防止xss攻击与sql注入

最新推荐文章于 2024-02-22 21:57:33 发布
最新推荐文章于 2024-02-22 21:57:33 发布
阅读量192 收藏
点赞数
文章标签: java javascript 数据库 ViewUI
原文链接:http://www.cnblogs.com/jackgaolei/p/5262027.html
版权
防止xss攻击与sql注入

XSS

xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制。Xss脚本攻击类型分为:非持久型xss攻击、持久型xss攻击。

1.非持久型xss攻击是一次性的,仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接,用户访问该链接时,被植入的攻击脚本被用户游览器执行,从而达到攻击目的。

2.持久型xss攻击会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。

 

防止Xss攻击:过滤表单提交的数据,将可疑的内容去掉。

1.继承HttpServletRequestWrapper类,使用装饰模式重写HttpServletRequest的获取参数方法

package com.soufun.wap.servlet;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class XSSRequestWrapper extends HttpServletRequestWrapper {
	public XSSRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
	}

	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if ("pageChildren".equals(parameter)) {
			return values;
		}
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = stripXSS(values[i]);
		}
		return encodedValues;
	}

	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		return stripXSS(value);
	}

	private String stripXSS(String value) {
		if (null != value) {
			value = value.replaceAll("<", "<").replaceAll(">", ">");
			value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
			value = value.replaceAll("'", "'");
			value = value.replaceAll("eval\\((.*)\\)", "");
			value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
			value = value.replaceAll("script", "");
			value = StringEscapeUtils.escapeSql(value);
		}
		return value;
	}
}

 

2.创建拦截器

package com.soufun.wap.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.soufun.wap.servlet.XSSRequestWrapper;

public class SqlXssFilter implements Filter {

	public void init(FilterConfig config) throws ServletException {
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		chain.doFilter(new XSSRequestWrapper(req), response);
	}

	public void destroy() {
	}
}

  

3.配置拦截器

	<filter>
		<filter-name>sqlXssFilter</filter-name>
		<filter-class>com.soufun.wap.filter.SqlXssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>sqlXssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

 

SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

防止sql注入的方法主要有:

1.使用存储过程

2.校验输入的字符串

3.参数化sql

在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,用@或?来表示参数。

 

posted on 2016-03-10 15:14  jackgaolei 阅读( ...) 评论( ...) 编辑 收藏

转载于:https://www.cnblogs.com/jackgaolei/p/5262027.html

aguiyi3968
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
springboot项目防止XSS攻击sql注入
yy1209357299的博客
02-07 3502
springboot项目防止XSS攻击sql注入
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
程序员小明1024
03-22 604
1. XSS跨站脚本攻击 ① XSS漏洞介绍 跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击! ② XSS漏洞分类 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或...
springboot防止XSS攻击sql注入
最新发布
02-22 1162
springboot防止XSS攻击sql注入
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_30539835的博客
01-18 220
https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,...
实验二、XSSSQL注入
weixin_30525825的博客
05-21 544
一、 实验目的 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 二、 系统环境:Kali Linux2、Windows 三、 网络环境:交换网络结构 四、 实验工具:AWVS(Acunetix Web Vulnar...
Yii框架防止sql注入xss攻击与csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入xss攻击与csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入xss攻击与csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击sql注入.zip
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1713
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案
xv7676的博客
05-10 964
对web安全方面的知识非常薄弱,这篇文章把Xss跨站攻击和sql注入的相关知识整理了下,希望大家多多提意见。对于防止sql注入发生,我只用过简单拼接字符串的注入及参数化查询,可以说没什么好经验,为避免后知后觉的犯下大错,专门参考大量前辈们的心得,小小的总结一下,欢迎大家拍砖啊。
SQL注入XSS攻击
neverSaynever_的博客
02-20 1580
攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。这里不仅仅 div 的内容被注入了,而且 input 的 value 属性也被注入, alert 会弹出两次。我们永远不要信任用户的输入,我们必须认定用户输入的数据都是不安全的,我们都需要对用户输入的数据进行过滤处理。XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。
XSS攻击SQL注入
m0_51920627的博客
11-23 852
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA XSS部分:利用Beef劫持被攻击者客户端浏览器 1.利用AWVS扫描目标网站,发现
常见网络攻击及防御方法总结(XSSSQL注入、CSRF攻击)
xiaohui的博客
04-05 3718
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
如何防止SQL注入XSS攻击和CSRF攻击
weixin_37657720的博客
02-23 2154
        SQL注入:mysqli_real_escape_string()转义关键字符;         XSS攻击:alert把一些cookie信息打印出来;过滤掉&lt;&gt;等关键字符串         CSRF攻击:跨站攻击。防止:token,验证码...
springboot如何实现使用过滤防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值