XSS攻击防御的filter实现

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量7.8k 收藏 5
点赞数 1
分类专栏: 技术学习 文章标签: filter xss攻击 filter实现 xss XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Petershusheng/article/details/52396301
版权

XSS攻击的基本概念主要是:
    恶意用户在网页的可输入的地方输入可执行的脚本(如javascript)代码,从而使网页解析执行该脚本代码来达到攻击的效果, 比如在网站上写一篇文章时包含这段代码: ,如果该字符串在后台没有进行XSS攻击防范,就会导致导致其他人访问该文章时网页执行上面的脚本从而alert(1).

防止XSS攻击最主要方式 :
      把特殊标签符号转码,比如把”<”, “>”, “&”等这些特殊字符转码即可防止XSS攻击.

要考虑代码的维护问题,我们不能把太多的XSS防攻击代码侵入到业务代码中, 我们可以使用过滤器的方式来转换编码.在过滤器中获取每一个参数进行转换编码:

做法:
1. 在web.xml中加入filter如下:


    <!--配置XSS防攻击的过滤器-->
    <filter>
        <filter-name>XSSFilter</filter-name>
        <filter-class>com.xxx.xxx.filter.XSSFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XSSFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

编写filter实现如下:
(默认情况下request只有getParameter()方法而没有setParameter方法, 所以默认情况下我们无法将转码后的参数放回request中的, 所以我们需要自己实现一个包装类来处理参数)

package com.xxx.xxx.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 防止XSS攻击的过滤器类
 * @Author yss
 * @Version 1.0
 * @see
 */
public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * @param request 请求
     * @param servletResponse 相应
     * @param filterChain 过滤器链
     * @throws IOException 异常
     * @throws ServletException 异常
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
//自定义request包装类,并把它传入过滤器链
        ParameterRequestWrapper requestWrapper = new ParameterRequestWrapper((HttpServletRequest) request);
        filterChain.doFilter(requestWrapper, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

package com.xxx.xxx.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.Map;

/**
 * request的参数包装类
 * @Author yss
 * @Version 1.0
 * @see
 */
public class ParameterRequestWrapper extends HttpServletRequestWrapper {
    private Map<String , String[]> params = new HashMap<String, String[]>();

    @SuppressWarnings("unchecked")
    public ParameterRequestWrapper(HttpServletRequest request) {
        // 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
        super(request);
        //将参数表,赋予给当前的Map以便于持有request中的参数
        this.params.putAll(request.getParameterMap());
    }

    /**
     * 重写getParameter,代表参数从当前类中的map获取
     * @param name
     * @return
     */
    @Override
    public String getParameter(String name) {
        String[]values = params.get(name);
        if(values == null || values.length == 0) {
            return null;
        }
        String result = values[0];
        result = htmlEncode(result);//转码
        return result;
    }

    public String[] getParameterValues(String name) {//同上
        if(params.get(name) instanceof String[]) {//数组
            int size = ((String[])params.get(name)).length;
            String[] vals = new String[size];
            for(int i=0;i<((String[])params.get(name)).length;i++) {
                String str = htmlEncode(((String[])params.get(name))[i]);//转码
                vals[i] = str;
            }
            return  vals;
        }
         return null;
    }

   public void addAllParameters(Map<String , Object>otherParams) {//增加多个参数
        for(Map.Entry<String , Object>entry : otherParams.entrySet()) {

            addParameter(entry.getKey() , entry.getValue());
        }
    }


    public void addParameter(String name , Object value) {//增加参数
        if(value != null) {
            if(value instanceof String[]) {
                params.put(name , (String[])value);
            }else if(value instanceof String) {
                params.put(name , new String[] {(String)value});
            }else {
                params.put(name , new String[] {String.valueOf(value)});
            }
        }
    }

    /**
     * 对传入的字符串str进行Html encode转换
     * @param value 需要处理的字符串
     * @return 处理后的字符串
     */
    public static String htmlEncode(String value) {
        StringBuffer stringBuffer = new StringBuffer();
        for (int i = 0, len = value.length(); i < len; i++) {
            stringBuffer.append(htmlEncode(value.charAt(i)));
        }
        return stringBuffer.toString();
    }

