Java编写Filter实现防止XSS攻击

最新推荐文章于 2024-07-11 17:44:10 发布
最新推荐文章于 2024-07-11 17:44:10 发布
阅读量1.2k 收藏 4
点赞数
分类专栏: web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Charygus/article/details/100037171
版权

什么是XSS攻击

  • XSS攻击 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。(摘自百度百科)
  • SQL注入: SQL注入指的是发生在Web应用对后台数据库查询语句处理存在的安全漏洞,简单的说,就是在输入字符串中嵌入SQL指令,在设计程序中忽略了对特殊字符串的检查,这些嵌入的指令便会被误认为正常的SQL指令,在数据库中执行,因此可以对后台数据库进行查看等工作,甚至破快后台数据库造成严重后果。

使用过滤器防止

  • 使用转换过滤或拦截非法请求字符来防止XSS攻击
    **编写防止XSS攻击的XssFilter **
public class XssFilter implements Filter {
 
 
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,
			ServletException {
		
			XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
			(HttpServletRequest) request);
			filterChain.doFilter(xssRequest, response);
		
	}
	
	 public void init(FilterConfig conf) throws ServletException { 
		 System.out.println("PreventXSSInject Filter staring..."); 
         System.out.println(); 
	 }
	 
	 public void destroy() { 
         
	 } 
 
}

编写防止SQL注入的SqlInjectFilter

public class SqlInjectFilter implements Filter {
	private static List<String> invalidsql = new ArrayList<String>(); 
    private static String error = "/sqlerrors.jsp"; 
    private static boolean debug = false; 
     
    public void destroy() { 
         
    } 
    public void doFilter(ServletRequest req, ServletResponse res, 
            FilterChain fc) throws IOException, ServletException { 
       //防sql关键字注入
    	if(debug){ 
            System.out.println("prevent sql inject filter works"); 
        } 
        HttpServletRequest request = (HttpServletRequest)req; 
        HttpServletResponse response = (HttpServletResponse)res; 
        Map<String, String> params = request.getParameterMap(); 
        Set<String> keys = params.keySet(); 
        for(String key : keys){ 
            String value = request.getParameter(key); 
            if(debug){ 
                System.out.println("process params <key, value>: <"+key+", "+value+">"); 
            } 
            for(String word : invalidsql){ 
                if(word.equalsIgnoreCase(value) || value.contains(word)){ 
                    if(value.contains("<")){ 
                        value = value.replace("<", "<"); 
                    } 
                    if(value.contains(">")){ 
                        value = value.replace(">", ">"); 
                    } 
                    if(value.contains("(")){ 
                    	value = value.replace("(", "("); 
                    }
                    if(value.contains(")")){ 
                    	value = value.replace(")", ")"); 
                    }
                    request.getSession().setAttribute("sqlInjectError", "您输入的参数值  \""+value+"\" 中包含关键字: \""+word+"\""); 
                    response.sendRedirect(request.getContextPath()+error); 
                    return; 
                } 
            } 
        } 
        fc.doFilter(req, res);
    } 
    public void init(FilterConfig conf) throws ServletException { 
        String sql = conf.getInitParameter("invalidsql"); 
        String errorpage = conf.getInitParameter("error"); 
        String de = conf.getInitParameter("debug"); 
        if(errorpage != null){ 
            error = errorpage; 
        } 
        if(sql != null){ 
            //invalidsql = Arrays.asList(sql.split(" ")); 
        	String[] sqlarr = sql.split(" ");
        	for(String sqlword:sqlarr){
        		invalidsql.add(sqlword);
        	}
        	invalidsql.add("<");
            invalidsql.add(">");
            invalidsql.add("(");
            invalidsql.add(")");
        } 
        if(de != null && Boolean.parseBoolean(de)){ 
            debug = true; 
            System.out.println("PreventSQLInject Filter staring..."); 
            System.out.println("print filter details"); 
            System.out.println("invalid words as fllows (split with blank):"); 
            for(String s : invalidsql){ 
                System.out.print(s+" "); 
            } 
            System.out.println(); 
            System.out.println("error page as fllows"); 
            System.out.println(error); 
            System.out.println(); 
        }
    }
}

XSS包装器 XssHttpServletRequestWrapper.java


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	HttpServletRequest orgRequest = null;
 
	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}
 
	/**
	* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
	* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	*/
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}
 
	/**
	* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
	* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
	* getHeaderNames 也可能需要覆盖
	*/
	@Override
	public String getHeader(String name) {
 
		String value = super.getHeader(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}
 
