关于javascript脚本攻击菜鸟探讨

zplswf 发布于 2011/08/25 11:49
阅读 653
收藏 2
最近在做一个项目,怎么防止javascript脚本攻击
加载中
1
scl33
scl33

"\u003c\u0073\u0063\u0072\u0069\u0070\u0074\u003e"

等于"<script>"

0
三阶魔方
三阶魔方

对用户输入的内容进行 html 转码。

比如<script></script>,转化为这种形式:

&lt;script&gt;&lt;/script&gt;

0
hchen1982
hchen1982

楼上正解:对输入内容进行html过滤

我们公司用的过滤方法

/**
   * html特殊符号的处理方法
   * @param main String
   * @return 返回html特殊符号经过处理的字符串
   */
  public static String htmlFilter(String strIn) {
		if(strIn==null) return "";
		char[] chars = strIn.toCharArray();
		StringBuffer stringbuffer = new StringBuffer();
		for (int i = 0; i < chars.length; i++) {
			char c;
			if ((c = (char) chars[i]) != '\r') {
				if (c == '<') {
					stringbuffer.append("&lt;");
				} else if (c == '>') {
					stringbuffer.append("&gt;");
				} else if (c == '\t') {
					stringbuffer.append("&nbsp;&nbsp;&nbsp;&nbsp;");
				} else if (c == '&') {
					stringbuffer.append("&amp;");
				} else if (c == ' ') {
					stringbuffer.append("&nbsp;");
				} else if (c == '\n') {
					stringbuffer.append("<br/>");
				} else {
					stringbuffer.append(c);
				}
			}
		}
		return stringbuffer.toString();
  }
若谷
若谷
能否更详细的说明一下,这是在过滤器里用的么,具体是怎么拦截每个请求的字符串呢?
0
zplswf
zplswf
谢谢哈,学习了
返回顶部
顶部