java后台接收参数特殊字符被转义多出空格问题

最新推荐文章于 2022-04-20 15:49:43 发布
原创 最新推荐文章于 2022-04-20 15:49:43 发布 · 2.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #html #乱码

本文介绍了一种常见的XSS防御代码实现中存在的问题,即单引号被错误地转义为“'”,而非标准的HTML转义方式。此问题源于网上广泛流传的XSS防御代码模板,该模板在实际应用中可能引入新的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

偶然间在向后台传递带单引号的参数值发现:单引号被转义成“& #39;”,不是正常的html符号转义,而是“&”后面多了一个空格,导致无法再被反转义。

后追踪代码发现项目中做了防XSS攻击处理导致的,代码如下:

private String cleanXSS(String value) {

        //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

        value = value.replaceAll("'", "& #39;");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }

这段代码在网上的防XSS攻击文章里基本都一模一样,那么多文章连注释都不带变的。。。注释上貌似是说让去掉空格的吧,这么多人没改,搞的我也不敢确认这个注释是不是这个意思了。

这个情况在使用Guns的时候也有,在guns-base的pom文件中引入的kernel-core下cn.stylefeng.roses.core.xss.XssHttpServletRequestWrapper类,这里无法去掉的话只能自己再重写覆盖了。

<!--核心组件-->
        <dependency>
            <groupId>cn.stylefeng.roses</groupId>
            <artifactId>kernel-core</artifactId>
        </dependency>
        <dependency>
            <groupId>cn.stylefeng.roses</groupId>
            <artifactId>kernel-validator</artifactId>
        </dependency>

 

