外一个对象,不论这里是显式还是隐式 回收机制 Js具有自动垃圾回收机制.垃圾收集器会按照固定的时 ...
    
			
    3. 
						
  3. linux重定向 null和zero
			
    文件描述符 linux下一切皆文件 文件描述符,是内核为了高效管理已经被打开的文件所创建的索引,用于指向被打开的文件,所有执行I/O操作的系统调用都通过文件描述符; 文件描述符是一个简单的非负整数,用 ...
    
			
    4. 
						
  4. ElasticSearch6.3.2源码分析之节点连接实现
			
    ElasticSearch6.3.2源码分析之节点连接实现 这篇文章主要分析ES节点之间如何维持连接的.在开始之前,先扯一下ES源码阅读的一些心得:在使用ES过程中碰到某个问题,想要深入了解一下,可源 ...
    
			
    5. 
						
  5. 图解微信小程序---获取电影信息
			
    图解微信小程序---获取电影信息 代码笔记 第一步:编写js文件,调用api获取相对应电影详情信息(注意带入的参数是id不在是榜单的type,电影api的movie后面又斜杠,别忘了,对应的绑定数据的 ...
    
			
    6. 
						
  6. 用Python分析国庆旅游景点,告诉你哪些地方好玩、便宜、人又少
			
    注:本人参考“裸睡的猪”公众号同名文章,学习使用. 一.目标 使用Python分析出国庆哪些旅游景点:好玩.便宜.人还少的地方,不然拍照都要抢着拍! 二.获取数据 爬取出行网站的旅游景点售票数据,反映 ...
    
			
    7. 
						
  7. vue+element 获取验证码
			
    我们在做一个项目,登录注册页面是少不了的,为了人机校验,验证码也是必须的 我的这个项目获取验证码,前端发送一个随机四位数给后端,后端返回一张图片,前端渲染就可以 template代码: <el- ...
    
			
    8. 
						
  8. maven 学习---如何从Maven远程存储库下载?
			
    根据 Apache Maven 的说明: Downloading in Maven is triggered by a project declaring a dependency that is n ...
    
			
    9. 
						
  9. SPL06-001 气压计
			
    歌尔是全球领先的MEMS厂家,最新推出新款气压传感器SPL06-001,定位精度可达5cm 手册地址 https://download.csdn.net/download/zhangxuechao_/ ...
    
			
    10. 
						
  10. android 调试崩溃Unable to instantiate application的解决方法
			
    E/AndroidRuntime: FATAL EXCEPTION: main                   Process: com.***.plants, PID: 23100        ...
    
			
    11.