これは、URLまたはフォームパラメータをエンコードすることを常にお勧めします。プレーンフォームパラメータはクロスサイト攻撃、SQLインジェクションに対して脆弱であり、Webアプリケーションを予期しない出力に導く可能性があります。 URL文字列またはフォームパラメータは、 `URLEncoder`クラスのstaticエンコード(String s、String enc)メソッドを使用してエンコードできます。

たとえば、ユーザが次の特殊文字を入力し、Webアプリケーションがエンコードを処理しないと、クロスサイトスクリプト攻撃が発生します。 

<![CDATA[<IMG SRC="  javascript:document.vulnerable=true;">]]>

文字列をエンコードするために

URLEncoder`を使用し、エンコードされた文字列をデコードするために

URLDecoder`を使用する例 

package com.mkyong;

import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.net.URLEncoder;

public class testEncode {

  public static void main(String args[]) {

    try {

    String url = "<![CDATA[<IMG SRC=\"  javascript:document.vulnerable=true;\">]]>";

    String encodedUrl = URLEncoder.encode(url, "UTF-8");

    System.out.println("Encoded URL " + encodedUrl);

    String decodedUrl = URLDecoder.decode(url, "UTF-8");

    System.out.println("Dncoded URL " + decodedUrl);

    } catch (UnsupportedEncodingException e) {

        System.err.println(e);

    }
    }
}

結果 

Encoded URL %3C%21%5BCDATA%5B+%3CIMG+SRC%3D%22+%26%2314%3B+
javascript%3Adocument.vulnerable%3Dtrue%3B%22%3E+%5D%5D%3E
Dncoded URL ]]>

すべての脆弱性攻撃を防ぐために、URL文字列とフォームパラメータを常にエンコードすることを覚えておいてください。

リファレンス


  1. http://java.sun.com/j2se/1.5.0/docs/api/java/net/URLEncoder.html

    [URLEncoder

Javadoc]

リンク://タグ/エンコード/[エンコード]リンク://タグ/java/[java]リンク://タグ/url/[url]