捕获XSS(跨站点脚本)攻击的最佳正则表达式(在Java中)?
捕获XSS(跨站点脚本)攻击的最佳正则表达式在Java中可以使用以下方法:
- 使用
Pattern和Matcher类进行匹配。
import java.util.regex.Pattern;
import java.util.regex.Matcher;
public class XSSRegex {
public static void main(String[] args) {
String input =<script>alert('XSS Attack!')</script>";
String regex =<script[^>]*>([\\s\\S]*?)</script>";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(input);
if (matcher.find()) {
System.out.println("XSS Attack detected: " + matcher.group(0));
} else {
System.out.println("No XSS Attack detected");
}
}
}- 使用
replaceAll()方法直接替换匹配到的字符串。
public class XSSRegex {
public static void main(String[] args) {
String input =<script>alert('XSS Attack!')</script>";
String regex =<script[^>]*>([\\s\\S]*?)</script>";
String sanitizedInput = input.replaceAll(regex, "");
System.out.println("Sanitized input: " + sanitizedInput);
}
}这个正则表达式可以捕获<script>标签及其内部的任何内容,包括属性和嵌套的标签。但是,这个正则表达式可能无法捕获所有可能的XSS攻击,因为XSS攻击可以采用多种形式。因此,在处理XSS攻击时,最好使用成熟的安全库,如OWASP Java HTML Sanitizer或Jsoup等。
相关·内容
2回答
由于只使用HTTP标志来减轻跨站点脚本的影响,所以我们不能在web应用程序上执行XSS?
如果可以的话,在HTTPOnly旗帜为真的情况下,有哪些最好的实时示例?
浏览 0提问于2019-04-28得票数 -2
回答已采纳
但他的示例是用C#编写的,而我实际上对Java语言版本更感兴趣。有没有更好的Java版本?他的例子足够好,可以直接从C#转换成Java吗?更新我已经在这个问题上设置了赏金,因为当我问这个问题的时候,SO并不像今天这样受欢迎(*)。至于任何与安全相关的东西,人们越多地研究它,它就越好!
(*)事实上,我认为它还处于封闭测试阶段
浏览 13提问于2008-08-24得票数 25
回答已采纳
它提到反射XSS如何利用查询字符串params的不完全或不存在的散列来执行任意脚本到用户的DOM中,而不将任何恶意代码持久化到应用程序的数据库,以及二阶XSS实际上如何持久化该恶意代码,并在稍后某个时候在用户的首先,攻击者发布一些精心编制的数据,其中包含应用程序存储的恶意代码。在第二部分中,受害者查看包含攻击者数据的</
浏览 1提问于2017-06-05得票数 1
回答已采纳
我需要让用户在我的web应用程序中输入Markdown内容,它有一个Python后端。我不想不必要地限制他们的条目(例如,不允许任何HTML,这违背了Markdown的精神和规范),但显然我需要防止跨站点脚本(XSS)攻击。我不可能是第一个遇到这个问题的人,但是没有看到任何这样的问题,所有关键字“python”、“Markdown”和“XSS”都是这样的。使用Py
浏览 6提问于2011-03-10得票数 30
回答已采纳
我正在开发Blazor应用程序,其中我有一个接受用户输入的表单(带有文本框和文本区域的表单)。防止跨站点脚本和XSS攻击的最佳方法是什么。会对用户输入进行编码和解码,防止攻击、漏洞等。提前谢谢。
浏览 7提问于2020-04-12得票数 2
使用NodeJS和(例如) AngularJS在SPA上存储用于身份验证的JSON令牌的最佳位置是什么?这意味着在您的站点上运行的任何JavaScript都可以访问web存储,因此很容易受到跨站点脚本(XSS)攻击。sessionStorage localStorage有不同的过期时间,只有在创建它的窗口打开时
浏览 7提问于2015-06-16得票数 8
从IBM报告中,我了解到我的代码没有进行任何AppScan EVENT_PARAMETER验证,以防止站点受到XSS (跨站点脚本)攻击、链接注入(促进跨站点请求伪造)。我在我的CGI.pm中尝试了下面的所有验证,以检查我的EVENT_PARAMETERS是否包含任何不需要的字符。 但什么都没成功。在perl中
浏览 18提问于2019-02-14得票数 1
我一直在调查OWASP预防CSRF攻击的建议( )。
攻击者能够执行存储的XSS攻击,因此每次用户访问该页面时都会执行攻击者在网站上插入的脚本。这个脚本将完全重新设计DOM,例如,
浏览 2提问于2013-09-23得票数 0
回答已采纳
3回答
为什么这么多人对XSS使用不同的防御(攻击或漏洞)?我认为XSS是攻击,利用不足的过滤漏洞。我说的对吗?
