Java防止跨站脚本(XSS)注入攻击

最新推荐文章于 2024-02-16 10:30:00 发布
最新推荐文章于 2024-02-16 10:30:00 发布
阅读量4.2k 收藏 2
点赞数
XSS攻击的危害性
,也通过
模拟案例了解了XSS攻击原理
,这里就介绍一下如何防御XSS攻击。
采用Filter技术,对所有参数都进行过滤,处理方案为:
1. 含有html标签做转义。
2. 含有敏感的html脚本,直接处理掉。
 
XSS Filter源码:


package com.what21.filter.xss;
 
import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XSSFilter implements Filter {
 
    // XSS处理Map
    private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
     
    public void init(FilterConfig filterConfig) throws ServletException {
        // 含有脚本: script
        xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
        // 含有脚本 javascript
        xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
        // 含有函数: eval
        xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
        // 含有符号 <
        xssMap.put("<", "&lt;");
        // 含有符号 >
        xssMap.put(">", "&gt;");
        // 含有符号 (
        xssMap.put("\\(", "(");
        // 含有符号 )
        xssMap.put("\\)", ")");
        // 含有符号 '
        xssMap.put("'", "'");
        // 含有符号 "
        xssMap.put("\"", """);
    }
     
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // 强制类型转换 HttpServletRequest
        HttpServletRequest httpReq = (HttpServletRequest)request;
        // 构造HttpRequestWrapper对象处理XSS
        HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
        // 
        chain.doFilter(httpReqWarp, response);
 
    }
 
    public void destroy() {
         
    }
}


package com.what21.filter.xss;
 
import java.util.Map;
import java.util.Set;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public final class HttpRequestWrapper extends HttpServletRequestWrapper {
 
    private Map<String, String> xssMap;
     
    public HttpRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    public HttpRequestWrapper(HttpServletRequest request,
            Map<String, String> xssMap) {
        super(request);
        this.xssMap = xssMap;
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        // 遍历每一个参数,检查是否含有
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
 
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
 
    }
 
    /**
     * 清除恶意的XSS脚本
     * 
     * @param value
     * @return
     */
    private String cleanXSS(String value) {
        Set<String> keySet = xssMap.keySet();
        for(String key : keySet){
            String v = xssMap.get(key);
            value = value.replaceAll(key,v);
        }
        return value;
    }
}


<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.what21.filter.xss.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>