遇到问题--curl--- get方法url参数中有+、空格、=、%、&、#等特殊符号的导致传参不全
直到世界的尽头
06-14 1万+
情况 使用curl访问api如下: curl -X PUT -d 'token=readafwer&limit=100&products=["2e30","34381"]' 192.168.11.195:9999/report/generation/in-product 会报错 ServiceExceptionHandler.java[line:30] exception ERR...
javeWeb springMvc获取到的参数附带特殊符号,接收后被转义
weixin_42590334的博客
07-11 1881
JAVA WEB开发时,在前端通过get / post 方法传递参数的时候 如果实参附带特殊符号,后端接收到的值中特殊符号就会被转义。 例如该请求: http://localhost:10001/demo/index.do?name=李四(2) 注:中文()不会出现此种情况 后台就收到的实际 name 值为: 李四(1) (其实为html中 ( 符号的十进制编码 )其实为html中 ...
Java后台接收前台请求参数(<>、#¥%&、空格等)被转义成&amp;lt;gt;&quot;等字符
m0_37785949的博客
04-20 6051
后台做个处理:(利用org.apache.commons.lang包里的StringEscapeUtils解码方法) String category = StringEscapeUtils.unescapeHtml(request.getParameter("category")); //必须从request里拿参数,不能在方法上用参数名称接收,否则无法成功转义 ...
Java接收token,+号变成空格
baidu_39212797的博客
03-21 1230
String accessToken = jsonObj.optString(“accessToken”); 用replace转义一下 String accessToken = jsonObj.optString(“accessToken”).replace(’ ', ‘+’);
java接收特殊字符_Java获取字符的Unicode编码以及如何过滤特殊字符ZWNJ
weixin_42503415的博客
02-24 815
获取Unicode编码package com.xs.test;public class Test {public static void main(String[] args) throws Exception {int decimal = ((int)'中');System.out.println(decimal); // Unicode十进制编码String hex = Integer.toH...
Java:http post传输数据特殊字符空格问题
拾荒追逐者的博客
04-17 3295
不同服务http数据传输操作,若传输参数存在特殊字符,数据传输将会出现数据丢失情况。 1、A服务post调用B服务 httpUrl接口 HashMap<String, String> params=new HashMap<>(); params.put("jsonObj", jsonObj); String result = post(UrlConfig.http...
url参数中传递特殊字符处理方法
03-13
所有的空格符、标点符号、特殊字符以及其他非 ASCII 字符都将被转化成 %xx 格式的字符编码(xx 等于该字符在字符集表里的编码的 16 进制数字)。 * encodeURI() 方法:把 URI 字符串采用 UTF-8 编码格式转化成 ...
解析错误富文本json字符串(带双引号)的快速解决方法
09-01
然而,在处理包含特殊字符如双引号(")的富文本时,可能会遇到解析错误,因为JSON标准规定键和字符串值必须用双引号包围。本文将探讨如何快速解决这个问题。 当JSON字符串中出现非转义的双引号时,解析器会认为这...
springboot发送post请求,带json参数,传到后台全是问号,如何转义
最新发布
11-29
在Spring Boot中,当你通过`RestTemplate`或者`@RestController`发送POST请求并传递JSON参数时,如果接收到的参数全是问号,这通常是因为JSON字符串在传输过程中没有正确地被编码。JSON字符需要被URL编码,特别是当...
前后端html转义问题
apple_pingwan的博客
03-06 1791
项目中遇到,生产环境保存数据时,经过多次试验发现,前端富文本编辑器中的html内容包括两张及两张以上的图片时,无法连接后台接口。于是想到将富文本编辑器的内容转码后传到后端,在后台接口中将改内容解码后保存到数据库。方法如下: 处理html内容转码及解码: 1、有富文本编辑器的前端页面添加代码 //转码html htmlEncode:function (html){ //1.首先动态创建一个容器标签元素,如DIV var temp = document.createElement ("divs"
Java如何处理参数中带特殊符号的请求?
分享传递价值
08-30 8884
场景:某个活动需要使用二维码来分享活动,引流量入口,我使用google的zxing在服务器生成二维码时候,接口需要接收一个名为url的参数,这个参数的实际取值是个动态链接,比如:http://ac.txqq.com?url=www.baidu.com?simons&amp;token=×××,很显然,服务端直接接收前端传递过来的参数时,浏览器会自动截取掉&amp;极其后面的值。 这里以http:...
java获取参数中的特殊字符,js与java对http参数含有特殊字符的传递处理
weixin_35976993的博客
03-22 629
http://www.cnblogs.com/digdeep/p/5580959.html在使用 url 的 queryString 传递参数时,因为参数的值,被DES加密了,而加密得到的是 Base64的编码字符串,类似于:za4T8MHB/6mhmYgXB7IntyyOUL7Cl++0jv5rFxAIFVji8GDrcf+k8g==显然 这里面含有了 特殊字符: / + = 等等,如果直接通过...
form表单提交,后台实体类接收转义问题
Gblfy_Blog
12-19 2738
问题:前台表单用ajax提交,data为validateForm.serializeArray(),后台用实体类接收参数,&符号被转义为&但是从request中直接取值是没问题的,请问如何解决实体类接收到的参数转义问题。 代码如下: 前台代码: var formData = validateForm.serializeArray(); $.ajax({ type: '...
guns+富文本wangediter出现转义字符解决方案
aa2034887的博客
02-16 770
在 com.stylefeng.guns.config.web 下面的 WebConfig 类下面的 xssFilterRegistration 添加上请求路径,搞定!! /** * xssFilter注册 */ @Bean public FilterRegistrationBean xssFilterRegistr...
java字符串包ascii 方法&#39_Oracle中插入特殊字符:&和'的解决方法汇总
weixin_42348233的博客
03-08 340
今天在导入一批数据到Oracle时,碰到了这样一个问题:Toad提示要给一个自定义变量AMP赋值,一开始我很纳闷,数据是一系列的Insert语句,怎么会有自定义变量呢?后来搜索了一下关键字AMP发现,原来是因为在插入数据中有一个字段的内容如下:httpwww.cppcns.com://xxx.com/3DX?uid=0676&sid=rt_060908Oracle把这里的URL的参数连接符...
Java后台接收Ajax请求参数转义成&amp;lt;gt;&quot;等字符
UDWORLD的博客
09-16 2567
解决方案: String name = StringEscapeUtils.unescapeHtml(request.getParameter("name")); //必须从request里拿参数,不能在方法上用参数名称接收,否则无法成功转义
过滤文本中非法数据,以正常显示出数据
程序员
07-06 939
比如普通文本框提供给用户输入,如果用户输入带有等等脚本保存到数据库,数据库然后取出来会执行,如果是恶意循环可能使得用户浏览器死掉。好的办法是在取出数据时过滤,这也有利于得格式的排版等问题。可以使用如下方法得到解决:   public String filterHtml(String value){      value=value.replaceAll("&", "&");
表单过滤字符
to_cm的专栏
04-28 640
  /**   *表单过滤字符   **/ public String filter(String value){  value=value.replaceAll("&","&");  value=value.replaceAll("  value=value.replaceAll(">",">");  value=value.replaceAll(" "," ")
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值