模拟pdf运行js脚本触发xss攻击及防攻击
一、引入pdfbox依赖
<dependency><groupId>org.apache.pdfbox</groupId><artifactId>pdfbox</artifactId><version>3.0.0</version>
</dependency>二、生成一个带js脚本的pdf文件
//Creating PDF document object
PDDocument document = new PDDocument();//Creating a blank page
PDPage blankPage = new PDPage();//Adding the blank page to the document
document.addPage(blankPage);String javaScript = "app.alert('欢迎关注cms.centyun.com');";//Creating PDActionJavaScript object
PDActionJavaScript PDAjavascript = new PDActionJavaScript(javaScript);//Embedding java script
document.getDocumentCatalog().setOpenAction(PDAjavascript);//Saving the document
document.save("d:\\centyun.pdf");
System.out.println("PDF created");//Closing the document
document.close();三、在浏览器中打开pdf文件触发xss攻击
四、防止pdf的xss攻击
判断pdf文件中是否包含打开文档就运行的js脚本
/*** 校验pdf文件是否包含打开文档就执行的js脚本**/
public static boolean containJavaScript(File file) {try {PDDocument document = Loader.loadPDF(file);PDDestinationOrAction openAction = document.getDocumentCatalog().getOpenAction();if (openAction != null) {String str = openAction.getCOSObject().toString().toLowerCase();return str.contains("javascript") || str.contains("cosname{js}");}} catch (Exception e) {log.error(e.getMessage(), e);}return false;
}本文到此结束。
相关文章:
模拟pdf运行js脚本触发xss攻击及防攻击
一、引入pdfbox依赖 <dependency><groupId>org.apache.pdfbox</groupId><artifactId>pdfbox</artifactId><version>3.0.0</version> </dependency> 二、生成一个带js脚本的pdf文件 //Creating PDF document object PDDocum…...
【数据结构】树和二叉树概念及其结构
目录 一 树概念及结构 1 树的概念 2 树的相关概念 3 树的表示 二 二叉树概念及结构 1 概念 2 特殊二叉树 3 二叉树的性质 一 树概念及结构 1 树的概念 树是一种非线性的数据结构,它是由n(n>0)个有限结点组成一个具有层次关系的集…...
刘京城:我的《软件方法》学习经历(有彩蛋)
DDD领域驱动设计批评文集 做强化自测题获得“软件方法建模师”称号 《软件方法》各章合集 写在前面(潘加宇) 下面是刘京城写的关于他学习《软件方法》的经历。我在前面啰嗦几句。 我做软件建模方面的研究和普及工作已经24年了,和各行各业…...
浏览器详解(四) 渲染
大家好,我是半虹,这篇文章来讲浏览器渲染 1、基本介绍 浏览器是多进程多线程的架构,包括有浏览器进程、渲染器进程、GPU 进程、插件进程等 在上篇文章中我们介绍过浏览器进程,作为浏览器主进程,负责浏览器基本界面的…...
idea新建一个module时,文件夹显示灰色/pom.xml文件显示灰色且中间有条横线
1.问题 2.解决方法 File->Settings->Ignored Files->找到勾选的pom.xml文件,取消勾选,点击ok即可。 3.已解决...
NoSQL数据库(林子雨慕课课程)
文章目录 5.1 NoSQL数据库5.2 NoSQL和关系数据库的比较5.3 四大类型NoSQL数据库5.3.1 键值数据库和列族数据库5.3.2 文档数据库、图数据库、以及不同数据库比较分析 5.4 NoSQL数据库的理论基石CAP理论:BASE理论:Eventual consistency(最终一致…...
模拟器运行在AndroidStudio内部,设置其独立窗口显示
在窗口内部运行 设置成独立窗口 Android Studio->Settings或Preferences->Tools->Emulator->取消勾选Launch in the Running Devices tool window --->点击右下角的OK按钮 ---> 重启Android Studio 再次启动模拟器...
