java正则域名

A. javascript获取域名的后缀的正则表达式（顶级域名）

public string GetUrlDomainName(string url)
{
//获取域名的正则表达式
string p = @"http://[^\.]*\.(?<domain>[^/|?]*)";
Regex reg = new Regex(p, RegexOptions.IgnoreCase);//不区分大小写匹配
//正则表达式匹配结果
Match m = reg.Match(url);
//返回匹配结果值
return m.Groups["domain"].Value;
}

B. 正则表达式如何匹配部分出域名

这个问题用正则处理不合适
最简单的方法就是让一个变量X等于http://aaa.com/?id=11

然后用if语句, If (Y <>X) Then .......显示Y之类的

C. ip，域名的正则表达式 怎么写

var ip=/((25[0-5])|(2[0-4]\d)|(1\d\d)|([1-9]\d)|\d)(\.((25[0-5])|(2[0-4]\d)|(1\d\d)|([1-9]\d)|\d)){3}
/;
var domain=/[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(\.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+\.?
/;
var string=传入值；
if(!ip.test(string)){
//TODO
}else if(!domain.test(string)){
//TODO
}

D. 正则表达式如何匹配特定的域名

如何用正则表达是匹配不含mtalk.google.com、talk.google.com、talkx.l.google.com、talk.l.google.com的其他google域名？

/^[^(mtalk)(talk)(talkx.l)(talk.l)].google.com$/g

E. java判断输入的字符串是否一个域名。

address.isReachable(30),这个不好使，ping得通这个函数也可能返回false
根据你的目标平台，修改"bytes from"即可

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.InetAddress;
import java.net.UnknownHostException;

/**
* PingDomain.java
*
* @author 判断输入的域名是否有效
*/
public class PingDomain {

public void isDomain(String addressArr) throws IOException {
boolean flag=false;
InetAddress address = null;
try {
address = InetAddress.getByName(addressArr);
System.out.println("address = " + address);
} catch (UnknownHostException e) {
System.out.println("输入非法！");
return;
}

System.out.println("是一个域名吗?"+isReachable(address.getHostAddress()));
System.out.println("---------------------------------------");
}

private boolean isReachable(String ip) {
Runtime r = Runtime.getRuntime();
int timeout = 2;
String pingCommand = "ping " + ip + " -w " + timeout;
BufferedReader in = null;
try {
Process p = r.exec(pingCommand);
if (p == null) {
System.out.println("Failed.");
}
in = new BufferedReader(new InputStreamReader(p.getInputStream()));
String line = null;
while ( (line = in.readLine()) != null) {
System.out.println(line);
if (line.contains("bytes from")) {
System.out.println("Conected.");
p.destroy();
return true;
}
}
} catch (Exception ex) {
System.out.println("Failed.");
} finally {
try {
in.close();
} catch (Exception ex) {
}
}
return false;
}

public static void main(String[] args) throws Exception {
PingDomain pmd = new PingDomain();
BufferedReader in=new BufferedReader(new InputStreamReader(System.in));
String inputline=in.readLine();
pmd.isDomain(inputline);
}
}

F. Java基础，关于流程控制的问题：输入错误，提示错误并且重新输入。 这个快把我整崩溃了，请大家帮帮我

题主的问题大体就是如何判断用户的输入是否合法。这里最方便的就是使用正则表达式（Regular Expression，简称 Regex）。

正则表达式是一个字符串，它代表的是一定的字符串模式（比如邮箱的模式就是 "数字或字母 + @ + 数字或字母 + . + 顶级域名名称"），当用户输入一个字符串时，符合这个模式的字符串会通过验证，而不符合的则会匹配失败。现在几乎所有网站的邮箱密码身份证号等的验证都会使用正则表达式。

Java 的 String 类自带有一个 matches 方法提供了简单的正则表达式匹配功能，只需使用这个方法就可以完成你要求的匹配任务。代码如下：

importjava.util.Scanner;

publicclassMyTest{

	//用于匹配身份选择和收入的正则表达式
	privatefinalStringIDENTITY_REGEX="[0-2]";
	privatefinalStringINCOME_REGEX="[0-9]*\.?[0-9]*";
	
	//代表身份和收入的字符串
	privateStringstatus_string;
	privateStringincome_string;
	
	//转换为int和double后的身份和收入
	privateintstatus;
	privatedoubleincome;
	
	publicvoidComputTax(){
	
		Scannerinput=newScanner(System.in);
		
