javaweb——解决XSS跨站脚本攻击的方法

最新推荐文章于 2024-07-26 16:43:29 发布
最新推荐文章于 2024-07-26 16:43:29 发布
阅读量1.1w 收藏 10
点赞数 2
分类专栏: spring 文章标签: java web 脚本 sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzc4869/article/details/50935796
版权

1.编写一个过滤器处理转义字符,防止SQL注入

package com.xinrui.flower.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
/**
 * 
 * 创建时间:2016年2月23日 下午1:34:04
 * 项目名称:Flower
 * @author 梁志成
 * @version 1.0
 * @since JDK 1.8.0_21
 * 文件名称:XssFilter.java
 * 类说明:Xss跨脚本攻击过滤器
 */
public class XssFilter implements Filter {

    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {

        chain.doFilter(request, response);

    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

}

package com.xinrui.flower.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * 
 * 创建时间:2016年3月1日 下午5:51:06
 * 项目名称:Flower
 * @author 梁志成
 * @version 1.0
 * @since JDK 1.8.0_21
 * 文件名称:XssHttpServletRequestWraper.java
 * 类说明:处理转义字符,防止SQL注入
 */
public class XssHttpServletRequestWraper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWraper(HttpServletRequest request) {
        super(request);

    }

    @Override
    public String getParameter(String name) {

        return clearXss(super.getParameter(name));
    }

    @Override
    public String getHeader(String name) {

        return clearXss(super.getHeader(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        // 处理路径中的转义字符
        String[] values = super.getParameterValues(name);
        String[] newValues = new String[values.length];

        for (int i = 0; i < values.length; i++) {
            newValues[i] = clearXss(values[i]);
        }

        return newValues;
    }

    // 清除路径中的转义字符
    public String clearXss(String value) {

        if (value == null || "".equals(value)) {
            return value;
        }

        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replace("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replace("script", "");

