gfwleak/k18-ntcs-web-ntc
Archived
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

添加文件类型校验(劫持、注入、阻断页面、文件策略)

Browse Source
This commit is contained in:
wangwei
2019-05-28 18:04:38 +08:00
parent baf3035eda
commit 231a3ca1d5
4 changed files with 148 additions and 4 deletions
Download Patch File Download Diff File Expand all files Collapse all files

37
src/main/webapp/WEB-INF/views/cfg/proxy/fileHijack/form.jsp
View File

@@ -12,10 +12,19 @@
$("#cfgFile").on('change',function(){
$("#urlInfo").val($("#cfgFile").val());
});
cfgFileValidate();
});
$("#cfgFrom") .validate( {
submitHandler : function(form) {
var cfgFile = $("#cfgFile").val();
if(cfgFile!=''){
if(!cfgFileValidate()){
return false;
}
}
loading('onloading...');
form.submit();
},
@@ -26,6 +35,32 @@
});
});
function cfgFileValidate(){
var flag=false; //状态,检测文件后缀用
var arr=["exe","apk"];//使用是什么格式的后缀
var cFile=$("#cfgFile").val();//文件的值
//取出上传文件的扩展名
var index=cFile.lastIndexOf(".");
var ext = cFile.substr(index+1).toLowerCase();
//循环比较
for(var i=0;i<arr.length;i++)
{
if(ext == arr[i])
{
flag = true; //一旦找到合适的,立即退出循环
break;
}
}
//条件判断
$("div[for='urlInfo']").empty();
if(!flag){
// ("文件名不合法");
$("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
return false;
}
return true;
}
</script>
</head>
<body>

39
src/main/webapp/WEB-INF/views/cfg/proxy/fileInsertScript/form.jsp
View File

@@ -12,10 +12,22 @@
$("#cfgFile").on('change',function(){
$("#urlInfo").val($("#cfgFile").val());
cfgFileValidate();
});
$("#format").on('change',function(){
cfgFileValidate();
});
$("#cfgFrom") .validate( {
submitHandler : function(form) {
var cfgFile = $("#cfgFile").val();
if(cfgFile!=''){
if(!cfgFileValidate()){
return false;
}
}
loading('onloading...');
form.submit();
},
@@ -26,6 +38,31 @@
});
});
function cfgFileValidate(){
var flag=false; //状态,检测文件后缀用
var arr=["js","css"];//使用是什么格式的后缀
var cFile=$("#cfgFile").val();//文件的值
//取出上传文件的扩展名
var index=cFile.lastIndexOf(".");
var ext = cFile.substr(index+1).toLowerCase();
//循环比较
for(var i=0;i<arr.length;i++)
{
if(ext == arr[i] && (ext == $("#format").val() || $("#format").val() ==""))
{
flag = true; //一旦找到合适的,立即退出循环
break;
}
}
//条件判断
$("div[for='urlInfo']").empty();
if(!flag){
// ("文件名不合法");
$("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
return false;
}
return true;
}
</script>
</head>
<body>
@@ -150,7 +187,7 @@
<font color="red">*</font><spring:message code="format" />
</label>
<div class="col-md-6">
<select name="format" data-live-search="true" data-live-search-placeholder="search" class="selectpicker form-control required">
<select id="format" name="format" data-live-search="true" data-live-search-placeholder="search" class="selectpicker form-control required">
<option value=""><spring:message code="select"/></option>
<c:forEach items="${fns:getDictList('CONTENT_TYPE_INSERTSCRIPT')}" var="dict">
<option value="${dict.itemCode}" <c:if test="${dict.itemCode==_cfg.format}">selected</c:if>>${dict.itemCode}</option>

38
src/main/webapp/WEB-INF/views/cfg/proxy/fileResponsePage/form.jsp
View File

@@ -12,10 +12,21 @@
$("#cfgFile").on('change',function(){
$("#urlInfo").val($("#cfgFile").val());
cfgFileValidate();
});
$("#contentType").on('change',function(){
cfgFileValidate();
});
$("#cfgFrom") .validate( {
submitHandler : function(form) {
var cfgFile = $("#cfgFile").val();
if(cfgFile!=''){
if(!cfgFileValidate()){
return false;
}
}
loading('onloading...');
form.submit();
},
@@ -26,6 +37,31 @@
});
});
function cfgFileValidate(){
var flag=false; //状态,检测文件后缀用
var arr=["template","html"];//使用是什么格式的后缀
var cFile=$("#cfgFile").val();//文件的值
//取出上传文件的扩展名
var index=cFile.lastIndexOf(".");
var ext = cFile.substr(index+1).toLowerCase();
//循环比较
for(var i=0;i<arr.length;i++)
{
if(ext == arr[i] && (ext == $("#contentType").val() || $("#contentType").val() ==""))
{
flag = true; //一旦找到合适的,立即退出循环
break;
}
}
//条件判断
$("div[for='urlInfo']").empty();
if(!flag){
// ("文件名不合法");
$("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
return false;
}
return true;
}
</script>
</head>
<body>

38
src/main/webapp/WEB-INF/views/cfg/proxy/fileStrategy/form.jsp
View File

@@ -12,10 +12,21 @@
$("#cfgFile").on('change',function(){
$("#urlInfo").val($("#cfgFile").val());
cfgFileValidate();
});
$("#contentType").on('change',function(){
cfgFileValidate();
});
$("#cfgFrom") .validate( {
submitHandler : function(form) {
var cfgFile = $("#cfgFile").val();
if(cfgFile!=''){
if(!cfgFileValidate()){
return false;
}
}
loading('onloading...');
form.submit();
},
@@ -26,6 +37,31 @@
});
});
function cfgFileValidate(){
var flag=false; //状态,检测文件后缀用
var arr=["template","html"];//使用是什么格式的后缀
var cFile=$("#cfgFile").val();//文件的值
//取出上传文件的扩展名
var index=cFile.lastIndexOf(".");
var ext = cFile.substr(index+1).toLowerCase();
//循环比较
for(var i=0;i<arr.length;i++)
{
if(ext == arr[i] (ext == $("#contentType").val() || $("#contentType").val() ==""))
{
flag = true; //一旦找到合适的,立即退出循环
break;
}
}
//条件判断
$("div[for='urlInfo']").empty();
if(!flag){
// ("文件名不合法");
$("div[for='urlInfo']").append("<label id='level-error' class='error'><spring:message code='file_in_wrong_format'/></label>");
return false;
}
return true;
}
</script>
</head>
<body>