		//一直循环直到到达break语句退出
		while(true){
			System.out.println("0-单身纳税人，1-已婚共同纳税人，2-已婚单独纳税人"+
								"
"+"请选择你要纳税的身份:");
								
			//读取用户输入的原始字符串并与正则表达式相匹配
			status_string=input.nextLine();
			//匹配失败会返回while一开始
			if(!status_string.matches(IDENTITY_REGEX)){
				System.out.println("输入错误，只能输入0~2之间的数");
				continue;
			}
			
			//匹配成功则会将输入转换为整数并退出循环
			status=Integer.parseInt(status_string);
			break;
		}
		
		//同理
		while(true){
		
			System.out.println("请输入你的收入：");
			
			income_string=input.nextLine();
			
			if(!income_string.matches(INCOME_REGEX)){
				System.out.println("收入输入有误，请重新输入");
				continue;
			}
			
			income=Double.parseDouble(income_string);
			break;
			
		}
		
		//输出相应的税收
		if(status==0){
			
			//使用printf保留两位小数，不然double输出的精度太多影响可读性
			System.out.printf("你选择的身份是单身纳税人
你应当缴纳的税收为：%.2f元
",
								income*0.1);
			
		}elseif(status==1){
		
			System.out.printf("你选择的身份是已婚共同纳税人
你应当缴纳的税收为：%.2f元
",
								income*0.2);
			
		}else{
		
			System.out.printf("你选择的身份是已婚单独纳税人
你应当缴纳的税收为：%.2f元
",
								income*0.3);
			
		}
	}
	
	publicstaticvoidmain(String[]args){
	
		System.out.println("------------------欢迎使用纳税查询--------------------");
		MyTestmyTest=newMyTest();
		myTest.ComputTax();
		
		
	}
	
}

运行结果为：

有关正则表达式的写法，请参考

http://deerchao.net/tutorials/regex/regex.htm

G. 正则表达式匹配域名

匹配完整域名的正则表达式：
[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(/.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+/.?

[a-zA-Z0-9][-a-zA-Z0-9]{0,62}表达的意思如下：
一个完整的域名，由根域名、顶级域名、二级域名、三级域名……构成，每级域名之间用点分开，每级域名由字母、数字和减号构成（第一个字母不能是减号），不区分大小写，长度不超过63。
(/.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+/.?表达的意思如下：
完整的域名至少包括两个名字（比如google.com，由google和com构成），最后可以有一个表示根域的点（在规范中，最后有一个点的才是完整域名，但一般认为包括两个以上名字的域名也是完整域名，哪怕后面没有点）。

H. java正则表达式怎么表示数字

我搜藏的这些足够你用了

1 数字：^[0-9]*$
2 n位的数字：^\d{n}$
3 至少n位的数字：^\d{n,}$
4 m-n位的数字：^\d{m,n}$
5 零和非零开头的数字：^(0|[1-9][0-9]*)$
6 非零开头的最多带两位小数的数字：^([1-9][0-9]*)+(.[0-9]{1,2})?$
7 带1-2位小数的正数或负数：^(\-)?\d+(\.\d{1,2})?$
8 正数、负数、和小数：^(\-|\+)?\d+(\.\d+)?$
9 有两位小数的正实数：^[0-9]+(.[0-9]{2})?$
10 有1~3位小数的正实数：^[0-9]+(.[0-9]{1,3})?$
11 非零的正整数：^[1-9]\d*$ 或 ^([1-9][0-9]*){1,3}$ 或 ^\+?[1-9][0-9]*$
12 非零的负整数：^\-[1-9][]0-9"*$ 或 ^-[1-9]\d*$
13 非负整数：^\d+$ 或 ^[1-9]\d*|0$
14 非正整数：^-[1-9]\d*|0$ 或 ^((-\d+)|(0+))$
15 非负浮点数：^\d+(\.\d+)?$ 或 ^[1-9]\d*\.\d*|0\.\d*[1-9]\d*|0?\.0+|0$
16 非正浮点数：^((-\d+(\.\d+)?)|(0+(\.0+)?))$ 或 ^(-([1-9]\d*\.\d*|0\.\d*[1-9]\d*))|0?\.0+|0$
17 正浮点数：^[1-9]\d*\.\d*|0\.\d*[1-9]\d*$ 或 ^(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*))$
18 负浮点数：^-([1-9]\d*\.\d*|0\.\d*[1-9]\d*)$ 或 ^(-(([0-9]+\.[0-9]*[1-9][0-9]*)|([0-9]*[1-9][0-9]*\.[0-9]+)|([0-9]*[1-9][0-9]*)))$
19 浮点数：^(-?\d+)(\.\d+)?$ 或 ^-?([1-9]\d*\.\d*|0\.\d*[1-9]\d*|0?\.0+|0)$