	/**
	* 将容易引起xss漏洞的半角字符直接替换成全角字符
	*
	* @param s
	* @return
	*/
	private static String xssEncode(String s) {
		if (s == null || "".equals(s)) {
			return s;
		}
		StringBuilder sb = new StringBuilder(s.length() + 16);
		for (int i = 0; i < s.length(); i++) {
			char c = s.charAt(i);
			switch (c) {
			case '>':
				sb.append('>');//全角大于号
				break;
			case '<':
				sb.append('<');//全角小于号
				break;
			case '\'':
				sb.append('‘');//全角单引号
				break;
			case '\"':
				sb.append('“');//全角双引号
				break;
			case '&':
				sb.append('&');//全角
				break;
			case '\\':
				sb.append('\');//全角斜线
				break;
			case '#':
				sb.append('#');//全角井号
				break;
			case '(':
				sb.append('(');//全角井号
				break;
			case ')':
				sb.append(')');//全角井号
				break;
			default:
				sb.append(c);
				break;
			}
		}
		return sb.toString();
	}
 
	/**
	* 获取最原始的request
	*
	* @return
	*/
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}
 
	/**
	* 获取最原始的request的静态方法
	*
	* @return
	*/
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssHttpServletRequestWrapper) {
			return ((XssHttpServletRequestWrapper) req).getOrgRequest();
		}
 
		return req;
	}
 
}

最后在web.xml中配置filter

<!-- XSS过滤器 -->
	<filter>
	    <filter-name>XssFilter</filter-name>
	    <filter-class>
	        com.megait.jgjz.web.filter.XssFilter
	    </filter-class>
	</filter>
	<filter-mapping>
	    <filter-name>XssFilter</filter-name>
	    <url-pattern>/*</url-pattern>
	</filter-mapping>
	<!-- SQL关键词注入过滤器 -->
  <filter> 
     <filter-name>PreventSqlInject</filter-name> 
     <filter-class>com.megait.jgjz.web.filter.SqlInjectFilter</filter-class> 
     <!-- filter word, split with blank --> 
     <init-param> 
         <param-name>invalidsql</param-name> 
         <param-value>select insert delete from update create where union destory drop alter and or like exec count chr mid master truncate char declare ; - ' % | $ % @ " + cr lf , . script document eval</param-value> 
     </init-param> 
     <!-- error page --> 
     <init-param> 
         <param-name>error</param-name> 
         <param-value>/sqlerrors.jsp</param-value> 
     </init-param> 
     <!-- debug -->     
     <init-param> 
         <param-name>debug</param-name> 
         <param-value>true</param-value> 
     </init-param> 
   </filter> 
   <filter-mapping> 
     <filter-name>PreventSqlInject</filter-name> 
     <url-pattern>/*</url-pattern> 
   </filter-mapping>

最后因为脚本注入 则使页面跳转到error.jsp页面


<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%> 
 <% 
 String path = request.getContextPath(); 
 %> 
 <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> 
 <html> 
   <head> 
   	<meta http-equiv="Pragma" contect="no-cache">
     <title>防sql注入系统</title> 
   </head> 
    
