原文:http://www.open-open.com/code/view/1455809388308

public class AntiXSS {

    /**

     * 滤除content中的危险 HTML 代码, 主要是脚本代码, 滚动字幕代码以及脚本事件处理代码

     *

     * @param content

     *            需要滤除的字符串

     * @return 过滤的结果

     */

    public static String replaceHtmlCode(String content) {

        if (null == content) {

            return null;

        }

        if (0 == content.length()) {

            return "";

        }

        // 需要滤除的脚本事件关键字

        String[] eventKeywords = { "onmouseover", "onmouseout", "onmousedown",

                "onmouseup", "onmousemove", "onclick", "ondblclick",

                "onkeypress", "onkeydown", "onkeyup", "ondragstart",

                "onerrorupdate", "onhelp", "onreadystatechange", "onrowenter",

                "onrowexit", "onselectstart", "onload", "onunload",

                "onbeforeunload", "onblur", "onerror", "onfocus", "onresize",

                "onscroll", "oncontextmenu", "alert" };

        content = replace(content, "<script", "<script", false);

        content = replace(content, "</script", "</script", false);

        content = replace(content, "<marquee", "<marquee", false);

        content = replace(content, "</marquee", "</marquee", false);

        content = replace(content, "'", "_", false);// 将单引号替换成下划线

        content = replace(content, "\"", "_", false);// 将双引号替换成下划线

        // 滤除脚本事件代码

        for (int i = 0; i < eventKeywords.length; i++) {

            content = replace(content, eventKeywords[i],

                    "_" + eventKeywords[i], false); // 添加一个"_", 使事件代码无效

        }

        return content;

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, 并以大小写敏感方式进行查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     */

    private static String replace(String source, String oldStr, String newStr) {

        return replace(source, oldStr, newStr, true);

    }

    /**

     * 将字符串 source 中的 oldStr 替换为 newStr, matchCase 为是否设置大小写敏感查找

     *

     * @param source

     *            需要替换的源字符串

     * @param oldStr

     *            需要被替换的老字符串

     * @param newStr

     *            替换为的新字符串

     * @param matchCase

     *            是否需要按照大小写敏感方式查找

     */

    private static String replace(String source, String oldStr, String newStr,

            boolean matchCase) {

        if (source == null) {

            return null;

        }

        // 首先检查旧字符串是否存在, 不存在就不进行替换

        if (source.toLowerCase().indexOf(oldStr.toLowerCase()) == -1) {

            return source;

        }

        int findStartPos = 0;

        int a = 0;

        while (a > -1) {

            int b = 0;

            String str1, str2, str3, str4, strA, strB;

            str1 = source;

            str2 = str1.toLowerCase();

            str3 = oldStr;

            str4 = str3.toLowerCase();

            if (matchCase) {

                strA = str1;

                strB = str3;

            } else {

                strA = str2;

                strB = str4;

            }

            a = strA.indexOf(strB, findStartPos);

            if (a > -1) {

                b = oldStr.length();

                findStartPos = a + b;

                StringBuffer bbuf = new StringBuffer(source);

                source = bbuf.replace(a, a + b, newStr) + "";

                // 新的查找开始点位于替换后的字符串的结尾

                findStartPos = findStartPos + newStr.length() - b;

            }

        }

        return source;

    }

    public static void main(String [] args){

        //String str = "./fabu-advSousuo.jsp?userName=xxx<script>alert(123);</script>&password=yyy";

        String str= "http://192.168.63.87:7001/xxx/xxxx/fabu-search.jsp?searchText=<script>alert('11');</script>";

        System.out.println(AntiXSS.replaceHtmlCode(str));

    }

}

Java处理XSS漏洞的工具类代码的更多相关文章

  1. java导出数据EXCEL的工具类(以spring-webmvc-4.0.4jar为基础)

    1.本工具类继承于  spring-webmvc-4.0.4jar文件心中的一个类   AbstractExcelView 2.代码如下 package com.skjd.util; import j ...

  2. java中定义一个CloneUtil 工具类

    其实所有的java对象都可以具备克隆能力,只是因为在基础类Object中被设定成了一个保留方法(protected),要想真正拥有克隆的能力, 就需要实现Cloneable接口,重写clone方法.通 ...