二、校验字符的表达式

1 汉字：^[\u4e00-\u9fa5]{0,}$
2 英文和数字：^[A-Za-z0-9]+$ 或 ^[A-Za-z0-9]{4,40}$
3 长度为3-20的所有字符：^.{3,20}$
4 由26个英文字母组成的字符串：^[A-Za-z]+$
5 由26个大写英文字母组成的字符串：^[A-Z]+$
6 由26个小写英文字母组成的字符串：^[a-z]+$
7 由数字和26个英文字母组成的字符串：^[A-Za-z0-9]+$
8 由数字、26个英文字母或者下划线组成的字符串：^\w+$ 或 ^\w{3,20}$
9 中文、英文、数字包括下划线：^[\u4E00-\u9FA5A-Za-z0-9_]+$
10 中文、英文、数字但不包括下划线等符号：^[\u4E00-\u9FA5A-Za-z0-9]+$ 或 ^[\u4E00-\u9FA5A-Za-z0-9]{2,20}$
11 可以输入含有^%&',;=?$\"等字符：[^%&',;=?$\x22]+
12 禁止输入含有~的字符：[^~\x22]+

三、特殊需求表达式

1 Email地址：^\w+([-+.]\w+)*@\w+([-.]\w+)*\.\w+([-.]\w+)*$
2 域名：[a-zA-Z0-9][-a-zA-Z0-9]{0,62}(/.[a-zA-Z0-9][-a-zA-Z0-9]{0,62})+/.?
3 InternetURL：[a-zA-z]+://[^\s]* 或 ^http://([\w-]+\.)+[\w-]+(/[\w-./?%&=]*)?$
4 手机号码：^(13[0-9]|14[5|7]|15[0|1|2|3|5|6|7|8|9]|18[0|1|2|3|5|6|7|8|9])\d{8}$
5 电话号码("XXX-XXXXXXX"、"XXXX-XXXXXXXX"、"XXX-XXXXXXX"、"XXX-XXXXXXXX"、"XXXXXXX"和"XXXXXXXX)：^(\(\d{3,4}-)|\d{3.4}-)?\d{7,8}$
6 国内电话号码(0511-4405222、021-87888822)：\d{3}-\d{8}|\d{4}-\d{7}
7 身份证号：
15或18位身份证：^\d{15}|\d{18}$
15位身份证：^[1-9]\d{7}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{3}$
18位身份证：^[1-9]\d{5}[1-9]\d{3}((0\d)|(1[0-2]))(([0|1|2]\d)|3[0-1])\d{4}$
8 短身份证号码(数字、字母x结尾)：^([0-9]){7,18}(x|X)?$ 或 ^\d{8,18}|[0-9x]{8,18}|[0-9X]{8,18}?$
9 帐号是否合法(字母开头，允许5-16字节，允许字母数字下划线)：^[a-zA-Z][a-zA-Z0-9_]{4,15}$
10 密码(以字母开头，长度在6~18之间，只能包含字母、数字和下划线)：^[a-zA-Z]\w{5,17}$
11 强密码(必须包含大小写字母和数字的组合，不能使用特殊字符，长度在8-10之间)：^(?=.*\d)(?=.*[a-z])(?=.*[A-Z]).{8,10}$
12 日期格式：^\d{4}-\d{1,2}-\d{1,2}
13 一年的12个月(01～09和1～12)：^(0?[1-9]|1[0-2])$
14 一个月的31天(01～09和1～31)：^((0?[1-9])|((1|2)[0-9])|30|31)$
15 钱的输入格式：
16 1.有四种钱的表示形式我们可以接受:"10000.00" 和 "10,000.00", 和没有 "分" 的 "10000" 和 "10,000"：^[1-9][0-9]*$
17 2.这表示任意一个不以0开头的数字,但是,这也意味着一个字符"0"不通过,所以我们采用下面的形式：^(0|[1-9][0-9]*)$
18 3.一个0或者一个不以0开头的数字.我们还可以允许开头有一个负号：^(0|-?[1-9][0-9]*)$
19 4.这表示一个0或者一个可能为负的开头不为0的数字.让用户以0开头好了.把负号的也去掉,因为钱总不能是负的吧.下面我们要加的是说明可能的小数部分：^[0-9]+(.[0-9]+)?$
20 5.必须说明的是,小数点后面至少应该有1位数,所以"10."是不通过的,但是 "10" 和 "10.2" 是通过的：^[0-9]+(.[0-9]{2})?$
21 6.这样我们规定小数点后面必须有两位,如果你认为太苛刻了,可以这样：^[0-9]+(.[0-9]{1,2})?$
22 7.这样就允许用户只写一位小数.下面我们该考虑数字中的逗号了,我们可以这样：^[0-9]{1,3}(,[0-9]{3})*(.[0-9]{1,2})?$
23 8.1到3个数字,后面跟着任意个 逗号+3个数字,逗号成为可选,而不是必须：^([0-9]+|[0-9]{1,3}(,[0-9]{3})*)(.[0-9]{1,2})?$
24 备注：这就是最终结果了,别忘了"+"可以用"*"替代如果你觉得空字符串也可以接受的话(奇怪,为什么?)最后,别忘了在用函数时去掉去掉那个反斜杠,一般的错误都在这里
25 xml文件：^([a-zA-Z]+-?)+[a-zA-Z0-9]+\\.[x|X][m|M][l|L]$
26 中文字符的正则表达式：[\u4e00-\u9fa5]
27 双字节字符：[^\x00-\xff] (包括汉字在内，可以用来计算字符串的长度(一个双字节字符长度计2，ASCII字符计1))
28 空白行的正则表达式：\n\s*\r (可以用来删除空白行)
29 HTML标记的正则表达式：<(\S*?)[^>]*>.*?</\1>|<.*? /> (网上流传的版本太糟糕，上面这个也仅仅能部分，对于复杂的嵌套标记依旧无能为力)
30 首尾空白字符的正则表达式：^\s*|\s*$或(^\s*)|(\s*$) (可以用来删除行首行尾的空白字符(包括空格、制表符、换页符等等)，非常有用的表达式)
31 腾讯QQ号：[1-9][0-9]{4,} (腾讯QQ号从10000开始)
32 中国邮政编码：[1-9]\d{5}(?!\d) (中国邮政编码为6位数字)
33 IP地址：\d+\.\d+\.\d+\.\d+ (提取IP地址时有用)

