Java防止跨站脚本(XSS)注入攻击

最新推荐文章于 2024-08-23 08:52:11 发布
最新推荐文章于 2024-08-23 08:52:11 发布
阅读量4.3k 收藏 2
点赞数
XSS攻击的危害性
,也通过
模拟案例了解了XSS攻击原理
,这里就介绍一下如何防御XSS攻击。
采用Filter技术,对所有参数都进行过滤,处理方案为:
1. 含有html标签做转义。
2. 含有敏感的html脚本,直接处理掉。
 
XSS Filter源码:


package com.what21.filter.xss;
 
import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XSSFilter implements Filter {
 
    // XSS处理Map
    private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
     
    public void init(FilterConfig filterConfig) throws ServletException {
        // 含有脚本: script
        xssMap.put("[s|S][c|C][r|R][i|C][p|P][t|T]", "");
        // 含有脚本 javascript
        xssMap.put("[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']", "\"\"");
        // 含有函数: eval
        xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");
        // 含有符号 <
        xssMap.put("<", "&lt;");
        // 含有符号 >
        xssMap.put(">", "&gt;");
        // 含有符号 (
        xssMap.put("\\(", "(");
        // 含有符号 )
        xssMap.put("\\)", ")");
        // 含有符号 '
        xssMap.put("'", "'");
        // 含有符号 "
        xssMap.put("\"", """);
    }
     
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // 强制类型转换 HttpServletRequest
        HttpServletRequest httpReq = (HttpServletRequest)request;
        // 构造HttpRequestWrapper对象处理XSS
        HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
        // 
        chain.doFilter(httpReqWarp, response);
 
    }
 
    public void destroy() {
         
    }
}


package com.what21.filter.xss;
 
import java.util.Map;
import java.util.Set;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public final class HttpRequestWrapper extends HttpServletRequestWrapper {
 
    private Map<String, String> xssMap;
     
    public HttpRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    public HttpRequestWrapper(HttpServletRequest request,
            Map<String, String> xssMap) {
        super(request);
        this.xssMap = xssMap;
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        // 遍历每一个参数,检查是否含有
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
 
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
 
    }
 
    /**
     * 清除恶意的XSS脚本
     * 
     * @param value
     * @return
     */
    private String cleanXSS(String value) {
        Set<String> keySet = xssMap.keySet();
        for(String key : keySet){
            String v = xssMap.get(key);
            value = value.replaceAll(key,v);
        }
        return value;
    }
}


<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.what21.filter.xss.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>


FYWT98
关注
java的SQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发,安全问题一直备受关注,其SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入注入恶意的SQL代码,从而篡改、查询或者删除数据库的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击跨站脚本攻击)**则是通过在Web页面注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 1004
漏洞描述:本页面存在跨站脚本攻击跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
XSS跨站脚本攻击Java开发防范的方法
01-09
XSS跨站脚本攻击Java开发防范的方法
XSSMAP:网页应用的XSS漏洞侦探
最新发布
gitblog_00305的博客
08-23 393
XSSMAP:网页应用的XSS漏洞侦探 xssmapXSSMap 是一款基于 Python3 开发用于检测 XSS 漏洞的工具项目地址:https://gitcode.com/gh_mirrors/xs/xssmap 在数字时代,网络安全成为了每个开发者的必修课,而跨站脚本攻击(Cross-Site Scripting, XSS)无疑是众多威胁最为常见且狡猾的一种。为了帮助开发者们更好地检测和...
java 防止 XSS 攻击的常用方法总结.
每天积累一点,一年后你会发现,自己变化很大
02-13 1万+
在前面的一篇文章,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用如何去防
Java的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
java防止xss注入攻击
辰辰呐的博客
11-10 6604
后面附录有三个.java文档 1.把文档拷进项目(最好建立一个单独的包存放),然后修改引入路径,看到不报错那么第一步完成。 2.打开web.xml配置文件 xssFilter cn.parent.xss.XssFilter xssFilter /* 测试: 在输入框输入 cript>alert('aa') 点击提交或
Java防止xss攻击附相关文件下载
08-25
XSS跨站脚本攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意代码,影响其他用户的浏览器。以下是一些关于Java防止XSS攻击的关键知识点: 1. **使用Filter拦截器**: 在Java Web...
java反射行跨站脚本攻击_Web安全之防止XSS跨站脚本攻击
weixin_32589453的博客
02-24 1162
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSSXSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植...
java web 防止xss注入
weixin_34128411的博客
05-11 100
Java Web如何防止xss 注入呢? 首先讨论第一个问题:存到数据库的是转码之后的还是转码之前的? 转码之后: 转码之前: 结论是:存到数据库的就是转码之前的.为什么呢? 因为xss 攻击只存在PC web端,如果数据库存储的就是转码之后的,那么手机app显示出来不就有问题了么? 所以最终的做法就是在PC web端 转码: 转码方法:...
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
Java 防止Xss跨站攻击
quliuwuyiz的博客
03-04 675
依赖Jar包,&lt;dependency&gt;    &lt;groupId&gt;javax.servlet&lt;/groupId&gt;    &lt;artifactId&gt;jstl&lt;/artifactId&gt;    &lt;version&gt;1.2&lt;/version&gt;&lt;/dependency&gt;package com.utils
java防止xss脚本注入攻击,采用spring工具类方式
11-29 2801
StringEscapeUtils.escapeHtml(value); StringEscapeUtils.escapeJavaScript(value); StringEscapeUtils.escapeSql(value);
java 防止 XSS 攻击的常用方法总结
爱吃鱼油
03-23 810
过滤器拦截所有的请求对特殊字符进行转义。 import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Set; import java.util.Map.Entry; import javax.servlet.Fil
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
qq_35320491的博客
07-11 1212
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值