计算机网络 | 体系结构
计算机网络 | 体系结构 计算机网络 | 体系结构概念及功能计算机网络简介计算机网络的功能因特网发展阶段小结 组成与分类计算机网络的组成计算机网络的分类小结 标准化工作及相关组织速率相关性能指标速率带宽吞吐量小结 时延相关性能指标时延时延带宽积往返时延RTT利用率小结 …...
ELK 处理 SpringCloud 日志
在排查线上异常的过程中,查询日志总是必不可缺的一部分。现今大多采用的微服务架构,日志被分散在不同的机器上,使得日志的查询变得异常困难。工欲善其事,必先利其器。如果此时有一个统一的实时日志分析平台,那可谓是雪…...
mac使用python递归删除文件夹下所有的.DS_Store文件
import osfolder_path "yourself file path"for root, dirs, files in os.walk(folder_path):for filename in files:if filename .DS_Store:file_path os.path.join(root, filename)os.remove(file_path)print("delete ok")...
Gitlab+Jenkins自动化部署,解放双手
项目打包 在部署项目前需要对源码进行打包,一个简单的SpringBoot项目默认是打包为jar包,也就是在pom.xml中的<packaging>jar</packaging>方式,当然也会有一些打包成war包方式,使用外置的Tomcat应用服务器部署war包…...
NNDL:作业3
在Softmax回归的风险函数(公式(3.39))中如果加上正则化项会有什么影响? (1) 在 Softmax 回归的风险函数中加入正则化项会对模型的训练产生影响。正则化项的作用是对模型的复杂度进行惩罚,防止过拟合的发生。 (2) 原书公式为: 在加入正则化后损失函数…...
dockers --cap-add 哪些值可以设置
--cap-add 参数可以用于向 Docker 容器添加不同的权限。除了 NET_ADMIN,还有一些其他常用的权限值,包括: SYS_ADMIN:添加系统管理员权限,允许容器内的进程执行系统级别的管理操作,如挂载文件系统、设置时间…...
golang常用库之-HTTP客户端请求库 grequests
文章目录 golang常用库之-HTTP客户端请求库 grequests什么是grequests使用 golang常用库之-HTTP客户端请求库 grequests 什么是grequests 官网:github.com/levigross/grequests A Go “clone” of the great and famous Requests library Go语言的grequests库是一…...
17基于matlab卡尔曼滤波的行人跟踪算法,并给出算法估计误差结果,判断算法的跟踪精确性,程序已调通,可直接运行,基于MATLAB平台,可直接拍下。
17基于matlab卡尔曼滤波的行人跟踪算法,并给出算法估计误差结果,判断算法的跟踪精确性,程序已调通,可直接运行,基于MATLAB平台,可直接拍下。 17matlab卡尔曼滤波行人跟踪 (xiaohongshu.com)...
SpringCloud之Stream框架集成RocketMQ消息中间件
Spring Cloud Stream 是一个用来为微服务应用构建消息驱动能力的框架。它可以基于 Spring Boot 来创建独立的、可用于生产的 Spring 应用程序。Spring Cloud Stream 为一些供应商的消息中间件产品提供了个性化的自动化配置实现,并引入了发布-订阅、消费组、分区这三…...
与创新者同行!Apache Doris 首届线下峰会即将开启,最新议程公开!|即刻预约
点击此处 即刻报名 Doris Summit Asia 2023 回顾人类的发展史,地球起源于 46 亿年前的原始星云、地球生命最初出现于 35 亿年前的原始海洋、人类物种诞生于数百万年前,而人类生产力的真正提升源于十八世纪六十年代的工业革命,自此以后&#…...
vue解决:Parsing error: No Babel config file detected for ....
报错信息 Parsing error: No Babel config file detected for C:\Users\Admin\Desktop\shabi\work\src\App.vue. Either disable config file checking with requireConfigFile: false, or configure Babel so that it can find the config files. 分析错误:没有检测…...
算法题:K 次取反后最大化的数组和(典型的贪心算法问题)
这道题没有看题解,直接提交,成绩超越99.5%,说明思路是优的。就是考虑的情况里面弯弯绕比较多,需要考虑全面一点。(本题完整题目附在了最后面) 具体思路如下: 1、首先排序,然后从最…...
