Accueil Explorer Aide
Connexion
dromara
/
MaxKey
miroir de https://gitee.com/dromara/MaxKey.git
2
0
Fork 0
Fichiers Tickets 0 Wiki
Parcourir la source

Update WebXssRequestFilter.java

MaxKey il y a 4 ans
Parent
41ad5e9b32
commit
a9a6fa934b
1 fichiers modifiés avec 4 ajouts et 2 suppressions
Vue séparée Afficher les stats Diff
  1. 4 2
      maxkey-core/src/main/java/org/maxkey/web/WebXssRequestFilter.java

+ 4 - 2
maxkey-core/src/main/java/org/maxkey/web/WebXssRequestFilter.java
Voir le fichier 

@@ -27,8 +27,10 @@ public class WebXssRequestFilter  extends GenericFilterBean {
 
           String key = (String) parameterNames.nextElement();
 
           String value = request.getParameter(key);
 
           _logger.trace("parameter name "+key +" , value " + value);
 
-          if(!StringEscapeUtils.escapeHtml4(value).equals(value)
 
-        		  ||value.toLowerCase().indexOf("script")>-1) {
 
+          String tempValue = value.toLowerCase().replace(" ", "");
 
+          if(!StringEscapeUtils.escapeHtml4(tempValue).equals(value)
 
+        		  ||tempValue.indexOf("script")>-1
 
+        		  ||tempValue.indexOf("eval(")>-1) {
 
         	  isWebXss = true;
 
         	  _logger.error("parameter name "+key +" , value " + value 
         			  		+ ", contains dangerous content ! ");