java 防止 XSS 攻击的常用方法总结

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量758 收藏 1
点赞数
分类专栏: Spring JavaSE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Geek_ymv/article/details/53783154
版权

参考文章:

http://ju.outofmemory.cn/entry/54043

http://www.yihaomen.com/article/java/409.htm

import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.StringUtils;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;
import org.springframework.web.filter.OncePerRequestFilter;

import com.geekymv.utils.PreviewTextUtils;
import com.geekymv.wrapper.XSSRequestWrapper;


public class XSSFilter extends OncePerRequestFilter {

	private PathMatcher matcher = new AntPathMatcher();  
	/**
	 * 不过滤的url
	 */
	private List<String> excludeUrls = new ArrayList<String>();
	/**
	 * 不过滤的参数
	 */
	private List<String> excludeParams = new ArrayList<String>();
	
	public void setExcludeUrls(String excludeUrls) {
		if(StringUtils.isNotBlank(excludeUrls)) {
			String[] exStrings =  excludeUrls.split(",");
			if(exStrings == null || exStrings.length == 0) {
				return;
			}
			for (String uri : exStrings) {
				this.excludeUrls.add(PreviewTextUtils.replaceBlank(uri));
			}
		}
	}
	
	public void setExcludeParams(String excludeParams) {
		if(StringUtils.isNotBlank(excludeParams)) {
			String[] exStrings = excludeParams.split(",");
			if(exStrings == null || exStrings.length == 0) {
				return;
			}
			for (String param : exStrings) {
				this.excludeParams.add(PreviewTextUtils.replaceBlank(param));
			}
		}
	}
	
	@Override
	protected void doFilterInternal(HttpServletRequest request,
			HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		String uri = request.getRequestURI();
		String contextPath = request.getContextPath();
		if(StringUtils.isNotBlank(uri) && StringUtils.isNotBlank(contextPath)) {
			int length = contextPath.length();
			uri = uri.substring(length);
		}
		boolean flag = false;
		for (String  excludeUrl: excludeUrls) {
			if(matcher.match(excludeUrl, uri)) {
				flag = true;
				break;
			}
		}
		if(flag) {
			filterChain.doFilter(request, response);
		}else {
			// 获取不包含的参数
			List<String> paramNames = new ArrayList<String>();
			for (String param : excludeParams) {
				String[] values = param.split(":"); // /aaa/test:(content|desc)
				String exUri = values[0];
				if(matcher.match(exUri, uri)) {
					String params = values[1]; // (content|desc)
					paramNames = Arrays.asList(params.substring(1, params.length()-1).split("\\|"));
					break;
				}
			}
			if(paramNames != null && !paramNames.isEmpty()) {
				// 有不需要过滤的参数
				filterChain.doFilter(new XSSRequestWrapper(request, paramNames), response);
			}else {
				filterChain.doFilter(new XSSRequestWrapper(request), response);
			}
		}
	}

}


Geek_ymv
关注
专栏目录
java的SQL注入与XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和防范SQL注入和XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入和XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
java根据白名单过滤html,防止XSS攻击方法-使用白名单过滤html标签
weixin_36469247的博客
06-08 1222
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容解决方法一:jsoup工具类org.jsoupjsoup1.8...
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
Java防止xss攻击
VicCreator
03-29 3798
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml XssEscape www.ablanxue.com.filter.XssFilter XssEscape /*
XSS(跨站脚本攻击)详解 (下)
我不生产数据,只是数据的搬运工
02-03 789
XSS(跨站脚本攻击)详解 (下) Hack9月5日 XSS漏洞的简单攻击测试 反射型XSS: 先放出源代码 //前端 1.html:<html><head lang="en"> <meta charset="UTF-8"> ...
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
java防御xss攻击
jackaney的专栏
12-23 328
. 关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.es...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 579
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同学对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 395
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
XSS 防御方法总结
weixin_30486037的博客
02-26 113
转自:https://www.cnblogs.com/digdeep/p/4695348.html 关闭浏览器xss拦截: 正则:匹配任何不可见字符,包括空格、制表符、换页符等等 使用\s表示。 (1)转字符转义在客户端或者服务端做都行。 (...
有效预防xss_防止xss攻击的有效方法
weixin_33343681的博客
12-24 2318
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。问题描述:在页面上有个隐藏域:XML/HTML Code复制内容到剪贴板当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上如果此时action被用户恶意修改为:***"alert(1);"***此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。解决思路:该问题...
如何防止XSS攻击
qq_36752945的博客
07-20 7732
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
如何防止XSS攻击
半夏_2021的博客
05-05 6444
如何防止XSS攻击
Java 防止XSS攻击
qq_40224726的博客
01-02 220
防止XSS 攻击集成springboot(详细) https://blog.csdn.net/bnxf_xv/article/details/89187126 确实很详细记录一下,以前也写过方式方法不太一样,但是道理相同
java 防止 XSS 攻击
维馨梦之恋的博客
08-28 1161
本人在做某项目中,存在通过电子邮件模板消息存储XSS,因为前端使用富文本编辑框编辑html,但在后端保存的时候,并没有进行xss过滤,因此存在xss问题。 经过研究,本项目使用https://github.com/OWASP/java-html-sanitizer清理所有包含html标记的字段,这些字段可以防止xss攻击。 public class HtmlUtil { private...
javaxss攻击特殊字符转换为html实体
最新发布
09-15
Java防止XSS(跨站脚本攻击)时,对用户输入的内容通常需要进行特殊的处理,以防恶意插入HTML标签或脚本执行。对于特殊字符,一种常见的做法是将其转换为HTML实体。例如: 1. **`htmlspecialchars()`函数**:这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值