添加文件类型校验(劫持、注入、阻断页面、文件策略)

2019-05-28 18:04:38 +08:00
parent baf3035eda
commit 231a3ca1d5
4 changed files with 148 additions and 4 deletions
--- a/src/main/webapp/WEB-INF/views/cfg/proxy/fileHijack/form.jsp
+++ b/src/main/webapp/WEB-INF/views/cfg/proxy/fileHijack/form.jsp
@@ -12,10 +12,19 @@
 		$("#cfgFile").on('change',function(){
 			$("#urlInfo").val($("#cfgFile").val());
-		});
+			cfgFileValidate();
 		});		
 		$("#cfgFrom") .validate( {
 			submitHandler : function(form) {
 				var cfgFile = $("#cfgFile").val();				
 				if(cfgFile!=''){
 					if(!cfgFileValidate()){
 						 return false;
 					}
 				}
 				loading('onloading...');
 				form.submit();
 			},
@@ -26,6 +35,32 @@
 		});
 	});
 	function cfgFileValidate(){		
 	    var flag=false;    //状态，检测文件后缀用
 	    	var arr=["exe","apk"];//使用是什么格式的后缀	    
 	    var cFile=$("#cfgFile").val();//文件的值
 	    //取出上传文件的扩展名
 	    var index=cFile.lastIndexOf(".");
 	    var ext = cFile.substr(index+1).toLowerCase();
 	    //循环比较
 	     for(var i=0;i<arr.length;i++)
 	     {
 	          if(ext == arr[i])
 	          {
 	           flag = true; //一旦找到合适的，立即退出循环
 	           break;
 	          }
 	     }
 	    //条件判断
 	     	$("div[for='urlInfo']").empty();
 	     if(!flag){
 	     // ("文件名不合法");
 	        $("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
 	         return false;
 	     }
 	     return true;
 	}
 </script>
 </head>
 <body>
--- a/src/main/webapp/WEB-INF/views/cfg/proxy/fileInsertScript/form.jsp
+++ b/src/main/webapp/WEB-INF/views/cfg/proxy/fileInsertScript/form.jsp
@@ -12,10 +12,22 @@
 		$("#cfgFile").on('change',function(){
 			$("#urlInfo").val($("#cfgFile").val());
 			cfgFileValidate();
 		});
 		$("#format").on('change',function(){			
 			cfgFileValidate();
 		});
 		$("#cfgFrom") .validate( {
 			submitHandler : function(form) {
 				var cfgFile = $("#cfgFile").val();				
 				if(cfgFile!=''){
 					if(!cfgFileValidate()){
 						 return false;
 					}
 				}
 				loading('onloading...');
 				form.submit();
 			},
@@ -26,6 +38,31 @@
 		});
 	});
 	function cfgFileValidate(){		
 	    var flag=false;    //状态，检测文件后缀用
 	    	var arr=["js","css"];//使用是什么格式的后缀	    
 	    var cFile=$("#cfgFile").val();//文件的值
 	    //取出上传文件的扩展名
 	    var index=cFile.lastIndexOf(".");
 	    var ext = cFile.substr(index+1).toLowerCase();
 	    //循环比较
 	     for(var i=0;i<arr.length;i++)
 	     {	
 	          if(ext == arr[i] && (ext == $("#format").val() || $("#format").val() ==""))
 	          {
 	           flag = true; //一旦找到合适的，立即退出循环
 	           break;
 	          }
 	     }
 	    //条件判断
 	     	$("div[for='urlInfo']").empty();
 	     if(!flag){
 	     // ("文件名不合法");
 	        $("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
 	         return false;
 	     }
 	     return true;
 	}
 </script>
 </head>
 <body>
@@ -150,7 +187,7 @@
 												<font color="red">*</font><spring:message code="format" />
 											</label>
 											<div class="col-md-6">
-												<select name="format" data-live-search="true" data-live-search-placeholder="search" class="selectpicker form-control required">
+												<select id="format" name="format" data-live-search="true" data-live-search-placeholder="search" class="selectpicker form-control required">