   <body> 
     这个是防sql注入系统,自动过滤您的请求,请更换请求字符
     <%=session.getAttribute("sqlInjectError")%>
   </body> 
 </html>
VihoTzT
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计】XSS篇
大河之犬的博客
12-16 1万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2698
跨站脚本攻击,为不和层叠样式表的缩混淆,故将跨站脚本攻击缩为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
xss filter
xiaomin1991222的专栏
11-25 128
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
【xss】java 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 1022
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
使用filter过滤xss攻击
lionzl的专栏
12-02 1413
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
【xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4900
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩XSS。 XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 379
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩混淆,故将跨站脚本攻击缩为XSS。恶意攻击者往Web页面里插入恶意html代码...
XSS攻击Filter
qq_35830057的博客
11-26 254
private String stripXSS(String value) { if (value != null) { // NOTE: It‘s highly recommended to use the ESAPI library and uncomment the following line to // avoid e...
javaxss攻击_浅谈如何防御xss攻击
weixin_35025310的博客
02-21 862
笔前闲聊最近都在一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。认识xss首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入...
预防XSS攻击和SQL注入XssFilter
07-23
这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS...
springmvc4配置防止XSS攻击的方法
04-05
本文将详细介绍在Java开发框架Spring MVC中,如何配置防止XSS攻击的策略。在此过程中,也会提及如何对SQL注入进行防范。 在Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。...
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
java web Xss及sql注入过滤器.zip
04-22
1. **过滤器实现**:一个名为`XssSqlFilter`的类,该类实现了`Filter`接口,用于拦截HTTP请求,检查并清理请求参数,防止XSS攻击。过滤器的配置通常在`WebSecurityConfig`类中完成,通过`@EnableWebSecurity`注解...
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2721
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
java过滤器过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 601
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章中,其实已经讲到了。...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1228
将参数中有关xss攻击的非法字符全部处理掉。
java 防XSS过滤处理过滤器
深望的博客
11-06 3038
防止XSS攻击的过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2608
java防止XSS攻击
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7760
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
java 代码实现xssFilter
03-28
(本篇文章中,本人将会详细讨论区块链的安全性问题。首先,简要介绍区块链技术及其应用,接着分别从技术安全、网络安全、隐私安全三个方面,探讨区块链技术面临的安全挑战以及相应的解决方案。最后,总结全文并提出未来研究方向) 一、引言 区块链是一种去中心化、分布式的账本技术,其最初的应用是比特币,用于记录交易信息。随着区块链技术的不断发展,越来越多的应用场景被发掘出来,如数字资产交易、供应链金融、电子票据等。然而,与其它技术一样,区块链也存在安全性问题,这些问题的解决将直接影响到区块链技术的发展和应用。本文将从技术安全、网络安全、隐私安全三个方面,探讨区块链技术面临的安全挑战以及相应的解决方案。 二、技术安全 技术安全是指区块链技术本身的安全性。区块链技术的安全性主要包括以下方面: 1、共识算法 共识算法是区块链技术的核心,其作用是确保每个节点都对区块链中的信息达成一致。在共识过程中,可能会出现拜占庭将军问题,导致恶意节点的攻击。为此,区块链技术采用了多种共识算法,如工作量证明、权益证明、拜占庭容错等,以保证共识的正确性和安全性。 2、智能合约 智能合约是区块链技术的又一重要组成部分,其作用是通过编写程序代码,实现自动化的合约执行和资产转移。然而,智能合约也存在被攻击的风险,如DOS攻击、重入攻击等。为此,区块链技术需要加强智能合约的安全性设计,采用代码审计、漏洞修复等方式,提高智能合约的安全性。 3、密钥管理 密钥管理是区块链技术中的重要组成部分,其作用是确保账户的安全性。然而,密钥管理也存在一些问题,如密码弱、密码泄露等。为此,区块链技术需要加强密钥管理的安全性设计,采用多重签名、硬件钱包等方式,提高密钥管理的安全性。 三、网络安全 网络安全是指区块链技术在网络传输过程中的安全性。网络安全主要包括以下方面: 1、节点攻击 节点攻击是指攻击者通过攻击节点,篡改区块链中的信息。为此,区块链技术需要加强节点的安全性设计,采用节点隔离、节点备份等方式,提高节点的安全性。 2、DDoS攻击 DDoS攻击是指攻击者通过攻击网络,使得网络无法正常运行。为此,区块链技术需要加强DDoS攻击的防范,采用网络隔离、网络流量控制等方式,提高网络的安全性。 3、防火墙 防火墙是指在网络传输过程中,通过过滤和监控网络流量,保证网络的安全性。为此,区块链技术需要加强防火墙的安全性设计,采用规则管理、流量控制等方式,提高防火墙的安全性。 四、隐私安全 隐私安全是指区块链技术中的隐私信息的安全性。隐私安全主要包括以下方面: 1、匿名性 匿名性是区块链技术的一大特点,其作用是保护用户的隐私信息。然而,匿名性也存在一些问题,如双重支付、洗钱等。为此,区块链技术需要加强匿名性的安全性设计,采用交易追踪、节点监控等方式,提高匿名性的安全性。 2、数据隐私 数据隐私是指区块链技术中的数据信息的安全性。为此,区块链技术需要加强数据隐私的安全性设计,采用加密算法、数据脱敏等方式,提高数据隐私的安全性。 3、合规性 合规性是指区块链技术的合法性和合规性。为此,区块链技术需要加强合规性的安全性设计,遵守相关法律法规,提高合规性的安全性。 五、总结与展望 总之,区块链技术的安全性问题是影响其发展和应用的重要因素。本文从技术安全、网络安全、隐私安全三个方面,探讨了区块链技术面临的安全挑战以及相应的解决方案。未来,随着区块链技术的不断发展和应用,其安全性问题也将不断涌现。因此,我们需要加强对区块链技术的安全性研究,提出更加全面和有效的解决方案,以保证区块链技术的可持续发展和应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值