防止xss攻击与sql注入

最新推荐文章于 2024-09-19 07:15:00 发布
最新推荐文章于 2024-09-19 07:15:00 发布
阅读量4.2k 收藏 3
点赞数
分类专栏: java 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JACKGAOLEI/article/details/50997351
版权

XSS

xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。

1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

2.持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。

 

防止Xss攻击:过滤表单提交的数据,将可疑的内容去掉。

1.继承HttpServletRequestWrapper类,使用装饰模式重写HttpServletRequest的获取参数方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
package  com.soufun.wap.servlet;
 
import  javax.servlet.http.HttpServletRequest;
import  javax.servlet.http.HttpServletRequestWrapper;
 
import  org.apache.commons.lang.StringEscapeUtils;
 
public  class  XSSRequestWrapper  extends  HttpServletRequestWrapper {
     public  XSSRequestWrapper(HttpServletRequest servletRequest) {
         super (servletRequest);
     }
 
     @Override
     public  String[] getParameterValues(String parameter) {
         String[] values =  super .getParameterValues(parameter);
         if  ( "pageChildren" .equals(parameter)) {
             return  values;
         }
         if  (values ==  null ) {
             return  null ;
         }
         int  count = values.length;
         String[] encodedValues =  new  String[count];
         for  ( int  i =  0 ; i < count; i++) {
             encodedValues[i] = stripXSS(values[i]);
         }
         return  encodedValues;
     }
 
     @Override
     public  String getParameter(String parameter) {
         String value =  super .getParameter(parameter);
         return  stripXSS(value);
     }
 
     private  String stripXSS(String value) {
         if  ( null  != value) {
             value = value.replaceAll( "<" "<" ).replaceAll( ">" ">" );
             value = value.replaceAll( "\\(" "(" ).replaceAll( "\\)" ")" );
             value = value.replaceAll( "'" "'" );
             value = value.replaceAll( "eval\\((.*)\\)" "" );
             value = value.replaceAll( "[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']" "\"\"" );
             value = value.replaceAll( "script" "" );
             value = StringEscapeUtils.escapeSql(value);
         }
         return  value;
     }
}

2.创建拦截器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
package  com.soufun.wap.filter;
 
import  java.io.IOException;
 
import  javax.servlet.Filter;
import  javax.servlet.FilterChain;
import  javax.servlet.FilterConfig;
import  javax.servlet.ServletException;
import  javax.servlet.ServletRequest;
import  javax.servlet.ServletResponse;
import  javax.servlet.http.HttpServletRequest;
 
import  com.soufun.wap.servlet.XSSRequestWrapper;
 
public  class  SqlXssFilter  implements  Filter {
 
     public  void  init(FilterConfig config)  throws  ServletException {
     }
 
     public  void  doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  throws  IOException, ServletException {
         HttpServletRequest req = (HttpServletRequest) request;
         chain.doFilter( new  XSSRequestWrapper(req), response);
     }
 
     public  void  destroy() {
     }
}

  

3.配置拦截器

1
2
3
4
5
6
7
8
< filter >
     < filter-name >sqlXssFilter</ filter-name >
     < filter-class >com.soufun.wap.filter.SqlXssFilter</ filter-class >
</ filter >
< filter-mapping >
     < filter-name >sqlXssFilter</ filter-name >
     < url-pattern >/*</ url-pattern >
</ filter-mapping >

 

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

防止sql注入的方法主要有:

1.使用存储过程

2.校验输入的字符串

3.参数化sql

在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。




JACKGAOLEI
关注
专栏目录
java 防止XssSQL注入攻击
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Web攻击手段之XSS攻击,CRSF, SQL注入攻击
chenglinhust的专栏
06-05 2914
Web攻击手段之XSS攻击,CRSF, SQL注入攻击       1.  XSS攻击        XSS攻击的全称是跨站脚本攻击,指的是攻击者在网页中嵌入恶意脚本程序,当用户打开该网页时,脚本程序便开始在客户端的浏览器上执行,以盗取客户端cookie,用户名密码,下载执行病毒密码程序,甚至是获取客户端admin权限等。              2.  CRSF攻击    
常见网络攻击及御方法总结(XSSSQL注入、CSRF攻击)
xiaohui的博客
04-05 4467
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶
Java中的安全编码实践:如何防止SQL注入XSS攻击
最新发布
省赚客开发者博客
09-19 451
在Java开发中,防止SQL注入XSS攻击是确保应用安全的关键步骤。通过使用预编译语句和ORM框架可以有效防止SQL注入,而通过输入验证、输出编码和使用安全的Web框架可以有效防止XSS攻击。最有效的防止SQL注入的方法是使用预编译语句(PreparedStatement),它将SQL语句与数据分离,避免了恶意数据被执行为SQL代码。使用对象关系映射(ORM)框架,如Hibernate或JPA,也能有效防止SQL注入,因为这些框架内部使用了安全的查询构造方法。类对HTML内容进行编码,防止XSS攻击
web安全之Xss攻击Sql注入
沉默的鲨鱼的专栏
10-01 2343
我没有专门学过web安全方面的知识,但是作为开发者,基本的安全意识还是要有的。 说说之前遇到的web中的两个安全问题,一是Sql注入,而是Xss攻击Sql注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里
XSS攻击sql注入
u010287873的博客
03-21 179
速度
前端XSS 攻击与SQL注入 处理
qq_34419312的博客
09-05 5751
前端XSS 攻击与SQL注入 处理
XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
防止xsssql注入:JS特殊字符过滤正则
10-27
为了防止XSS攻击,我们需要对用户输入进行净化,过滤掉可能导致脚本执行的特殊字符。 接着,我们来看SQL注入SQL注入是攻击者通过在输入数据中插入恶意SQL语句,使得数据库执行非预期的操作,可能泄露敏感数据或...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击sql注入.zip
SQL注入XSS攻击
neverSaynever_的博客
02-20 1756
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
struts2技巧,笔记.zip指定404,500页面 utf-8过滤器 SQL注入 解决乱码
01-24
struts2技巧,笔记.zip 指定404,500页面 utf-8过滤器 SQL注入 解决乱码
Web安全之XSSSQL注入
古月林夕のblog
06-18 7176
一、 前言近几年,伴随互联网的高速发展,对Web安全问题的重视也越来越高。Web应用所面临的威胁来自很多方面,其中黑客的破坏是影响最大的,黑客利用Web应用程序存在的漏洞进行非法入侵,从而破坏Web应用服务,盗取用户数据等,如何范漏洞带来的安全威胁是一项艰巨的挑战。 为了增强用户的交互体验,开发者们在Web应用程序中大量应用客户端脚本,使Web应用的内容与功能变得丰富有趣,然而隐藏的安全威胁随之
XSSSQl注入
天马行空的创作中心
11-22 165
XSS攻击全称跨站脚本攻击(cross-site scripting ),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 XSS攻击的危害包括 1、盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号 2、控制企业...
网络渗透测试实验三 XSSSQL注入
weixin_62599268的博客
11-22 730
网络渗透测试实验三 XSSSQL注入
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值