 													<option value=""><spring:message code="select"/></option>
 													<c:forEach items="${fns:getDictList('CONTENT_TYPE_INSERTSCRIPT')}" var="dict">
 														<option value="${dict.itemCode}"  <c:if test="${dict.itemCode==_cfg.format}">selected</c:if>>${dict.itemCode}</option>
--- a/src/main/webapp/WEB-INF/views/cfg/proxy/fileResponsePage/form.jsp
+++ b/src/main/webapp/WEB-INF/views/cfg/proxy/fileResponsePage/form.jsp
@@ -12,10 +12,21 @@
 		$("#cfgFile").on('change',function(){
 			$("#urlInfo").val($("#cfgFile").val());
 			cfgFileValidate();
 		});
 		$("#contentType").on('change',function(){			
 			cfgFileValidate();
 		});
 		$("#cfgFrom") .validate( {
 			submitHandler : function(form) {
 				var cfgFile = $("#cfgFile").val();				
 				if(cfgFile!=''){
 					if(!cfgFileValidate()){
 						 return false;
 					}
 				}
 				loading('onloading...');
 				form.submit();
 			},
@@ -26,6 +37,31 @@
 		});
 	});
 	function cfgFileValidate(){		
 	    var flag=false;    //状态，检测文件后缀用
 	    	var arr=["template","html"];//使用是什么格式的后缀   
 	    var cFile=$("#cfgFile").val();//文件的值
 	    //取出上传文件的扩展名
 	    var index=cFile.lastIndexOf(".");
 	    var ext = cFile.substr(index+1).toLowerCase();
 	    //循环比较
 	     for(var i=0;i<arr.length;i++)
 	     {
 	          if(ext == arr[i] && (ext == $("#contentType").val() || $("#contentType").val() ==""))
 	          {
 	           flag = true; //一旦找到合适的，立即退出循环
 	           break;
 	          }
 	     }
 	    //条件判断
 	     	$("div[for='urlInfo']").empty();
 	     if(!flag){
 	     // ("文件名不合法");
 	        $("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
 	         return false;
 	     }
 	     return true;
 	}
 </script>
 </head>
 <body>
--- a/src/main/webapp/WEB-INF/views/cfg/proxy/fileStrategy/form.jsp
+++ b/src/main/webapp/WEB-INF/views/cfg/proxy/fileStrategy/form.jsp
@@ -12,10 +12,21 @@
 		$("#cfgFile").on('change',function(){
 			$("#urlInfo").val($("#cfgFile").val());
 			cfgFileValidate();
 		});
 		$("#contentType").on('change',function(){			
 			cfgFileValidate();
 		});
 		$("#cfgFrom") .validate( {
 			submitHandler : function(form) {
 				var cfgFile = $("#cfgFile").val();				
 				if(cfgFile!=''){
 					if(!cfgFileValidate()){
 						 return false;
 					}
 				}
 				loading('onloading...');
 				form.submit();
 			},
@@ -26,6 +37,31 @@
 		});
 	});
 	function cfgFileValidate(){		
 	    var flag=false;    //状态，检测文件后缀用
 	    	var arr=["template","html"];//使用是什么格式的后缀    
 	    var cFile=$("#cfgFile").val();//文件的值
 	    //取出上传文件的扩展名
 	    var index=cFile.lastIndexOf(".");
 	    var ext = cFile.substr(index+1).toLowerCase();
 	    //循环比较
 	     for(var i=0;i<arr.length;i++)
 	     {
 	          if(ext == arr[i] (ext == $("#contentType").val() || $("#contentType").val() ==""))
 	          {
 	           flag = true; //一旦找到合适的，立即退出循环
 	           break;
 	          }
 	     }
 	    //条件判断
 	     	$("div[for='urlInfo']").empty();
 	     if(!flag){
 	     // ("文件名不合法");
 	        $("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
 	         return false;
 	     }
 	     return true;
 	}
 </script>
 </head>
 <body>