Fatal编程技术网
  • java/
  • Java XSS跨站点脚本不';不允许在spring引导应用程序中使用xls文件

Java XSS跨站点脚本不';不允许在spring引导应用程序中使用xls文件

java postman

Java XSS跨站点脚本不';不允许在spring引导应用程序中使用xls文件,java,postman,xss,xssf,Java,Postman,Xss,Xssf,我在应用程序中使用XSS跨站点脚本。我的应用程序有一个端点,我必须通过邮递员上传xls文件。当我试图命中端点时,XSS脚本没有让它通过,并给出以下错误 2019-08-08 10:47:38 | 800[DEBUG]com.vz.stamps.tools.xstools-要为XSS验证的值:[------------------------------------503127257286871229160750内容处置:表单数据;name=“file”;filename=“New Microso

我在应用程序中使用XSS跨站点脚本。我的应用程序有一个端点,我必须通过邮递员上传xls文件。当我试图命中端点时,XSS脚本没有让它通过,并给出以下错误

2019-08-08 10:47:38 | 800[DEBUG]com.vz.stamps.tools.xstools-要为XSS验证的值:[------------------------------------503127257286871229160750内容处置:表单数据;name=“file”;filename=“New Microsoft Excel Worksheet.xls”内容类型:application/vnd.ms-excelPK

这是我的urlDecode代码:

    public static String urlDecode(String value) {
            try {
                value = value.replaceAll("%25", " ");
                value =URLDecoder.decode(value, StandardCharsets.UTF_8.name());
            } catch (UnsupportedEncodingException e) {
                logger.info("Unable to decode String with UTF8! Trying adifferent encoding", e);
                try {
                    value =URLDecoder.decode(value, StandardCharsets.ISO_8859_1.name());
                } catch (UnsupportedEncodingException e1) {
                    logger.info("Unable to decode String with ISO_8859_1! Trying adifferent encoding", e);
                    try {
                        value =URLDecoder.decode(value, StandardCharsets.US_ASCII.name());
                    } catch (UnsupportedEncodingException e2) {
                        logger.info("Unable to decode String with US_ASCII! Not trying to decode any further!!!", e);
                    }
                }

            } catch (Exception e) {
                logger.error("Error decoding String, returning null!!!", e);
                return value.replaceAll("%", "");
            }
            return value;
        }
我从邮递员那里得到的价值是:

----------------------------238658527993479868792963Content-Disposition: form-data; name="file"; filename="New Microsoft Excel Worksheet.xls"Content-Type: application/vnd.ms-excelPK
错误:

URL解码器:转义(%)模式中的非法十六进制字符-用于输入字符串:“?”

XSS或跨站点脚本通常指定一类安全漏洞,您可能应该为您的工具使用另一个名称。除非您的应用程序打算执行某种类型的pentesting?什么是XSS?excel文件是二进制数据,但看起来您正试图对其使用文本解码。如果您查看上述代码,它不会't不要让请求传递给控制器。当HttpServletRequest发出时,xls文件的内容以JSON正文的形式出现,并带有奇怪的字符,如“?”附加到正文中,因此无法通过上述代码。我的问题是,有没有一种方法可以在不将这些字符附加到文件数据的情况下获取xls文件?PS:这些奇怪的字符仅附加到xls文件中,并且可以与txt file.XSS或跨站点脚本一起正常工作,通常指定clas如果存在安全漏洞,您可能应该为您的工具使用另一个名称。除非您的应用程序打算执行某种pentesting?什么是XStools?excel文件是二进制数据,但看起来您试图对其使用文本解码。如果您查看上述代码,它不会让请求传递给控制器。当HttpServletRequest出现时,xls文件的内容以JSON正文的形式出现,带有奇怪的字符,如“?”附加到正文,因此无法通过上述代码。我的问题是,有没有一种方法可以在不将这些字符附加到文件数据的情况下获取xls文件?PS:这些奇怪的字符仅附加到xls文件,并且可以与txt文件配合使用。