使用不带区域设置的toUpperCase或者toLowerCase产生的不相等问题

最新推荐文章于 2024-04-29 14:23:48 发布
原创 最新推荐文章于 2024-04-29 14:23:48 发布 · 3.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在Java中处理字符串时区域设置的重要性,特别是在进行大小写转换和比较时。介绍了如何正确地使用`toUpperCase()`及`equalsIgnoreCase()`方法来避免因默认区域设置导致的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

对可能与区域设置相关的数据进行比较时, 应指定相应的区域设置。

示例 1: 以下示例尝试执行验证, 以确定用户输入是否包含 <script> 标签

...
public String tagProcessor(String tag){
    if (tag.toUpperCase().equals("SCRIPT")){
        return null;
    }/
    /does not contain SCRIPT tag, keep processing input
    ...
}.
..
关于上述代码的问题是: 在使用不带区域设置的 java.lang.String.toUpperCase() 时, 其将使用默认的区域设置规则。 使用土耳其区域设置
"title".toUpperCase() 时将返回 "T\u0130TLE", 其中 "\u0130" 是 "LATIN CAPITAL LETTER I WITH DOT ABOVE" 字符。 这会导致生成意外结果, 例

如, 在示例 1 中, 会导致此验证无法捕获 "script" 一词, 从而可能造成跨站脚本攻击漏洞。

解决方案

为了防止出现此问题, 请始终确保指定默认区域设置, 或者指定可以接受这些字符(如 toUpperCase()) 并带有 API 的区域设置。

以下示例通过手动方式将区域设置指定为 toUpperCase() 的参数。

import java.util.Locale;
...
public String tagProcessor(String tag){
    if (tag.toUpperCase(Locale.ENGLISH).equals("SCRIPT")){
    return null;
}/
/does not contain SCRIPT tag, keep processing input
...
}.
..

以下示例使用了函数 java.lang.String.equalsIgnoreCase() API 以防止出现此问题

...
public String tagProcessor(String tag){
    if (tag.equalsIgnoreCase("SCRIPT")){
    return null;
    }/
/does not contain SCRIPT tag, keep processing input
...
}.
..

因为 equalsIgnoreCase() 会更改与 Character.toLowerCase() 和 Character.toUpperCase() 类似的内容, 所以可以防止此问题。 这涉及到使用来
自 UnicodeData 文件(由 Unicode 联盟维护的 Unicode 字符数据库的一部分) 的信息创建这两种字符串的临时标准格式。 即使这可能会导致这些字符在被读取时以
不可读的方式呈现出来, 但却能够在独立于区域设置的情况下进行比较。