这个问题的答案应该明确地解释什么是XSS的正确定义,并附加注释,为什么人们使用不同的定义。
浏览 0提问于2014-10-16得票数 4
回答已采纳
以字符串形式读取function js而不是它的函数。这是完整的代码 var deskripsi = <p>{products.deskripsi}</p>;
{deskripsi} BODY<br/>
浏览 2提问于2019-11-12得票数 0
回答已采纳
我听说过跨站点脚本攻击(XSS:攻击者向web应用程序注入恶意客户端代码(例如: JavaScript)的攻击)。和跨站点请求伪造(CSRF:攻击者欺骗已经通过身份验证的web应用程序用户向该易受攻击的web应用程序发送伪造请求的攻击)。大多数情况下,在CSRF攻击中,黑客会
浏览 0提问于2018-09-26得票数 2
我的公司已经设计了一个web应用程序,它即将被托管,我想知道在web应用程序上可以进行什么样的攻击来测试我的web应用程序的安全性。现在我已经尝试了以下的攻击客户端-状态操纵跨站点脚本包含(XSSI)拒绝服务攻击</em
浏览 0提问于2012-10-10得票数 0
回答已采纳
在没有任何验证的情况下使用window.location.href安全吗?例如: var value = window.location.href;</script>
从上面的例子来看,它是否容易受到跨站点脚本(XSS)攻击?它是否容易受到跨站点脚本(XSS)攻击?攻击</em
浏览 3提问于2014-06-06得票数 27
回答已采纳
XSS的中XSS错误的一个例子
恶意Android应用程序通过向Chrome发送精心编制的详细信息,可以将Ja
浏览 0提问于2015-05-22得票数 7
1回答
跨站点脚本攻击XSS
、、、
我是网络开发的新手,我想问一个问题。
我知道跨站点脚本攻击XSS是危险的,当我们输出和显示用户信息在我们的网页,当我们设置cookie等。但是,当我们有一个简单的网站,只接受与输入姓名,姓氏,信息,我们没有输出这个信息在网站任何地方,或者我们不使用cookie,是跨站点脚本攻击对我的网站危险。我的意思是,我应该
浏览 1提问于2016-01-14得票数 0
1回答
Web应用防火墙规则优化
、、、、
以下是取自ModSecurity核心规则的两条规则。这两个规则是XSS攻击的基本规则。如果我们查看这两条规则,它们的变量和操作是相同的,它们在正则表达式中的不同,即\bgetparent文件夹\b“和\bonmousedown\b\W*?\=”,并发现了大量这样的规则。这是多余的吗?我可以组合这些规则,即单个正则表达式吗?rev:'2.2.4'
浏览 0提问于2012-08-02得票数 1
回答已采纳
3回答
在asp.net中可以用来防止跨站点脚本攻击的技术有哪些?有没有什么非现成的实现可以用来实现一个防止xss攻击的网站?
浏览 0提问于2012-05-09得票数 2
回答已采纳
如何减轻Nikto在我们所有Ubuntu服务器12.10版上发现的这些安全问题?找到OSVDB-3233: /图标/自述文件: Apache默认文件。(XSS)的攻击。SF=%22;}alert('Vu
浏览 0提问于2013-03-26得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
