1.建立一个工具类



package im.lsn.oss.exhibition.utils;

import org.apache.commons.lang3.StringUtils;

import java.beans.IntrospectionException;
import java.beans.PropertyDescriptor;
import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.util.stream.Stream;

public class XssUtils {

    public static Object processXss(Object o) {
        Class clazz = o.getClass();
        Field[] fields = clazz.getDeclaredFields();
        Stream.of(fields).forEach( field ->{
            try {
                PropertyDescriptor pd = new PropertyDescriptor(field.getName(),clazz);
                if(field.getType().getName().equals("java.lang.String")){
                    String value = (String)pd.getReadMethod().invoke(o);
                    pd.getWriteMethod().invoke(o,cleanXSS(value));
                }
            } catch (IntrospectionException e) {
                e.printStackTrace();
            } catch (IllegalAccessException e) {
                e.printStackTrace();
            } catch (InvocationTargetException e) {
                e.printStackTrace();
            }
        });
        return o;
    }

    public static String cleanXSS(String value) {
        if (StringUtils.isBlank(value)) {
            return value;
        }
        value = value.replaceAll("eval(\\s*)\\(", "");
        value = value.replaceAll("javascript(\\s*):", "");
        value = value.replaceAll("<(/?)(\\s*)[sS][cC][rR][iI][pP][tT](\\s*)>", "");
        value = value.replaceAll("on[a-zA-Z]*(\\s*)=", "");
        return value;
    }
}


 




2.在方法前进行代码的处理




editForm= (ExhibitorsEditForm)XssUtils.processXss(editForm);


												


											
防御流类型的xss攻击的更多相关文章
	

    
								
  1. Web 攻击之 XSS 攻击及防御策略
		
    XSS 攻击 介绍 XSS 攻击,从最初 netscap 推出 javascript 时,就已经察觉到了危险. 我们常常需要面临跨域的解决方案,其实同源策略是保护我们的网站.糟糕的跨域会带来危险,虽然 ...
    
		
    2. 
						
  2. web渗透—xss攻击如何防御
		
    1.基于特征的防御 XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同.这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS ...
    
		
    3. 
						
  3. 浅谈xss攻击
		
    近期学习过程中提到xss攻击的问题,便想要了解一下,总结如下: XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,  ...
    
		
    4. 
						
  4. 什么是xss攻击
		
    概述: XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联 ...
    
		
    5. 
						
  5. XSS攻击原理、示例和防范措施
		
    XSS攻击 XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久,是危害范围非常广的攻击方式. Cross-Site Stripting的缩写本应该是CSS,但是为了避免和Casc ...
    
		
    6. 
						
  6. 前端XSS攻击和防御
		
    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...
    
		
    7. 
						
  7. 防御XSS攻击的七条原则
		
    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS  ...
    
		
    8. 
						
  8. web安全-XSS攻击及防御
		
    XSS攻击的原理 xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻 ...
    
		
    9. 
						
  9. Web 安全之 XSS 攻击与防御
		
    前言 黑客,相信大家对这一名词并不陌生,黑客们往往会利用 Web 应用程序的漏洞来攻击咱们的系统.开放式 Web 应用程序安全项目(OWASP, Open Web Application Securi ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Nacos集成Spring Cloud Gateway 基础使用
			
    项目结构 项目 端口 描述 nacos-provider 8000 服务 nacos-getway 8001 网关 nacos-provider项目依赖 <dependencies> &l ...
    
			
    2. 
						
  2. enum一个最不像class的class
			
    enum一个最不像class的classjava枚举类型是jdk5出现的.它的出现主要为了解决一些有特殊意义,已经确定的,长度不会改变的集合. //月份描述 public class Month {  ...
    
			
    3. 
						
  3. linux-centos安装图解及配置IP远程连接
			
    本次安装使用vm软件的15版本,系统为centos7.6(1810) 系统安装图解>配置IP信息联网>真实机是无线网络状态,虚拟机如何联网>远程工具连接虚拟机 一,vm安装cento ...
    
			
    4. 
						
  4. 【C++】如何使用GCC生成动态库和静态库
			
    一.静态库和动态库的定义及区别 程序编译的四个过程: 1.预处理  展开头文件/宏替换/去掉注释/条件编译(.i后缀) 2.编译    检查语法,生成汇编(.s后缀) 3.汇编    汇编代码转换成机 ...
    
			
    5. 
						
  5. Sitecore 9 介绍
			
    Sitecore 9就在这里.这个最新版本更大,更智能,更易于使用 - 并且更好地帮助您实现业务和数字目标. 现在,Sitecore 9对营销人员和非Sitecore开发人员来说更容易使用.它拥有许多 ...
    
			
    6. 
						
  6. mysql中的回表查询与索引覆盖
			
    了解一下MySQL中的回表查询与索引覆盖. 回表查询 要说回表查询,先要从InnoDB的索引实现说起.InnoDB有两大类索引,一类是聚集索引(Clustered Index),一类是普通索引(Sec ...
    
			
    7. 
						
  7. 新的部署架构之下,如何拿shell?
			
    和朋友聊起一个话题,服务器部署架构升级对安全的影响.从最简单的一台服务器,到应用.数据库.文件服务器分离:从本地机房服务器到云服务器产品矩阵:从虚拟化到容器化部署,一直在往更安全的方向改变. 本文试图 ...
    
			
    8. 
						
  8. Redis(七)持久化(Persistence)
			
    前言 前文中介绍到Redis时内存的K-V数据结构存储服务器.Redis的高性能原因之一在于其读写数据都是在内存中进行.它的架构实现方式决定了Redis的数据存储具有不可靠性,易丢失,因为RAM内存在 ...
    
			
    9. 
						
  9. Java 8——接口中个的默认方法和静态方法
			
    在Java SE 8之前,interface只是事物的抽象,用来定义统一的抽象事物和描述事物的抽象行为和属性. 但是在Java SE 8中,增加了可以在interface中增加默认实现的行为和事物的静 ...
    
			
    10. 
						
  10. thread stack size not set; configure via D:\Program Files\elasticsearch-5.0.0\config\jvm.options or ES_JAVA_OPTS
			
    抄自:http://blog.csdn.net/leo063/article/details/52994786 thread stack size not set; configure via D:\ ...
    
			
    11.