写给零基础的前端算法入门指南,acmer女友刷80+【递归与回溯篇】|牛气冲天新年征文
超逸の学习技术博客
02-16 3493
前言 各位小伙伴们新年好呀,隔一周,俺又回来更新文章啦!在上一篇发出去之后,虽然没有得到很多的阅读量,但是后面几篇文章还是得要更新出来,我想总能够帮助一小部分人咯~ 现在和大家分享一下我们是如何准备算法这一块的,春招即将开启,还能最后准备一下,希望对大家有所帮助。 原本打算通过一篇文章介绍一下,推荐一下自己的刷题方式和刷题路线,得到一些伙伴的反馈:最好还是更加详细,面向零基础,小白这些,还有github访问速度也是一方面问题,可能图片都加载出来。 因此,我打算分模块出几期文章,这样你只用通过首发在.
【华为OD机考真题】- 重组字符串(Java
**My Coding Family**
02-27 880
🔔本文收录于「2025华为OD机试真题(Java版)」专栏,手把手你零基础教学华为OD机试。本题集提供最优题解思路,解题步骤,代码解析,复杂度分析及最优题解源码等,支持多语言题解,助你轻松拿捏OD机考,一举上岸!安利大家关注&&收藏&&订阅!题库正在疯狂收录中,up!up!up!! 🚫提醒:拒绝一切代考/替考,违法必究!    💗订阅福利:一次订阅,可永久免费阅读,提供在线答疑解惑,后续题库更新皆可阅读使用
对于FindBugs 中的toLowerCase 警告
程序员的修行之旅
08-17 1562
使用toLowerCase()方法, 尽量使用toLowerCase(Locale.US)这个方法来代替(需import java.util.Locale;); 或使用equalsIgnoreCase()方法来比较。 转自:http://blog.csdn.net/fane1157521/article/details/7847248
Fortify漏洞:Portability Flaw: Locale Dependent Comparison
七一
05-17 786
这个漏洞会导致程序在同地区设置产生一致的结果,因为同地区使用同的字符排序规则、大小写敏感性和其他比较规则。举例来说,某些地区会将特定的字符视为同的字符,而其他地区则将其视为相同。:为了防止出现此问题,请始终确保指定默认区域设置或者指定可以接受这些字符(如toLowerCase()有 API 的区域设置。方法可以避免由于地区设置相关的字符排序规则而导致的比较结果一致的问题。某些地区会将特定的字符视为同的字符,而其他地区则将其视为相同。:在未指定区域设置,可能会发现意外得可移植性问题
toLowerCase()的用法
weixin_43982098的博客
08-20 4193
定义 把输入字符串中的大写字母全部转换为小写字符 ps:对中文没有影响 返回值 新的字符串,大写字母换成小写字母 与toLocalLowerCase()区别 toLocalLowerCase()是针对某些地区语言环境的特定方法。如少数语言(土耳其语言)会为Unicode大小写转换应用特殊的规则,这最好使用针对地区的方法来保证实现正确的转换。 ...
代码安全性错误:Locale Dependent Comparison
whatname123的博客
12-27 1282
Locale Dependent Comparison 区域依赖比较, 常见于: java.lang.String类的 :toUpperCase(Locale.ENGLISH) :toLowerCase(Locale.ENGLISH) 方法,即java中转化字母大小写的方法 例如: 对于同样的代码,“title”.toUpperCase,在土耳其区域和英国区域,转换的字符是同的,这样在后续诸如 if (“title”.toUpperCase().equals(“TITLE”)) 等判断上会出现同的结果。
Category: Portability Flaw: Locale Dependent Comparison
yingzhengttt blog
10-10 622
Category: Portability Flaw: Locale Dependent Comparison 原因 对可能与区域设置相关的数据进行比较,应指定相应的区域设置。 解决 加入地区 (Locale.ENGLISH 使用英语) eg: file.getName().toLowerCase(Locale.ENGLISH).endsWith(JAR_FILE_SUFFIX) 或使用 equalsIgnoreCase比较 进行大小写转换 eg: sqlTypeEnum.name.equalsIgno
layui 判断字符串相等
最新发布
08-19
- 如果需要忽略大小写,可以先将字符串都转换为小写(使用`toLowerCase()`)或大写(使用`toUpperCase()`)再比较。 ### 示例:忽略大小写比较 ```javascript var str1 = "Hello"; var str2 = "hello"; console.log...
54从零开始学JavaString字符串用法详解
一一哥
07-24 409
学习了前面的内容之后,我们知道了一些java中的常用类,比如Object和包装类等,但还有一个类用的更多,这就是String字符串类!所以接下来壹哥会利用一些篇章,来给大家重点讲解一下String的用法,因为这个太常用,也太常考了。虽然我们前面的代码案例中,已经多次使用String字符串了,感觉也难,但实际上String字符串的内容是比较多的,需要初学者进行专门的学习,尤其是它的一些底层原理更需要我们来了解。前戏已做完,精彩即开始全文大约【5500】
JavaSE常问91个知识点问题总结(答案)
半夏微凉科技
04-29 343