        return value;
    }

}

2.在web.xml中注册该过滤器

<!-- 配置防SQL注入过滤器 -->
    <filter>
        <filter-name>XssFilter</filter-name>
        <filter-class>com.xinrui.flower.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
两只橙
关注
专栏目录
Java XSS跨站脚本攻击防御
qq_37160920的博客
12-06 656
XSS简介: 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到获取cookie,恶意攻击用户的目的。例如url:http://127.0.0.1:8090/project/pages/bumenjiandu/index.jsp?skinType=wh...
java 跨站脚本攻击_XSS(跨站脚本攻击)漏洞解决方案
weixin_33979216的博客
02-21 2021
首先,简单介绍一下XSS定义:一 、 XSS介绍XSS跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目...
Java处理xss漏洞
最新发布
qq_30563727的博客
07-26 295
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
Java跨站脚本攻击XSS)处理技术
Oaklkm的博客
12-18 1619
跨站脚本攻击XSS)是网络攻击非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
跨站脚本漏洞 java_XSS跨站脚本漏洞讲解及防护
weixin_39622905的博客
02-25 478
何为“xss跨站脚本攻击”?百度百科是这么说的:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。百度百科同学解释的很好,不过小白表示还是...
java跨站攻击_安全测试-跨站脚本攻击xss
weixin_39647471的博客
02-20 548
跨站脚本简称XSS(cross sites script),是web安全里比较重要也比较普遍的一种安全漏洞。跨站脚本是指输入恶意的代码,如果程序没有对输入输出进行验证,则浏览器将会被攻击者控制。可以得到用户cookie、系统、浏览器信息,保存型xss还可以进行钓鱼,以获取更多的用户信息。最常见的测试跨站脚本方法,输入alert(1)以及它的各种变体alert(1) 实体%3Cscript%3Ea...
代码审计(Java)——WebGoat_Xss
weixin_45260839的博客
08-16 679
代码审计(Java)——WebGoat_Xss
网络安全学习第8篇 - xss攻击(java实现反射型xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3969
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
JavaWeb期末大作业——网站用户登录功能实现
06-25
JavaWeb,实现网站用户登录功能通常...1. 如何在JavaWeb防止跨站脚本攻击(XSS)? 2. 什么是Session和Cookie的区别,它们在用户登录的作用是什么? 3. 如何在Java使用Spring Security来增强登录系统的安全性?
基础面试题01——JavaWeb
weixin_49064195的博客
05-31 129
1、JSP 和 Servlet 有什么区别? * JSP 经编译后就变成了Servlet(JSP的本质就是Servlet,JVM只能只能识别java的类,不能识别JSP的代码,Web容器将JSP的代码编译成JVM能够识别的java类) * JSP更擅长表现于页面展示,Servlet更擅长于逻辑控制。 * Servlet没有内置对象,JSP 的内置对象都是必须通过 HttpServletRequest 对象,HttpServletResponse 对象以及HttpServlet 对象得到。 *
深入分析javaWeb技术内幕
09-19
可能涉及HTTPS、CSRF(跨站请求伪造)、XSS跨站脚本攻击)防护等主题,这些都是开发者在构建安全Web应用时必须掌握的知识。 最后,书可能会涵盖一些高级话题,如WebSocket实现实时通信,Spring Boot简化...
XSS跨站脚本攻击Java开发防范的方法
01-09
XSS跨站脚本攻击Java开发防范的方法
java方面xss跨站脚本
11-05
工具:xss-html-filter-master的源码 书籍:XSS跨站脚本攻击剖析与防御(完整版) 所需jar: antlr-3.0.1.jar antlr-runtime-3.0.1.jar xssProtect-0.1.jar
Java Web XSS安全防御
05-01
NULL 博文链接:https://bijian1013.iteye.com/blog/2374277
Java 处理跨站点脚本 (XSS)
allway2的博客
07-24 1389
跨站脚本(XSS)是Web应用程序的一种安全漏洞,攻击者通过某种用户输入(如输入框、URL参数、HTML标头等)注入恶意脚本Web应用程序信息的机密性、完整性和可用性。来自用户请求的恶意内容显示给用户,或者在服务器响应后写入页面。例如,在下一个屏幕截图,信用卡号字段很容易受到攻击。例如,在下一个屏幕截图,您可以看到添加了一个脚本作为注释。加载页面时,脚本将作为代码的一部分执行并打印。...
java 跨站脚本_原创干货 | Java代码审计之跨站脚本攻击
weixin_39688378的博客
02-20 520
▼▼01关于跨站脚本攻击跨站脚本攻击(CrossSite Scripting),为不和层叠样式表(CascadingStyle Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。02审计思路XSS一般分为反射型、存储型、DOM型。DOM型比较...
java web xss_JavaWeb xss攻击
weixin_39982933的博客
02-13 175
出处: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.htmlXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序最常见的漏洞。指攻击者在网页嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导...
java跨站攻击_java防范跨站脚本攻击(XSS)
weixin_39743824的博客
02-12 365
网络心提示网站有数目众多的跨站脚本攻击(XSS)漏洞,经过查看代码,认为是JSP绑定变量是未经处理直接写入的,而且整个项目这样的做法太多,因为是多年前的,不好一个个更改,参照网上资料,通过加filter对数据参数进行处理。2、打开项目lucy-xss-servlet-filter,将下载代码输出为jar包.3、将生成的jar包和lucy-xss-servlet-filter引用的jar包放入...
防止XSS跨站脚本攻击Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
JavaWeb——HTTP
10-07
JavaWeb的HTTP指的是在JavaWeb开发使用的超文本传输协议(HTTP)。HTTP是一种简单的请求-响应协议,通常在TCP/IP协议上运行。它通过客户端和服务器之间的交互来传输文本和超文本数据,如HTML、图片、音乐、视频等...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

两只橙

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值