FYWT98
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的朋友可以参考下
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 1741
本文将介绍几种在Java中处理XSS跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
若依ruoyi summernote 富文本提交数据 部分代码被过滤 修改xss配置可忽略过滤
test
06-17 5083
若依使用summernote富文本控件提交数据后,数据库存储数据(源码中的字体样式被过滤掉了,<hr>标签也被过滤掉了): 前端Ajax Post方式提交参数,参数用url转码,转码前后,参数内容都是完整的,但是后台Controller用对象接收到的参数,字段值里的某些代码段就被过滤掉了 原因是ruoyi框架集成了xssxss过滤了这些标签,需要在配置文件里在x...
人人和若依处理Xss防御解析
qq_39007838的博客
09-16 1211
xss
Java实现XSS防御
清水的专栏
08-26 704
XSS概述 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 xss攻击就是jq或h
java防止XSS(跨站脚本攻击)攻击的常用方法总结
热门推荐
码在飞博客
07-13 1万+
一、什么是XSS攻击XSS攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
JavaWeb开发中对于XSS跨站脚本攻击的防护措施
jasontome的android之路:Do it. Do it right. Do it righ
01-26 1943
XSS漏洞概述: XSS(Cross Site Script)跨站脚本攻击是一种注射的问题,在这种恶意脚本注入否则良性和信任的网站类型。跨站脚本XSS攻击攻击者使用时,会出现一个网络应用程序发送恶意代码,一般是在浏览器端脚本的形式,向不同的最终用户。这些缺陷,使攻击成功是相当普遍,发生在任何地方从一个Web应用程序使用在输出它没有验证或编码了用户输入。攻击者可以使用XSS的恶意脚本
Java XSS跨站脚本攻击防御
qq_37160920的博客
12-06 636
XSS简介: 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到获取cookie,恶意攻击用户的目的。例如url:http://127.0.0.1:8090/project/pages/bumenjiandu/index.jsp?skinType=wh...
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
H_Q_Li的博客
10-21 2735
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
java 利用上传PDF SSL安全 渗透注入JavaScript 漏洞修复 更加简便
weixin_42161659的博客
03-14 1106
【代码】java 利用上传PDF SSL安全 渗透注入JavaScript 漏洞修复 更加简便。
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
03-04
新浪微博攻击事件跨网站脚本(Cross-sitescripting,通常简称为XSS跨站脚本跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受...
xss攻击和sql注入
03-19
xss攻击和sql注入
一个用于配置移动应用开发环境的自动化脚本
04-17
可以帮助开发者自动安装Android SDK、Android NDK、Java开发工具包(JDK)以及Flutter SDK,这些都是移动应用开发(特别是Android和Flutter应用)所必需的。 脚本首先定义了一些变量,用于存储工具的安装路径和版本。然后,定义了一个install_tool函数,用于检查工具是否已安装,如果没有安装则执行安装命令。 接着,脚本定义了install_android_sdk、install_android_ndk、install_java_jdk、set_java_env和install_flutter_sdk等函数,分别用于安装Android SDK、Android NDK、Java JDK、设置Java环境变量以及安装Flutter SDK。 在主程序部分,脚本按照顺序调用这些函数来安装和配置各个工具。安装完成后,脚本会输出一条消息表示配置已完成。
AI Agent智能应用从0到1定制开发
04-17
AI Agent智能应用从0到1定制开发 关键特点: 自动化:AI Agent可以自动执行重复性任务,提高效率并减少人力成本。 智能决策:基于复杂的算法,AI Agent能够进行决策支持,分析数据并提供洞察。 自然语言处理:许多AI Agent具备理解和生成自然语言的能力,使其能够与人类用户进行交流。 机器学习:AI Agent可以利用机器学习技术从经验中学习,不断优化其性能。 个性化:AI Agent能够根据用户的行为和偏好提供个性化的体验。 可扩展性:AI Agent可以设计成模块化,方便扩展新功能或适应不同规模的需求。 实时响应:AI Agent能够提供快速的实时响应,满足紧急任务的需求。
魔方PPT模板04_动态清新绿色学术答辩模板.pptx.zip
最新发布
04-17
魔方PPT模板04_动态清新绿色学术答辩模板.pptx
tomcat概述.pdf
04-17
Tomcat是一个广泛使用的开源Web服务器和Servlet容器,它是由Apache软件基金会(ASF)主持的一个项目。Tomcat实现了Java Servlet、JavaServer Pages(JSP)、Java Expression Language(JSTL)和WebSocket等技术规范,并提供了一个用于运行Java Web应用程序的运行时环境。由于其稳定性、可扩展性和灵活性,Tomcat已成为许多企业级Java Web应用程序的首选服务器。 Tomcat最初是由Sun Microsystems在1999年作为Servlet API 2.2和JSP 1.1规范的参考实现而开发的。自那时以来,Tomcat不断发展壮大,成为了一个功能强大且易于使用的Web服务器和Servlet容器。Tomcat的开源性质和广泛的支持使得它成为了许多开发者和企业的首选。
基于Qt+C++实现的各种炫酷的样式表+源码
04-17
用法链接:https://menghui666.blog.csdn.net/article/details/137888208?spm=1001.2014.3001.5502 基于Qt+C++实现的各种炫酷的样式表,如单选、多选、按钮、日历、表格、下拉框、滚轮等,+源码 基于Qt+C++实现的各种炫酷的样式表,如单选、多选、按钮、日历、表格、下拉框、滚轮等,+源码 基于Qt+C++实现的各种炫酷的样式表,如单选、多选、按钮、日历、表格、下拉框、滚轮等,+源码
java xss 注入攻击
05-27
Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值