JavaSE常问92个知识点问题总结(答案) 1.作用域public,private,protected,以及的区别和AnonymousInnerClass(匿名内部类); 2.StaticNestedClass和InnerClass的同,Collection和Collections的区别和Math.round()算法; 3.最常见到的RuntimeException,error和exception有什么区别: 4.abstract的method,接口与抽象类:
解决Fortify漏洞:Portability Flaw: Locale Dependent Comparison
林夕
06-05 864
当涉及到字符串比较或排序等操作,地区设置相关的比较(Locale Dependent Comparison)是一个常见的可移植性漏洞。这个漏洞会导致程序在同地区设置产生一致的结果,因为同地区使用同的字符排序规则、大小写敏感性和其他比较规则。举例来说,某些地区会将特定的字符视为同的字符,而其他地区则将其视为相同。就是说同地区出现的结果可能会一样,某些地区会将特定的字符视为同的字符,而其他地区则将其视为相同。方法可以避免由于地区设置相关的字符排序规则而导致的比较结果一致的问题
应用软件安全编程--07当比较 local相关的数据,指定恰当的 local
奔跑的老吴
11-07 242
当locale没有明确指定的候,使用 locale相关的方法处理与 local相关的数据会产生意想到的 结果。由于这些原因,在比较数据,如果可能与locale方法相关,则应指定相应的 locale。然而,大多数语言使用的拉丁字母i的大写形式是I,但土耳其语言环境是个例外:有一个点的i的大写形式也有一个点(1),没有点I大写形式没有点(I)。许多程序只使用依赖于locale方法来输出信息,如果 locale相关的数据,程序没有显示设置 locale, 则可以安全地依赖于默认的 locale 设置
算法题(最常见的单词)
qq_62401904的博客
04-17 311
力扣主要代码: import java.util.Locale; class Solution { public String mostCommonWord(String paragraph, String[] banned) { String[] arrs= paragraph.toLowerCase(Locale.ENGLISH).split("[!?',;. ]"); Map<String, Integer> map = new HashM...
还在使用if进行空判断?
努力才配拥有的博客
05-10 649
我们在编程中经常会进行空指针判断,常用if,可还有其他方式
javatolowercase_Java String toLowerCase() 使用方法及示例
weixin_28890941的博客
02-20 6098
Java String toLowerCase() 使用方法及示例Java String toLowerCase()方法将字符串中的所有字符转换为小写字符。字符串 toLowerCase() 方法的语法为:string.toLowerCase()toLowerCase()参数任何参数toLowerCase()返回值返回一个字符串,其中所有大写字母都转换为小写字母示例:Java toLowerC...
Java以及其他笔记零散收录
weixin_38370441的博客
03-27 1972
说明:收录那些零散记录在笔记中,但是篇幅又长的内容。 Java篇 基础语法 可变入参写法 -》 效果: 继承基类private属性 https://www.cnblogs.com/ztt0918/p/8043757.html static关键字、静态代码块、final关键字 static关键字总结: https://blog.csdn.net/kuangay/article/details/81485324 静态代码块: https://blog.csdn.net/qq_35868412/artic
fortify源代码扫描问题分析汇总
热门推荐
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
怎样获取java枚举的名称_如何从Java中的字符串值获得枚举值?
weixin_42462763的博客
02-24 2348
假设我有一个枚举public enum Blah {A, B, C, D}我想找到一个字符串的枚举值,例如"A",它是Blah.A。怎么可能做到这一点?我需要的方法是Enum.valueOf()吗?如果是的话,我怎么用这个?是的,Blah.valueOf("A")会给你Blah.A。注意,名称必须完全匹配,包括case:Blah.valueOf("A")和Blah.valueOf("A")都抛出I...
java.lang.String.toUpperCase(Locale locale)
来敲代码了。
07-09 1万+
java.lang.String.toUpperCase(Locale locale) 方法将所有的字符在该字符串使用给定Locale的规则转为大写。 声明 以下是java.lang.String.toUpperCase()方法的声明 public String toUpperCase() 参数 locale -- 默认使用的情况下,转换规则为这个语言环境。
为啥我使用本地化设置touppercase()能转化为大写字母
03-09
这可能是因为您的本地化设置支持将小写字母转换为大写字母。您可以尝试使用其他方法来转换为大写字母,例如使用CSS的text-transform属性或JavaScript的toUpperCase()方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值