I. java正则表达式怎么防止代码漏洞

javaWeb安全漏洞及处理方式
关注
转载自：https://blog.csdn.net/lujiancs/article/details/78175007

1、SQL注入攻击

SQL注入攻击就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将(恶意)的SQL命令注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库，而不是按照设计者意图去执行SQL语句。

随着B/S框架结构在系统开发中的广泛应用，恶意攻击者利用SQL命令在Web表单中输入合法的字符或查询字符串来欺骗服务器执行SQL命令。当注入攻击得逞后，Web程序将泄露大量用户隐私数据和数据库中数据结构。攻击者能够获得系统较高的访问权限，进行破坏操作。

SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤，从而执行了非法的数据查询。基于此，SQL注入的产生原因通常表现在以下几方面:

1）不当的类型处理;

2）不安全的数据库配置;

3）不合理的查询集处理;

4）不当的错误处理;

5）转义字符处理不合适;

6) 多个提交处理不当。

解决方法:

数据库安全通信包括SQL注入攻击的防范、安全设置、异常信息处理三个方面。

1.服务端Filter对访问者输入的字符进行过滤检验，但是攻击者经常把危险字符潜藏在用户输入的有效字符中完 成过滤检验。

2.通过正则表达式对页面的文本框输入的数据进行限制可以减少过滤检验存在的漏洞。

3.使用prepareStatment预编译sql语句

2、XSS跨站脚本攻击

跨站脚本（Cross-site scripting，简称XSS），是一种迫使Web站点回显可执行代码的攻击技术，而这些可执行代码由攻击者提供、最终为用户浏览器加载。不同于大多数攻击（一般只涉及攻击者和受害者），XSS涉及到三方，即攻击者、客户端与网站。XSS的攻击目标是为了盗取客户端的cookie或者其他网站用于识别客户端身份的敏感信息。获取到合法用户的信息后，攻击者甚至可以假冒最终用户与网站进行交互。

