struts解决xss攻击

最新推荐文章于 2024-06-01 13:14:29 发布
最新推荐文章于 2024-06-01 13:14:29 发布
阅读量822 收藏 1
点赞数
分类专栏: Java 网络安全 文章标签: xss
原文链接:https://www.yisu.com/ask/1029.html
版权

struts解决xss攻击

struts解决xss攻击的方法:

1.采用struts2的拦截器过滤,将提交上来的参数转码来解决,例如配置struts.xml,代码如下:
下面展示一些 内联代码片

<package name="default" namespace="/" extends="struts-default, json-default">
    <!-- 配置拦截器 -->
    <interceptors>

      <!-- 定义xss拦截器 -->
      <interceptor name="xssInterceptor" class="...此处填写拦截器类名"></interceptor>

      <!-- 定义一个包含xss拦截的拦截栈 -->
      <interceptor-stack name="myDefault">
        <interceptor-ref name="xssInterceptor"></interceptor-ref>
        <interceptor-ref name="defaultStack"></interceptor-ref>
      </interceptor-stack>
    </interceptors>

    <!-- 这个必须配置,否则拦截器不生效 -->
    <default-interceptor-ref name="myDefault"></default-interceptor-ref>

    <action>
    ...此处省略n个action
    </action>
</package>

2.使用Java代码,拦截器实现类,例如:

import java.util.Map;
import org.apache.commons.lang3.StringEscapeUtils;
import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

public class XssInterceptor extends AbstractInterceptor {
  @Override
  public String intercept(ActionInvocation invocation) throws Exception {
    // TODO Auto-generated method stub
    ActionContext actionContext = invocation.getInvocationContext();
    Map<String, Object> map = actionContext.getParameters();
    for (Map.Entry<String, Object> entry : map.entrySet()) {
      String value = ((String[])(entry.getValue()))[0];
      entry.setValue(StringEscapeUtils.escapeHtml4(value));//将提交上来的字符串进行转码
      //System.out.println((entry.getValue()));
    }
    return invocation.invoke();
  }
}
点滴进步
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2拦截器添加及xss攻击的处理
彬哥哥的博客
06-21 5322
struts2拦截器添加及xss攻击的处理
java struts2防止xss_拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式
weixin_34481252的博客
02-13 632
使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2的XSS攻击进行拦截过滤防御解决Struts2.3本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml:...此处省略n个actionJava代码,拦截器实现类:importjava.util.Map;importorg...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
JSP Struts过滤xss攻击解决办法
01-08
JSP Struts过滤xss攻击解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
Struts 2 防御存储型XSS攻击
coderWang
11-07 321
Struts中拦截XSS攻击可以通过配置拦截器来实现。
java struts2防止xss_GitHub - Xiang-do/Struts-S2-xxx: 整理收集Struts2漏洞环境
weixin_33978451的博客
02-16 557
Struts-S2-xxxStruts 漏洞2017年Struts被爆出的漏洞比以往多了很多,抽时间整理一下其中的环境以及POC和漏洞分析,学习一下其中的漏洞原理和分析,防御,以后如果再次爆发这样漏洞的时候,也能够自己试着分析一下,不用再去傻傻的等着了。S2-001 利用表单错误进行远程代码利用S2-002 标签 和 XSS漏洞S2-003 XWork ParameterInterceptors...
structs1.x避免XSS攻击的方法
weixin_34195546的博客
06-29 510
<form-validation> <global> <constant> <constant-name>FIELD_INPUT_MASK</constant-name> <constant-value><![CDATA...
js 监听iframe 内部接口是否请求完成_接口安全性测试技术(6):XSS
weixin_39861054的博客
12-03 403
什么是XSS跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入的Script代码会被执行,从而达到恶意攻击用户的目的。XSS类型1.反射式XSS反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时 候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、...
Struts网站基于Filter的XSS漏洞修复
乔布斯基的博客
06-25 2031
1,关于XSS漏洞的知识,网上有很多文档,例如点击打开链接 2,关于XSS漏洞修复的知识也有很多,本文对本人修复XSS做下记录 3,Spring 中 XSS漏洞修复的可以参考 点击打开链接 4,但是以上方法仅仅适用于Spring 的修复,Struct有自己的拦截包装机制,完整的 Struct 中 Xss 漏洞修复,可以参考 点击打开链接 5,但是以上对Struct中Xss漏洞修复的代码有点
struts2 预防xss攻击
weixin_42070436的博客
09-19 2095
struts2 预防xss攻击什么是XSS攻击举个例子代码 最近接触了一个比较老的项目用的ssh框架 甲方测试提出了这个xss漏洞 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种...
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
跨站脚本漏洞
weixin_46729085的博客
09-08 3743
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
【杂记-浅谈XSS跨站脚本攻击】
叫我小虎就行了的博客
05-31 617
【杂记-浅谈XSS跨站脚本攻击】
xss靶场之xss.haozi
weixin_46954909的博客
06-01 557
这题显而易见的是括号不能使用了,我们的办法是替代法和进行编码,使用`来替代()或者使用编码的方式来替代掉括号,但要注意的是,script不能解析编码,所以script标签不能用编码的方式。这题没什么好说的,就是闭合+注释,搭配上script语句就可以了,虽然将&,’”<>/\都编码了,但是这就是典型的骗自己,因为即时编码了,但在img标签里也是能解析的,所以相当于徒劳。这题我们观察到直接输入,他是在input语句的属性值中,无法执行我们的js语句,所以我们的思路也是直接闭合掉语句,执行js语句。
基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
06-01
web期末作业设计网页 基于springboot+vue+MySQL实现的在线考试系统+源代码+文档
318_面向物联网机器视觉的目标跟踪方法设计与实现的详细信息-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
FPGA Verilog 计算信号频率,基础时钟100Mhz,通过锁相环ip核生成200Mhz检测时钟,误差在10ns
最新发布
06-02
结合等精度测量原理和原理示意图可得:被测时钟信号的时钟频率fx的相对误差与被测时钟信号无关;增大“软件闸门”的有效范围或者提高“标准时钟信号”的时钟频率fs,可以减小误差,提高测量精度。 实际闸门下被测时钟信号周期数为X,设被测信号时钟周期为Tfx,它的时钟频率fx = 1/Tfx,由此可得等式:X * Tfx = X / fx = Tx(实际闸门)。 其次,将两等式结合得到只包含各自时钟周期计数和时钟频率的等式:X / fx = Y / fs = Tx(实际闸门),等式变换,得到被测时钟信号时钟频率计算公式:fx = X * fs / Y。 最后,将已知量标准时钟信号时钟频率fs和测量量X、Y带入计算公式,得到被测时钟信号时钟频率fx。
Vue解决xss脚本攻击
07-25
Vue 框架本身并不能直接解决 XSS(跨站脚本攻击)问题,但可以采取一些措施来减轻和防止这类攻击的发生。下面是一些常见的方法: 1. 使用模板语法:Vue 的模板语法会自动对插值进行 HTML 转义,这可以防止恶意脚本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值