Go语言中向[]byte数组中增加一个元素
要向http.Request的body中添加一个键值对,可以先将其转换为一个map,然后对其进行修改,最后再将其转回为byte数组。 以下是一个示例代码: import ("net/http""io/ioutil""encoding/json" )type Re…...
基于CircuitPython与LED Animation库的NeoPixel蓝牙动态灯光系统
1. 项目概述与核心价值如果你玩过微控制器,尤其是像Adafruit的Circuit Playground Bluefruit这类功能丰富的开发板,那你肯定对板载的那一圈NeoPixel RGB LED灯珠印象深刻。它们不只是几个简单的指示灯,而是一个完整的、可编程的彩色光带。但很…...
胶片颗粒≠随机噪点,35mm风格出图翻车全解析,深度拆解ISO模拟、过期胶卷色偏与显影液残留建模逻辑
更多请点击: https://intelliparadigm.com 第一章:胶片颗粒≠随机噪点,35mm风格出图翻车全解析 胶片摄影的颗粒感(Grain)是银盐晶体在显影过程中形成的物理性、非均匀、结构化纹理,而数字图像中常见的“噪…...
如何利用Stretchly健康办公助手科学管理屏幕时间:免费开源的健康办公助手完整解决方案
如何利用Stretchly健康办公助手科学管理屏幕时间:免费开源的健康办公助手完整解决方案 【免费下载链接】stretchly The break time reminder app 项目地址: https://gitcode.com/gh_mirrors/st/stretchly 你是否经常在电脑前连续工作数小时后感到眼睛干涩、颈…...
告别整板实心铜:在PADS VX2.7中为你的四层板电源层设置网格覆铜与开窗的完整流程
告别整板实心铜:在PADS VX2.7中为四层板电源层设置网格覆铜与开窗的完整流程 在高速PCB设计中,电源层的处理方式直接影响电路板的散热性能、机械强度和EMI表现。传统实心覆铜虽然阻抗低,但在热应力敏感场景下容易导致板翘曲,而密集…...
)
基于物联网节能及安防控制系统(有完整资料)
编号:CJ-32-2022-153设计简介:本设计是基于物联网节能及安防控制系统,主要实现以下功能:1、检测光强,室内外温度(两个温度传感器),人体红外检测是否有人; 2、室外温度过高…...
日常记录:SQL学习总结
一、什么是SQL注入SQL注入,就是通过把恶意SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器使数据库执行恶意SQL命令目的的入侵行为。关键:闭合原有 SQL 语句,构造恶意新语句。二、SQL注入漏洞分类三…...
LizzieYzy:围棋AI分析的终极免费工具,5分钟快速上手
LizzieYzy:围棋AI分析的终极免费工具,5分钟快速上手 【免费下载链接】lizzieyzy LizzieYzy - GUI for Game of Go 项目地址: https://gitcode.com/gh_mirrors/li/lizzieyzy 围棋AI分析、免费围棋助手、LizzieYzy快速入门、围棋复盘工具、AI棋力提…...
2026在线去水印工具怎么用?免费视频去水印网站和本地水印去除方法推荐
引言 在日常工作和生活中,用户常常需要处理带有水印的视频文件。无论是出于内容二次创作、视频编辑还是个人使用的需求,去除视频水印成为了一个普遍的技术需求。2026年,随着在线视频处理工具的发展,多种去水印解决方案应运而生&am…...
Wan Tasks API 集成与使用指南
简介 Wan Tasks API 是 Ace Data Cloud 提供的一项功能强大的服务,允许开发者通过输入任务 ID 来查询视频生成任务的执行状态。这项 API 主要用于与 Wan Videos Generation API 配合使用,帮助用户获取视频生成任务的实时信息,确保用户能够高…...
开源AI智能体dreamGPT:让大语言模型学会自主思考与目标探索
1. 项目概述:当AI学会“做梦”,一个开源智能体的自我进化实验最近在开源社区里,一个名为dreamGPT的项目引起了我的注意。它来自 DivergentAI,名字本身就充满了想象力——“梦想GPT”。这可不是一个简单的聊天机器人或者代码生成工…...