始终建议对URL或表单参数进行编码。 纯格式参数容易受到跨站点攻击,SQL注入的攻击,并且可能会将我们的Web应用程序定向到一些不可预测的输出中。 可以使用URLEncoder类–静态编码(String s,String enc)方法对URL字符串或表单参数进行编码。
例如,当用户输入以下特殊字符,而您的Web应用程序不处理编码时,它将引起跨站点脚本攻击。
<![CDATA[ <IMG SRC="  javascript:document.vulnerable=true;"> ]]> 使用URLEncoder编码字符串并使用URLDecoder解码编码字符串的示例
package com.mkyong;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.net.URLEncoder;
public class testEncode {
public static void main(String args[]) {
try {
String url = "<![CDATA[ <IMG SRC=\"  javascript:document.vulnerable=true;\"> ]]>";
String encodedUrl = URLEncoder.encode(url, "UTF-8");
System.out.println("Encoded URL " + encodedUrl);
String decodedUrl = URLDecoder.decode(url, "UTF-8");
System.out.println("Dncoded URL " + decodedUrl);
} catch (UnsupportedEncodingException e) {
System.err.println(e);
}
}
}结果
Encoded URL %3C%21%5BCDATA%5B+%3CIMG+SRC%3D%22+%26%2314%3B+
javascript%3Adocument.vulnerable%3Dtrue%3B%22%3E+%5D%5D%3E
Dncoded URL
请记住,始终对URL字符串和表单参数进行编码,以防止所有漏洞攻击。
参考
标签: