当前位置: 首页 > news >正文

什么学做网站/制作网站的公司有哪些

news 2025/6/30 12:23:56
什么学做网站,制作网站的公司有哪些,diy做网站,石家庄新闻曝光热线http://breezylee.iteye.com/blog/2063615注意:如果form表单里增加了enctype"multipart/form-data" 这个属性,会导致HttpServletRequestWrapper里取不到表单里的内容关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/Tan…

http://breezylee.iteye.com/blog/2063615

注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致HttpServletRequestWrapper

里取不到表单里的内容

关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。

其中,输入时的过滤是用一个filter来实现,

实现过程:

在web.xml加一个filter

Xml代码  fefa972cd0235bf704389c5b23e340c3.png

XssEscape

cn.pconline.morden.filter.XssFilter

XssEscape

/*

REQUEST

XssFilter 的实现方式是实现servlet的Filter接口

Java代码  fefa972cd0235bf704389c5b23e340c3.png

package cn.pconline.morden.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

}

@Override

public void destroy() {

}

}

关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

Java代码  fefa972cd0235bf704389c5b23e340c3.png

package cn.pconline.morden.filter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}

@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}

@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i 

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return super.getParameterValues(name);

}

}

到此为止,在输入的过滤就完成了。

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示,具体问题再具体分析。

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

http://www.jmfq.cn/news/4815685.html

相关文章:

  • 制作h5的基本流程/阳山网站seo
  • 湘潭建设公司网站/网站是怎么优化的
  • 自考在线做试卷的网站/杭州网站优化公司
  • 西安保洁公司网站建设/网站关键词快速排名工具
  • 广州黄埔做网站/关键词优化是怎样收费的
  • 东莞网站开发报价/广州网站建设推荐
  • 怎么查看网站是否做静态化处理/营销软文小短文
  • 成都金牛区建设局网站/产品推广图片
  • 查询网页怎么制作/站长之家seo查询官方网站
  • 农村电商扶贫网站建设/爱网站
  • 阿里云centos7做网站/关键词可以分为哪三类
  • 网站官网怎么做/浏览器下载安装2023版本
  • mail企业邮箱登录入口/宁波正规优化seo公司
  • 如何使用c 进行网站开发/免费二级域名建站
  • 网站外链建设:论坛签名是否还值得做/新东方教育培训机构官网
  • 淘宝客为什么做网站/新版阿里指数官网
  • 百度商桥网站代码去哪里添加/长春seo外包
  • html做的网站怎么弄/百度网盘app下载安装
  • 建行网站/百度推广点击软件
  • 厦门php网站建设/买外链有用吗
  • 东乡做网站/中国新闻网最新消息
  • 怎么套模板 网站/北京全网推广
  • 免费b站在线观看人数在哪里/竞价托管哪家公司好
  • 商城型网站建设/简易的旅游网页制作
  • 深圳企业高端网站建设/武汉外包seo公司
  • 遵义企业网站建设/平台推广网站
  • 深圳市南山区做网站的小公司/中国企业培训网
  • 做网站的ebay网/最新注册域名查询
  • 网站域名有哪些/百度seo教程
  • 创意网名昵称大全/seo营销技巧培训班