JSP过滤器防止Xss漏洞

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量1.2w 收藏 9
点赞数 2
分类专栏: Web 前端 JAVA沉思录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Smile_7x/article/details/19169467
版权
   在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

XssFilter.java

package filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

public void init(FilterConfig config) throws ServletException {
}

public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException 
{
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}

public void destroy() {
}
}



 

 

XssHttpServletRequestWrapper.java
 

 

package filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
}

/**
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}

/**
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
* getHeaderNames 也可能需要覆盖
*/
@Override
public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}

/**
* 将容易引起xss漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static String xssEncode(String s) {
if (s == null || s.isEmpty()) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '>':
sb.append('>');//全角大于号
break;
case '<':
sb.append('<');//全角小于号
break;
case '\'':
sb.append('‘');//全角单引号
break;
case '\"':
sb.append('“');//全角双引号
break;
case '&':
sb.append('&');//全角
break;
case '\\':
sb.append('\');//全角斜线
break;
case '#':
sb.append('#');//全角井号
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}

/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if(req instanceof XssHttpServletRequestWrapper){
return ((XssHttpServletRequestWrapper)req).getOrgRequest();
}

return req;
}
}


 

 

在web.xml中添加
 

 

 <filter>
<filter-name>xssFilter</filter-name>
<filter-class>filter.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>xssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
 

 

 


                

        

        

    




    

      

        

            

              
                
                  Smile_7x
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    2
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    9
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
JavaWeb之防止XSS攻击

				
			

			

				

					qq_37630321的博客
				

				

					03-07
					
					2778
					
				

			

		

		

			
				
XSS攻击
XSS攻击,言而言之,就是脚本攻击,下面向大家展示一下脚本攻击

使用过滤器来解决XSS攻击

代码:
1、过滤器
/**
 * 解决XSS攻击的过滤器
 * @author 紫炎易霄
 */
public class XssFilter implements Filter{
	@Override
	public void init(FilterConfig filterConfig)...

			
		

	



                

              
                



	

		

			

				
					
JSP使用过滤器防止Xss漏洞

				
			

			

				

					10-17
				

			

		

		

			
				
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。  首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...

			
		

	



                


  
              

                


	

		

			

				
					
JSP过滤器防止Xss漏洞的实现方法(分享)

				
			

			

				

					10-19
				

			

		

		

			
				
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
jsp 前端防止 xss 注入攻击

				
			

			

				

					玩家六的专栏
				

				

					04-19
					
					8748
					
				

			

		

		

			
				
对输出到 html 上的值做过滤操作,主要可以使用如下两种方式:HtmlEncode方式:var HtmlEncode = function(str){
    var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');
    var preescape = str;
    var e

			
		

	



		

			
		



	

		

			

				
					
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器

					
最新发布

				
			

			

				

					weixin_73588491的博客
				

				

					07-05
					
					6868
					
				

			

		

		

			
				
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。

			
		

	





	

		

			

				
					
Java Web使用过滤器防止Xss攻击,解决Xss漏洞    防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper

				
			

			

				

					飞熊的博客
				

				

					10-11
					
					2577
					
				

			

		

		

			
				
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。


package com.yl.filter;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
i

			
		

	





	

		

			

				
					
JSP过滤器防止Xss漏洞的实现方法(分享).docx

				
			

			

				

					01-20
				

			

		

		

			
				
JSP过滤器提供了一种更为统一和高效的方式来解决这个问题。在上述例子中,我们创建了一个名为`XssFilter`的Servlet过滤器,它实现了`javax.servlet.Filter`接口。这个过滤器在请求到达业务层之前拦截它们,并使用`...

			
		

	





	

		

			

				
					
jsp防止xss攻击

				
			

			

				

					lilovfly的专栏
				

				

					08-04
					
					6635
					
				

			

		

		

			
				
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下:
 ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。

			
		

	





	

		

			

				
					
JSP spring boot / cloud 使用filter防止XSS

				
			

			

				

					01-08
				

			

		

		

			
				
JSP spring boot / cloud 使用filter防止XSS
一.前言
XSS(跨站脚本攻击)
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
二.思路
基于filter拦截,将特殊字符替换为html转意字符 (如: “<” 转意为 “<“) , 需要拦截的点如下:
  请求头 requestHeader
  请

			
		

	





	

		

			

				
					
jsp防止xss转义方法

				
			

			

				

					huyuminNo1的专栏
				

				

					08-19
					
					2054
					
				

			

		

		

			
				
输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。 比如:在输入框,输入姓名“张三confirm(123)” 如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞xss漏洞很好预防,只要转码就行了。 预防方式,只要输出时做处理: (1)jtsl:&lt;c:out value="${name}" ...

