HttpServletRequestWrapper 实现xss注入

最新推荐文章于 2023-05-05 22:54:39 发布
最新推荐文章于 2023-05-05 22:54:39 发布
阅读量6.8k 收藏 8
点赞数
分类专栏: javaweb 文章标签: 自定义拦截器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mid120/article/details/53897550
版权
本文介绍了如何通过自定义HttpServletRequestWrapper和过滤器来实现对HTTP请求的拦截,从而有效防止XSS跨站脚本攻击。详细讲解了自定义wapper的实现过程以及过滤器的配置和应用。
摘要由CSDN通过智能技术生成
自定义一个wapper 实现 HttpServletRequestWrapper
package cn.baozun.crm.task.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 *
 * <p>xss过滤</p>
 * @author dexter.qin
 * @version $Id: XssHttpServletRequestWrapper.java, v 0.1 2014-2-27 下午2:28:30 qinde Exp $
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        retu
最低0.47元/天 解锁文章
mid120
关注
专栏目录
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1440
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper实现参数的修改,然后用Http...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7052
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
HttpServletRequestWrapper通过filter做XSS
小松鼠米老鼠
06-26 3432
XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestW...
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 187
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
HttpServletRequestWrapper 实现xss注入 跨站点脚本编制
neusoft-mengxiaoming的专栏
07-23 1109
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter &lt;filter&gt; &lt;filter-name&gt;XssEscape&lt;/filter-name&gt; ...
sql注入XSS攻击可通过 继承HttpServletRequestWrapper重写request实现修改request请求
wst260的博客
12-25 1235
首先创建一个类继承ServletRequestWrapper类,重写request请求 import java.io.StringReader; import java.io.StringWriter; import java.text.CharacterIterator; import java.text.StringCharacterIterator; import javax.serv...
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1337
Web安全常见攻击手段 XSS、SQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
HttpServletRequestWrapper
05-08
这是一个关于HttpServletRequestWrapper使用的列子,工作需要,所以传上来的。
vue xss 存在_防止XSS脚本注入-前端vue、后端springboot
weixin_35952534的博客
01-15 1772
防止XSS脚本注入-前端、后端作者时间雨中星辰2020-09-10xss是什么跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。xss脚本注入演示通过表单,先添加一个数据,其中一条数据为脚本插入数据刷新页面刷新页面从截图看,注入的脚本已经执...
SpringMVC XSSHttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5867
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1370
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
HttpServletRequestWrapper和jsp:param之间的问题及XSS防御
08-29 713
为了防止xss攻击 ,写了个过滤器 又写了个类通过继承HttpServletRequestWrapper实现在过滤器中修改request的值, 功能实现了,但现在出现一个新问题, 如果jsp页面有jsp:param这个标签 那jsp:param得值在过滤器直接给过滤掉了 就是说jsp:include的另外一个jsp再拿jsp的值 拿不到…..
HttpServletRequest在Spring中的获取和注入 @Autowired注入Request
最新发布
chenthe1的专栏
05-05 3556
在最近一次团队review代码时,团队成员发现有将HttpServletRequest 直接通过@Autowired注入的情况,于是大家产生了一个疑问,HttpServletRequest并非Spring中的类,且在没有手动通过@Bean的方式注入,Spring是怎么做到帮开发者完成注入的?同时,我们知道ioc容器中默认注入的Bean是单例,而每个请求都是独立的,这样不会出问题吗?为了研究明白为什么,我找了些资料,同时写了个简单的demo研究了下。
HttpServletRequest用法总结
进击的ITgo
02-08 846
1.HttpServletRequest概述我们在创建Servlet时会覆盖service()方法,或doGet()/doPost(),这些方法都有两个参数,一个为代表请求的request和代表响应response。service方法中的request的类型是ServletRequest,而doGet/doPost方法的request的类型是HttpServletRequestHttpServl...
java 代码实现xssFilter
03-28
以下是一个基本的Java代码实现XSS过滤器的示例: ``` import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSFilterRequestWrapper extends HttpServletRequestWrapper { public XSSFilterRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = xssClean(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return xssClean(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return xssClean(value); } private String xssClean(String value) { if (value != null) { // 防止脚本注入 Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // 防止表单重定向 scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止脚本注入 scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止HTML标签注入 scriptPattern = Pattern.compile("<", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll("<"); scriptPattern = Pattern.compile(">", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(">"); } return value; } } ``` 这个过滤器实现了`javax.servlet.http.HttpServletRequestWrapper`接口,重写了三个方法: - `getParameterValues`:过滤所有参数值并返回过滤后的结果数组。 - `getParameter`:过滤单个参数值并返回过滤后的结果。 - `getHeader`:过滤HTTP头部并返回过滤后的结果。 它使用正则表达式来替换所有可能的XSS攻击代码,并将结果返回给调用者。使用该过滤器可以大大提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值