XSS 属于被动式的攻击。攻击者先构造一个跨站页面，利用SCRIPT、<IMG>、<IFRAME>等各种方式使得用户浏览这个页面时，触发对被攻击站点的HTTP 请求。此时，如果被攻击者如果已经在被攻击站点登录，就会持有该站点cookie。这样该站点会认为被攻击者发起了一个HTTP请求。而实际上这个请求是在被攻击者不知情情况下发起的，由此攻击者在一定程度上达到了冒充被攻击者的目的。精心的构造这个攻击请求，可以达到冒充发文，夺取权限等多个攻击目的。在常见的攻击实例中，这个请求是通过script 来发起的，因此被称为Cross Site Script。

XSS漏洞成因是由于动态网页的Web应用对用户提交请求参数未做充分的检查过滤，允许用户在提交的数据中掺入HTML代码（最主要的是“>”、“<”），然后未加编码地输出到第三方用户的浏览器，这些攻击者恶意提交代码会被受害用户的浏览器解释执行。

分为三种类型：

1）反射型（数据流向：浏览器 ->后端 -> 浏览器）

反射型XSS脚本攻击即如我们上面所提到的XSS跨站脚本攻击方式，该类型只是简单地将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出，导致输出的数据中存在可被浏览器执行的代码数据。由于此种类型的跨站代码存在于URL中，所以黑客通常需要通过诱骗或加密变形等方式，将存在恶意代码的链接发给用户，只有用户点击以后才能使得攻击成功实施。

2）存储型（数据流向是：浏览器 ->后端 -> 数据库 -> 后端-> 浏览器）

存储型XSS脚本攻击是指Web应用程序会将用户输入的数据信息保存在服务端的数据库或其他文件形式中，网页进行数据查询展示时，会从数据库中获取数据内容，并将数据内容在网页中进行输出展示，因此存储型XSS具有较强的稳定性。

存储型XSS脚本攻击最为常见的场景就是在博客或新闻发布系统中，黑客将包含有恶意代码的数据信息直接写入文章或文章评论中，所有浏览文章或评论的用户，都会在他们客户端浏览器环境中执行插入的恶意代码。

3）基于DOM（数据流向是：URL-->浏览器 ）

基于DOM的XSS跨站脚本攻击是通过修改页面DOM节点数据信息而形成的XSS跨站脚本攻击。不同于反射型XSS和存储型XSS，基于DOM的XSS跨站脚本攻击往往需要针对具体的javascript DOM代码进行分析，并根据实际情况进行XSS跨站脚本攻击的利用。

解决方法：

1).输入过滤。对用户的所有输入数据进行检测，比如过滤其中的“<”、“>”、“/”等可能导致脚本注入的特殊字符，或者过滤“script”、“javascript”等脚本关键字，或者对输入数据的长度进行限制等等。同时，我们也要考虑用户可能绕开ASCII码，使用十六进制编码来输入脚本。因此，对用户输入的十六进制编码，我们也要进行相应的过滤。只要能够严格检测每一处交互点，保证对所有用户可能的输入都进行检测和XSS过滤，就能够有效地阻止XSS攻击。

2).输出编码。通过前面对XSS攻击的分析，我们可以看到，之所以会产生XSS攻击，就是因为Web应用程序将用户的输入直接嵌入到某个页面当中，作为该页面的HTML代码的一部分。因此，当Web应用程序将用户的输入数据输出到目标页面中时，只要用HtmlEncoder等工具先对这些数据进行编码，然后再输出到目标页面中。这样，如果用户输入一些HTML的脚本，也会被当成普通的文字，而不会成为目标页面HTML代码的一部分得到执行.

3、CSRF跨站请求伪造漏洞防护

CSRF是CrossSite Request Forgery的缩写，乍一看和XSS差不多的样子，但是其原理正好相反，XSS是利用合法用户获取其信息，而CSRF是伪造成合法用户发起请求。

字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时，其 Cookie 还没有过期的情况下，攻击者伪造一个链接地址发送受害者并欺骗让其点击，从而形成 CSRF 攻击。

根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求必须来自于同一个网站。

解决方案：

配置FILTER拦截用户所有请求(POST/GET)，对用户请求Referer头URL进行合法性校验。
4、URL链接注入漏洞防护

链接注入是修改站点内容的行为，其方式为将外部站点的 URL 嵌入其中，或将有易受攻击的站点中的脚本 的 URL 嵌入其中。将URL 嵌入易受攻击的站点中，攻击者便能够以它为平台来启动对其他站点的攻击，以及攻击这个易受攻击的站点本身。

