关于使用ESAPI去除\r\n来防止xss攻击

请问一下各位，我这边想做一个xss过滤器，网上说采用ESAPI的方式会很好，但是代码扫描完后说我没有过滤\r\n,有哪位懂ESAPI的帮我解答一下，我的代码里过滤了\r\n吗，如果没有过去，应该怎么写才能过滤呢？以下是代码

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public class XSSRequestWrapper extends HttpServletRequestWrapper {
 
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
  
    private String stripXSS(String value) {
        if (value != null) {
           
            value = value.replaceAll("", "");
 
            
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
         
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

           scriptPattern = Pattern.compile("[\\s\'\"]+", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("alert(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<", Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile(">", Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
 
}

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

2条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
Huazie 全栈领域优质创作者 2023-03-27 10:01
关注
\r\n 替换成如下试试 \\r\\n
解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

关于论坛系统的防止XSS攻击的问题 vue.js xss 前端
2023-04-19 18:41

回答 3 已采纳首先，XSS攻击（Cross-Site Scripting）是一种常见的Web安全漏洞，攻击者利用网站没有对用户提交的数据进行充分过滤或转义的漏洞，在网页中注入恶意脚本，以达到攻击目的。在前端方面，
我是否需要在html标记属性中使用htmlentities（）来防止XSS攻击 html php xss
2017-06-15 03:38

回答 1 已采纳 It depends on if the user can manipulate those variables or not. If they can prior to them being e
关于X-FORWARDED-FOR注入XSS攻击的问题 web安全 xss 有问必答
2021-12-27 15:24

回答 1 已采纳这种只能手工测试，或者你用绿盟的极光试试
【项目实战】Web端常见的高风险漏洞与解决方法（XSS跨站脚本攻击）
2023-03-31 19:00

本本本添哥的博客 XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞
jsp如何避免xss攻击
2013-01-04 15:44

回答 4 已采纳你的意思是说在界面上想是Html代码，这个是完全可以处理的，只需要将那些""等符号转义就不会被执行，可以使用struts标签库输出，也可是替换这些特殊符号实例： String OutStr
使用foreach循环防止XSS php xss
2013-12-03 21:28

回答 1 已采纳 If the user tries to inject an array then htmlentities will generate a notice, you should check fo
如何在我的功能中防止XSS攻击？ php xss
2011-08-25 13:15

回答 4 已采纳 Try using prepared statements. They are designed to automatically escape things. They should also
xss跨站脚本攻击与预防
2015-11-04 16:15

6. **使用安全的编程框架**：选择那些内置了XSS防护机制的开发框架，如OWASP ESAPI等。 **XSS HTML Filter介绍** `xss-html-filter-master.zip`可能包含一个用于过滤XSS攻击的工具或库。这类工具通常会提供一系列...
php XSS攻击后该怎么办？ php xss
2016-02-09 10:34

回答 1 已采纳 Ok, so wanted to share an update and close this. Here is what I did to overcome my server injectio
xss攻击 - 正则表达式或htmlspecialchars php xss
2011-06-30 03:10

回答 3 已采纳 PDO does a very effective job of protecting your queries from XSS attacks. No need to worry about
转义的快捷方式以防止XSS html php xss
2015-03-11 07:44

回答 1 已采纳 No, there is no shortcut. Data escaping always needs to happen on a case by case basis; not only w
解决SQL注入与XSS攻击
2020-11-23 19:05

程序届的伪精英的博客扫描出来的漏洞主要有两种，一种是SQL注入，一种是XSS攻击。以下就是我的一个解决过程。 SQL注入什么是SQL注入，百度百科这样定义的：SQL注入是将Web页面的原URL、表单域或数据包输入的参数，修改拼接成SQL语句，...
关于Spring MVC 框架的SQL注入与XSS攻击 spring sql
2017-10-17 08:26

回答 2 已采纳【1】拦截器中获取request中的数据这个貌似不难，，【2】过滤可能产生的sql注入与xss攻击 这个的话，简单点就是过滤非法字符，比如&，之类的，有问题还可以追问
「第三章」跨站脚本攻击(XSS)
2022-01-22 11:30

hackjacking的博客批注 [……] 表示他人、自己、网络批注参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 ... 就当前比较流行的客户端脚本攻击进行了深入阐述，当网站的安全做到一..
Java如何防止JS脚本注入代码实例
2020-10-14 17:43

在Java开发中，可以通过一系列技术手段来防御这种攻击，例如过滤和清理用户输入的数据，以及使用安全的编程实践来处理用户输入。下面详细阐述了如何使用Java来防止JS脚本注入，并提供了一个示例工具类XssUtil，以及...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 3月27日

悬赏问题

¥15 35114 SVAC视频验签的问题
¥15 impedancepy
¥15 在虚拟机环境下完成以下，要求截图！
¥15 求往届大挑得奖作品（ppt…）
¥15 如何在vue.config.js中读取到public文件夹下window.APP_CONFIG.API_BASE_URL的值
¥50 浦育平台scratch图形化编程
¥20 求这个的原理图只要原理图
¥15 vue2项目中，如何配置环境，可以在打完包之后修改请求的服务器地址
¥20 微信的店铺小程序如何修改背景图
¥15 UE5.1局部变量对蓝图不可见

关于使用ESAPI去除\r\n来防止xss攻击

2条回答 默认 最新

问题事件

悬赏问题

2条回答默认最新