JAVA WEB中处理防SQL注入|防XSS跨站脚本攻击(咋个办呢 zgbn)

最新推荐文章于 2024-04-06 10:01:20 发布
最新推荐文章于 2024-04-06 10:01:20 发布
阅读量3.6k 收藏 2
点赞数
分类专栏: 技术讨论 java spring 文章标签: java XXS spring springmvc sql注入工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ai_zxc/article/details/78653347
版权
技术讨论 同时被 3 个专栏收录
60 篇文章 0 订阅
订阅专栏
java
41 篇文章 0 订阅
订阅专栏
spring
20 篇文章 0 订阅
订阅专栏

JAVA WEB中处理防SQL注入|防XSS跨站脚本

在java web项目中,必然会涉及到从客户端向服务端提交数据,那么由于服务端对数据的处理等动作,会因为字符串拼接和使用的特殊性,存在一些漏洞被人利用。

这篇文章,主要介绍一下在java web项目中,程序设计上在什么位置进行集中处理,我想这一点还是比较重要的,我经常遇到一些新手也知道对提交数据进行处理,但是苦于不知道在什么位置处理,最终用了很low的方式,每次使用都处理一遍。

不多说话,直接上代码。

Servlet方式,通过Filter统一处理。

在java web项目中添加一个自定义的Filter类XSSFilter,用来拦截所有的请求,并对所有请求中的数据进行集中的处理。

注意:XssHttpServletRequestWrapper 这个自定义类的使用,下面会介绍这个类的用途。

import java.io.IOException;

import javax. servlet.Filter;

import javax. servlet.FilterChain;

import javax. servlet.FilterConfig;

import javax. servlet.ServletException;

import javax. servlet.ServletRequest;

import javax. servlet.ServletResponse;

import javax. servlet. http. HttpServletRequest;

publicclass XSSFilter implements Filter {

    FilterConfig filterConfig = null;

    publicvoid init (FilterConfig filterConfig) throws ServletException {

        this. filterConfig = filterConfig;

    }

    publicvoid destroys () {

        this. filterConfig = null;

    }

    publicvoid doFilter (ServletRequest request, ServletResponse response, FilterChain chain)

             throws IOException, ServletException {

        chain. doFilter (new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

    }

}

很多新手而言集中处理所有请求,我想大家很容易想到通过Filter接口来处理,但是苦于Filter接口的doFilter(request, response, charn)中的request对象中的请求数据无何奈何,因为java.util.Map所包装的HttpServletRequest对象的参数是不可改变的。
但是java官方必然也会注意到这个问题,从而给出解决方案,所以HttpServletRequestWrapper工具类就出现了。
下面我们看一下官方HttpServletRequestWrapper类的说明。

API 原文:
Provides a convenient implementation of the HttpServletRequest interface that can be subclassed by developers wishing to adapt the request to a Servlet.
This class implements the Wrapper or Decorator pattern. Methods default to calling through to the wrapped request object.

翻译:
提供一个方便,可以定义由开发人员要适应Servlet请求HttpServletRequest接口的实现。
该类实现了Wrapper接口。方法默认调用经过Wrapper包装的request对象。

import javax. servlet. http. HttpServletRequest;
import javax. servlet. http. HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper (HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    public String [] getParameterValues (String parameter) {
        String [] values = super. getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values. length;
        String [] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
       return encodedValues;
    }
    public String getParameter (String parameter) {
        String value = super. getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
    public String getHeader (String name) {
        String value = super. getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }

    private String cleanXSS (String value) {
        //建议下面片段使用StringBuffer对象处理。
        value = value. replaceAll ("<", "& lt;"). replaceAll (">", "& gt;");
        value = value. replaceAll ("\\ (", "& #40;"). replaceAll ("\\)", "& #41;");
        value = value. replaceAll ("'", "& #39;");
        value = value. replaceAll ("eval\\ ((. *)\\)", "");
        value = value. replaceAll ("[\\\"\\\’] [\\s] *javascript:(. *)[\\\"\\\']", "\"\"");
        value = value. replaceAll ("script", "");

        return value;
    }
}

最后不要忘记在配置中声明一下Filter

<filter>

    <filter-name>XssSqlFilter</filter-name>

    <filter-class>com.servlet.XSSFilter</filter-class>

</filter>

<filter-mapping>

    <filter-name>XssSqlFilter</filter-name>

    <url-pattern>/*</url-pattern>

    <dispatcher>REQUEST</dispatcher>

</filter-mapping>

基于SpringMVC中的拦截器集中处理

在使用SpringMVC框架来说,集中处理一些事情还是比较容易的,Spring提供Interceptor机制,如果用的好的话,可以省去很多事情,不多说了,直接看代码吧。


import org.springframework.web. servlet.HandlerInterceptor;

import org.springframework.web. servlet.ModelAndView;

import javax. servlet. http. HttpServletRequest;

import javax. servlet. http. HttpServletResponse;

import java. util. Enumeration;

