Java防止XSS攻击--https://www.cnblogs.com/myyBlog/p/8890365.html

最新推荐文章于 2023-09-28 22:29:23 发布
最新推荐文章于 2023-09-28 22:29:23 发布
阅读量419 收藏
点赞数 2

20190118 xjh 使用第一种方法亲测有效

方法一:

1.添加XssFilter 

复制代码

@Configuration
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
        filterChain.doFilter(new XssHttpServletRequestWrapper(request),servletResponse);
    }

    @Override
    public void destroy() {

    }
}

复制代码

2.添加XssHttpServletRequestWrapper.java类

复制代码

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  
  
    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
  
    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  
  
    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }  
      
}

复制代码

自此,即能实现,

假如在网站的文本框输入<script>alert("OK");</script>,

提交到数据库后保存的数据为:&amp;lt;script&amp;gt;alert(&amp;quot;OK&amp;quot;);&amp;lt;/script&amp;gt;

 方法二:

1.添加XssFilter ,(同上)

2..添加XssHttpServletRequestWrapper.java类

 XssHttpServletRequestWrapper

两种方法,原理一致只是写法不一样,

第二种写法保存到数据库为:scriptalert("OK");/script

a363722188
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
php代码-https://www.ouorz.com/233
07-15
标题 "php代码-https://www.ouorz.com/233" 暗示这是一个与PHP编程相关的资源,可能是一个示例代码库或者一个小型PHP项目。PHP是一种广泛使用的开源服务器端脚本语言,尤其适合Web开发,可以嵌入到HTML中使用。这个...
java web 防止xss注入
hw1287789687的专栏
08-27 233
Java web中如何防止xss 注入呢? 首先讨论第一个问题:存到数据库中的是转码之后的还是转码之前的? 转码之后: 转码之前:  结论是:存到数据库中的就是转码之前的.为什么呢? 因为xss 攻击只存在PC web端,如果数据库中存储的就是转码之后的,那么手机app显示出来不就有问题了么?   所以最终的做法就是在PC web端 转码: 转码方法: escape= fun...
java 防止 XSS 攻击的常用方法总结
Geek_ymv的专栏
12-21 726
参考博客 http://ju.outofmemory.cn/entry/54043 http://www.yihaomen.com/article/java/409.htm import java.io.IOException; import java.util.ArrayList; import java.util.Arrays; import java.util.List; i
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 669
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 2093
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
高级java笔试题-Web-Security-Learning:网络安全学习https://chybeta.github.io/2017/08
06-03
高级java笔试题 在学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。 同步更新于: 01月29日更新: 新收录文章 mysql MSSQL postgresql 前端安全 php java-Web redis SSTI 信息...
cj.rar_cj_http://cjmanager.
09-19
5. **安全性措施**:防止SQL注入、XSS攻击等网络安全问题。 【标签】"cj http://cjmanager." 重申了这个项目与 "cjmanager." 的关联,可能表明这是该项目的标识或者特定的版本号。 在【压缩包子文件的文件名称列表...
java1.5源码-java://由bloggerplugins.org提供的最新帖子脚本varpostTitleOriginal,myLin
05-19
Java 1.5源码Java //由bloggerplugins.org提供的最新帖子脚本var postTitleOriginal,myLink,myDiv,myImage,mySeparator; var main; var float_clear = false; var标志= 0; 函数bprecentpostswiththumbnails...
开源bbs源码java-Software-and-System-Security:xss/sql注入/shellcode/内存管理/二进制安全
06-07
软件安全概述+xss攻击入门 [作业:xss复现] 软件安全 三大问题 有什么安全问题,安全问题产生的原因 二进制方面 内存相关问题 有明确的机制 例子:缓冲区溢出,空指针,格式化字符串 逻辑错误问题 多种多样 Web方面 ...
预防XSS攻击,(参数/响应值)特殊字符过滤
xyjikl
12-17 823
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站
Java实现XSS防御
热门推荐
宏微的博客
07-25 2万+
XSS概述跨站脚本攻击(Cross Site Scripting)
java 防止xss和sql注入
gentle!!
02-07 1035
java 防止Xss、SQL注入攻击
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
JAVAhtml中提取纯文本
m0_37712901的博客
08-03 3778
1、应用场景:从一份html文件中或从String(是html内容)中提取纯文本,去掉网页标签; 2、代码一:replaceAll搞定 [java] view plain copy //从html中提取纯文本   public static String StripHT(String strHtml) {        String txtco
java web xss_javaWeb项目如何防止xss攻击详解
weixin_42131316的博客
02-13 790
关于xss的概念和解决方案网上很多,这里主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。其中,输入时的过...
ESAPI简介
dz45693的专栏
12-29 5900
ESAPI是一个免费、开源的Web应用程序安全控制组件,可以帮助编程人员开发低风险应用程序。    ESAPI是OWASP组织的一个开源项目,网址是: http://www.owasp.org/index.php/ESAPI    ESAPI很适合一个新的开发项目的安全组件,各版本的ESAPI包含如下基本设计: 具有一个安全接口集; 对每一种安全控制有一种参考实现;
https://dvwa.co.uk/
最新发布
04-29
然后,你进入DVWA目录并运行“./dvwa.sh”来启动DVWA应用。 3. 登录DVWA:你可以在Web浏览器中输入“http://localhost/dvwa”来访问DVWA练习平台,并使用默认的用户名“admin”和密码“password”来登录DVWA。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值