解决方案：

1，二次验证，进行重要敏感操作时，要求用户进行二次验证。

2，验证码，进行重要敏感操作时，加入验证码。

3，验证 HTTP 的 Referer 字段。

4，请求地址中添加 Token 并验证。

5，HTTP 头中自定义属性并验证。
5、会话COOKIE中缺少HttpOnly防护

会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。

HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。

如果在Cookie中没有设置HttpOnly属性为true，可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息。

如果在Cookie中设置HttpOnly属性为true，兼容浏览器接收到HttpOnly cookie，那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这将有助于缓解跨站点脚本威胁。

解决方案：

配置filter拦截器，将服务器端返回请求，向所有会话cookie中添加“HttpOnly”属性。

示例代码：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;

response.setHeader("SET-COOKIE","JSESSIONID=" + sessionid + "; HttpOnly");

6、点击劫持漏洞(Clickjacking)防护

点击劫持是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

解决方案：

配置FILTER拦截器，在服务器端返回请求中，使用一个HTTP头“X-Frame-Options”值为SAMEORIGIN-同源策略 ，则frame页面的地址只能为同源域名下面的页面，防止点击劫持漏洞发生。

示例代码：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;

response.addHeader("x-frame-options","SAMEORIGIN");

7、HTTP host 头攻击漏洞

使用HTTP代理工具，可以篡改HTTP报文头部中HOST字段时，该值可被注入恶意代码。因为需要控制客户端的输入，故该漏洞较难利用。

解决方案：

配置FILTER拦截器，对请求输入HOST头信息进行信息安全性校验，防止HOST头信息被恶意篡改利用。

示例代码：

HttpServletRequest request =(HttpServletRequest)servletRequest;
//主机ip和端口 或 域名和端口
String myhosts = request.getHeader("host");
if(!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")
!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")
!StringUtils.equals(myhosts,"xx.xx.xxx.xxx:xxxx")StringUtils.equals(myhosts,"xx.xx.xxx.xxx")
!StringUtils.equals(myhosts,"xx.xx.xxx.xxx") !StringUtils.equals(myhosts,"xx.xx.xxx.xxx" ){
logger.error("======访问host非法，已拦截======");
response.sendRedirect(request.getContextPath() + "/login.jsp");
return;
}
8、越权访问漏洞防护

越权访问（Broken Access Control，简称BAC）是Web应用程序中一种常见的漏洞，分为垂直越权访问和水平越权访问。垂直越权是指不同用户级别之间的越权，如普通用户执行管理员用户的权限。水平越权是指相同级别用户之间的越权操作。

Web应用程序如果存在越权访问漏洞，可能导致以下危害：

1）导致任意用户敏感信息泄露；

2）导致任意用户信息被恶意修改或删除。

解决方案：

配置FILTER拦截器，对请求所有URL进行拦截，对于需要进行授权的URL进行权限校验，防止用户越权访问系统资源。

9.弱口令漏洞

解决方案：最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码，应存储MD5加密后的密文，由于目前普通的MD5加密已经可以被破解，最好可以多重MD5加密，或者多种加密方式叠加组合。

10．JSP页面抛出的异常可能暴露程序信息。

有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案：自定义一个Exception，将异常信息包装起来不要抛到页面上。

11.本地缓存漏洞

合法用户“注销”后，在未关闭浏览器的情况下，点击浏览器“后退”按钮，可从本地页面缓存中读取数据，绕过了服务端filter过滤。

解决方案：配置filter对存放敏感信息的页面限制页面缓存。如：

httpResponse.setHeader("Cache-Control","no-cache");

httpResponse.setHeader("Cache-Control","no-store");

httpResponse.setDateHeader("Expires",0);

httpResponse.setHeader("Pragma","no-cache");

12.文件上传漏洞。

前台仅使用JS对文件后缀做了过滤，这只能针对普通的用户，而恶意攻击者完全可以修改表单去掉JS校验。

13.Java WEB容器默认配置漏洞。

如TOMCAT后台管理漏洞，默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案：最好删除，如需要使用它来管理维护，可更改其默认路径，口令及密码。

J. java如何提取url里的域名

方法1：正则
(http://)或者（https://）开头
往后面匹配三个点，
不会的话网络一波。
然后把最后的点去掉
就可以得到域名
方法2：
将URL字符串转换为charArray
遍历 对.(点)的次数进行记数
第三次当前返回下标
用SubString切割字符串获取域名