  3. java中的Arrays这个工具类你真的会用吗

    Java源码系列三-工具类Arrays ​ 今天分享java的源码的第三弹,Arrays这个工具类的源码.因为近期在复习数据结构,了解到Arrays里面的排序算法和二分查找等的实现,收益匪浅,决定研读 ...

  4. Java操作文件夹的工具类

    Java操作文件夹的工具类 import java.io.File; public class DeleteDirectory { /** * 删除单个文件 * @param fileName 要删除 ...

  5. Java汉字转成汉语拼音工具类

    Java汉字转成汉语拼音工具类,需要用到pinyin4j.jar包. import net.sourceforge.pinyin4j.PinyinHelper; import net.sourcefo ...

  6. java下载Excel模板(工具类)

    一次文件下载记录 一次不成熟的文件下载操作记录,希望能对需要的人有所帮助. 1.前端代码 $("#downloadModel").click(function(){ var mod ...

  7. XSS漏洞扫描工具:BruteXSS

    下载Brute,一个xss漏洞扫描工具:https://codeload.github.com/shawarkhanethicalhacker/BruteXSS/legacy.zip/master 我 ...

  8. Jedis工具类代码

    安装Redis可以参考 https://www.cnblogs.com/dddyyy/p/9763098.html Redis的学习可以参考https://www.cnblogs.com/dddyyy ...

  9. java中excel导入\导出工具类

    1.导入工具 package com.linrain.jcs.test; import jxl.Cell; import jxl.Sheet; import jxl.Workbook; import ...

随机推荐

  1. free - 显示系统中已用和未用的内存空间总和.

    总览 (SYNOPSIS) free [-b | -k | -m] [-o] [-s delay ] [-t] [-V] 描述 (DESCRIPTION) free 显示 系统中 已用和未用的 物理内 ...

  2. luogu P1008 三连击

    题目背景 本题为提交答案题,您可以写程序或手算在本机上算出答案后,直接提交答案文本,也可提交答案生成程序. 题目描述 将1,2,…,9共9个数分成三组,分别组成三个三位数,且使这三个三位数构成1:2: ...

  3. luogu P1042 乒乓球

    题目背景 国际乒联现在主席沙拉拉自从上任以来就立志于推行一系列改革,以推动乒乓球运动在全球的普及.其中11分制改革引起了很大的争议,有一部分球员因为无法适应新规则只能选择退役.华华就是其中一位,他退役 ...

  4. Hibernate-03

    目的:表操作(表维护) 一.一对一(略过) 二.一对 1.建表原则:在多的一方创建外键指向一的一方的外键 2.建表:实体中添加 商品实体表: private Set<User> user ...

  5. 6. 将单独表空间(File-Per-Table Tablespaces)复制到另一个实例

    6. 将单独表空间复制到另一个实例 本节介绍如何将单独表空间从一个MySQL实例复制 到另一个MySQL实例,也称为可传输表空间功能. 将InnoDB单独表空间复制到其他实例的原因有很多: - 在不对 ...

  6. 自定义shell脚本

    当脚本需要加入固定的内容时就可以直接使用此文件 1.在用户的家目录下创建.vimrc文件(root用户就在root目录下创建,其他用户就在其他用户家目录下创建这个隐藏文件) 2. 将以下代码写入此文件 ...

  7. python基础——2(基本数据类型及运算符)

    目录 为何数据要区分类型? 一.数字类型 1.整型int 2.浮点型float 二.字符串str 三.列表类型list 四.字典类型 五.布尔类型 运算符的介绍 一.算术运算符 二.比较运算符 三.赋 ...

  8. Java基础学习之数组基本属性和方法

    数组对于每一门编程语言都是重要的数据结构之一,当然不同语言对数组的实现及处理也不尽相同.Java语言中提供的数组是用来存储固定大小的同类型元素.你可以声明一个数组变量,如 int[100] 来代替直接 ...

  9. Using TCP keepalive under Linux

    Linux has built-in support for keepalive. You need to enable TCP/IP networking in order to use it. Y ...

  10. Nginx与python web服务配置(Uwsgi& FastCGI)

    Uwsgi start uswgi uwsgi --harakiri 360000 --body-read-warning=10000 --max-fd=65536 -b 1000000 --http ...