研发信息化系统
blame | 历史 | 原始文档
zhuguifei
2025-04-28 442928123f63ee497d766f9a7a14f0a6ee067e25 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44

package org.jeecg.modules.system.util;


 


import org.springframework.web.util.HtmlUtils;


 


import java.util.regex.Pattern;


 


/**


 * @Description: 工具类XSSUtils,现在的做法是替换成空字符,CSDN的是进行转义,比如文字开头的"<"转成&lt;


 * @author: lsq


 * @date: 2021年07月26日 19:13


 */


public class XSSUtils {


    public static String striptXSS(String value) {


        if (value != null) {


            value = value.replaceAll(" ", "");


            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);


            value = scriptPattern.matcher(value).replaceAll("");


            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);


            value = scriptPattern.matcher(value).replaceAll("");


        }


        return HtmlUtils.htmlEscape(value);


    }


 


    public static void main(String[] args) {


        String s = striptXSS("<img  src=x onload=alert(111).*?><script></script>javascript:eval()\\\\.");


        System.err.println("s======>" + s);


    }


}