    /**转码规则:
     * 对每一个字符进行检查,转换字符。
     * @param c
     * @return
     */
    private static String htmlEncode(char c) {
        switch (c) {
            case '&':
                return "&amp;";
            case '<':
                return "&lt;";
            case '>':
                return "&gt;";
            case '"':
                return "&quot;";
            case ' ':
                return "&nbsp;";
            default:
                return c + "";
        }
    }
}

但有一个问题没解决,就是如果提交一个包含文件属性的表单时, 这个filter没法拦截, 测试了几次没找到好的方法, 网上也没有找到关于这方面的解决方案, (自己遇到这种情况时是在业务逻辑中侵入了少量的过滤代码) . 如果各位大大找到包含文件的表单的过滤器实现方案,欢迎留言.

书生杨阳
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java web xss防御_JavaWeb XSS攻击防御
weixin_33985453的博客
02-16 282
XSS概述跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。实现Filter实现XSS过滤器package com.bj58.qf.filter;import javax.servlet.*;import javax.servlet...
Java防止xss攻击附相关文件下载
08-25
保持对最新的安全实践和框架更新的了解,定期对开发团队进行安全编码培训,提高他们对XSS攻击的认识和防御能力。 总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发...
SpringBoot防御Xss攻击 Filter方式实现
hk1909的博客
05-07 1236
导入依赖 <!-- xss --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.4</version> </dependency>
Java Xss漏洞拦截
chenqqabcdchenqqabcd的专栏
05-29 300
xss ,Java,filter
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 5183
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
用SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 1440
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御
关于XSS攻击及其防御
Wang的专栏
06-04 3792
【代码】关于XSS攻击及其防御
深入理解XSS攻击防御
Jeffrey20170812的博客
11-05 1042
深入理解XSS攻击防御What is XSSXSS攻击的类型XSS攻击原理XSS攻击危害XSS攻击方法How to defense XSS防御原则:永远不要相信用户的输入。防御措施部分参考资料总结 What is XSS 首先可以先看一段英文原文介绍: Cross-site scripting (XSS) is a type of injection security attack in whi...
xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4755
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
SpringBoot项目XSS攻击过滤防御实现
weixin_45818787的博客
09-02 2957
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
SpringBoot 防御Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9097
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
XSS跨站脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
.NET Core XSS 攻击防御方法 在 ASP.NET 编程中,XSS 攻击是一种常见的安全威胁,它允许恶意用户将代码植入到提供给其他用户使用的页面中。为防御 XSS 攻击,需要对用户输入的数据进行过滤和sanitization。本文将...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
idea报错:[2016-08-31 09:20:10,763] Artifact xxx:war exploded: Error during artifact deployment.
热门推荐
书生的博客
08-31 9万+
[2016-08-31 09:20:10,763] Artifact newClassProject1:war exploded: Error during artifact deployment. See server log for details.[2016-08-31 09:20:10,764] Artifact newClassProject1:war exploded: com.in
idea 导入非maven项目时引入lib的jar方法
书生的博客
08-31 1万+
在myeclipse中的建立的非maven项目如果想导入到idea中,会出现无法识别lib的情况,按照下图操作即可. 点击project structure 按钮: 然后按照下图,点击1,2,3,就出现下图的3三个选项,选择jars and directories 选项,然后在弹出的目录框中选择自己项目中的lib目录.点击确定,即可出现下图中箭头对应的选项,这样即可让lib目录正常发挥作用.
NoSuchMethodError: com.google.common.util.concurrent.MoreExecutors.sameThreadExecutor
书生的博客
02-22 1万+
遇到下面这个异常, 很抓鸡有木有… Caused by: java.lang.NoSuchMethodError: com.google.common.util.concurrent.MoreExecutors.sameThreadExecutor()Lcom/google/common/util/concurrent/ListeningExecutorService; 异常如下: Excepti...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值