从添加到HTTP标头的数据中过滤掉特殊字符

时间:2014-01-19 07:20:01

标签: java cookies

Cookie[] cookies = httpServletRequest.getCookies();
String cookieStr = getCookieString(cookies);
if (cookieStr != null && !cookieStr.trim().equals("")) {
urlConn.setRequestProperty("Cookie", cookieStr);

出于安全原因(在数据通过不受信任的来源进入我的应用程序的情况下),我想创建允许出现在HTTP响应标头中的安全字符的白名单,并接受仅由这些字符组成的输入。

我被告知CR和LF字符是HTTP响应分裂攻击的核心,以及其他字符,例如':'(冒号)和'='(等于)。因此,我想从添加到标题的数据中过滤掉这些特殊字符。任何人都可以建议我怎么可能这样做?我在线阅读了不少帖子,但我不清楚如何实现这一目标。请建议。

1 个答案:

答案 0 :(得分:0)

诸如indexOf()之类的String方法是否适合您?

String api