			
		

	





	

		

			

				
					
javascript过滤XSS

				
			

			

				

					05-06
				

			

		

		

			
				
用javascript写的过滤XSS代码,危险代码被转义而不是被删除.
根目录下js-xss-master/dist/test.html是例子.

			
		

	





	

		

			

				
					
jsp自定义标签过滤XSS安全字符

				
			

			

				

					jianjun2114的博客
				

				

					04-18
					
					898
					
				

			

		

		

			
				
1.创建自定义标签类


public class XssTag extends SimpleTagSupport {

   @Override
    public void doTag() throws JspException, IOException {
        
    }

    
}


2.创建xss.tld文件,并注册标签类


<?xml version="1...

			
		

	





	

		

			

				
					
jsp过滤非法字符输入,防止XSS跨站攻击

				
			

			

				

					zhangzhifei1991的专栏
				

				

					10-20
					
					1399
					
				

			

		

		

			
				
一。写一个过滤器
代码如下:
package com.liufeng.sys.filter;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.Filter

			
		

	





	

		

			

				
					
jsp过滤非法字符输入 防止XSS跨站攻击

				
			

			

				

					Love~jiaojiao的博客
				

				

					04-12
					
					6297
					
				

			

		

		

			
				
一。写一个过滤器

 

代码如下:

 

package com.liufeng.sys.filter;

 

import java.io.IOException;

import java.io.PrintWriter;

 

import javax.servlet.Filter;

import javax.servlet.FilterCha

			
		

	





	

		

			

				
					
如何防止XSS攻击?

				
			

			

				

					qq_32907491的博客
				

				

					08-08
					
					347
					
				

			

		

		

			
				
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。

			
		

	





	

		

			

				
					
前端安全系列(一):如何防止XSS攻击?

				
			

			

				

					Innocence_0的博客
				

				

					12-31
					
					1685
					
				

			

		

		

			
				
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。

			
		

	





	

		

			

				
					
post攻击 xxs_如何拦截post请求的xss攻击

				
			

			

				

					weixin_42298093的博客
				

				

					01-28
					
					1249
					
				

			

		

		

			
				
publicclassXssHttpServletRequestWrapperextendsHttpServletRequestWrapper{//白名单数组privatestaticfinalString[]WHITE_LIST={"content"};//定义script的正则表达式privatestaticfinalStringREGEX_SCRIPT="...

			
		

	





	

		

			

				
					
jsp 页面script标签xss漏洞

				
			

			

				

					08-19
				

			

		

		

			
				
JSP(JavaServer Pages)是一种用于开发动态Web页面的Java技术。在JSP页面中,可以使用script标签来包含JavaScript代码。xss(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意的脚本代码,使得用户的浏览器执行这些脚本并达到攻击目的。

对于JSP页面中的script标签,存在一些潜在的XSS漏洞,这些漏洞主要来源于两个方面。

首先,通过动态生成的页面内容,如果不经过合适的处理就直接输出到script标签中,就可能导致XSS漏洞。攻击者可以在输入框中输入恶意脚本代码,并提交给服务器,服务器将此代码动态生成到JSP页面中的script标签中,当用户访问该页面时,恶意脚本就会被执行,从而对用户造成安全威胁。

其次,对于从其他地方获取的数据,如果没有进行适当的过滤和验证,也可能导致XSS漏洞。比如从URL参数、表单数据、cookie等位置获取的数据,如果直接被输出到JSP页面的script标签中,也可能被攻击者利用。

为了解决这些XSS漏洞,我们可以采取一些有效的措施。比如对用户输入的数据进行合适的过滤和转义,确保使用合适的编码方式输出到script标签中,可以使用如JSTL的c:out标签或者其他安全的输出方式。另外,对于从其他位置获取的数据,也要进行合适的验证和过滤,确保输出到script标签中的数据是安全可信的。

总之,对于JSP页面中的script标签,我们需要意识到可能存在的XSS漏洞,并采取适当的措施进行防范,以保护用户的信息安全。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值