/** 
  * 防止SQL注入的拦截器  
  */
publicclass SqlInjectInterceptor implements HandlerInterceptor {

    publicboolean preHandle(HttpServletRequest request,HttpServletResponse response, Object o) throws Exception {

        Enumeration names = request.getParameterNames ();

        while (names. hasMoreElements()) {

             String name = (String) names.nextElement();

             String[] values = request.getParameterValues(name);

             for (String value: values) {

                 value = clearXss(value);

             }

        }

        returntrue;

    }

    publicvoid postHandle(HttpServletRequest request,HttpServletResponse response, Object o, ModelAndView modelAndView) throws Exception {



   }

    publicvoidafterCompletion(HttpServletRequest request,HttpServletResponse response, Object o, Exception e)
             throws Exception {

    }

    /** 
      * 处理字符转义 
      * @param value * @return 
      */
    private String clearXss (String value) {

        if (value == null || "".equals(value)) {

             returnvalue;

        }
        //建议下面片段使用StringBuffer对象处理。
        value = value. replaceAll ("<", "<"). replaceAll (">", ">");

        value = value.replaceAll("\\(", "(").replace("\\)", ")");

        value = value. replaceAll ("'", "'");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replace("script", "");

        returnvalue;

    }

}
咋个办呢
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XSS攻击SQL注入XssFilter
05-19
对于脚本攻击,黑客界共识是:脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
Java使用过滤器XSS脚本注入
踮脚敲代码
12-17 6171
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
如何SQL注入脚本攻击
m0_47946173的博客
01-02 910
SQL注入脚本攻击XSS)是网安全的重要组成部分。以下是一些建议来止这些攻击
JAVA如何XSSSQL 注入攻击
最新发布
p13993233504的博客
04-06 413
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程,使用提供内置护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以止加载来自不可信源的资源。
Java Web项目抵御脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2179
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
javaXSS(脚本攻击)攻击的常用方法总结
热门推荐
码在飞博客
07-13 1万+
一、什么是XSS攻击XSS攻击脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将脚本攻击缩写为XSS。 二、如何预XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 配置 filter的时候,请将这个 filter 放在第一位. 采用开
java过滤脚本攻击_SpringBoot过滤XSS脚本攻击
weixin_33900916的博客
02-24 304
前排提醒源码在最后XSS攻击是什么XSS攻击全称脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web客户将代码植入到提供给其它客户使用的页面。简而言之,就是作恶客户通过表单提交少量前台代码,假如不做解决的话,这些前台代码将会在展现的时候被浏览器执行。如何避免...
XSS脚本攻击剖析与
04-28
XSS脚本攻击剖析与御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS脚本攻击Java开发范的方法
01-09
XSS脚本攻击Java开发范的方法
xss脚本攻击与预
11-04
xss脚本攻击与预.rar,包含《XSS脚本攻击剖析与御(完整版).pdf》 与 xss-html-filter-master.zip 针对脚本有详细说明与预工具
XSS脚本攻击剖析与御.pdf
05-16
XSS脚本攻击剖析与御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
ASP.NET脚本攻击漏洞修补文件aspx版 v1.0
03-16
脚本攻击漏洞修补文件aspx版,使用方法:1.将App_Code目录拷贝到web根目录   假如已经存在App_Code目录,那直接把App_Code目录里的360safe.cs文件拷贝到当前的App_Code目录即可。   2.将Global.asax文件拷贝到web根目录   假如已经存在Global.asax文件,那直接复制指定代码到Global.asax看,具体代码请参阅压缩包内的使用说明。 运行环境:
java 脚本攻击_XSS(脚本攻击)漏洞解决方案
weixin_33979216的博客
02-21 1940
首先,简单介绍一下XSS定义:一 、 XSS介绍XSS脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目...
Java 处理脚本 (XSS)
allway2的博客
07-24 1311
脚本(XSS)是Web应用程序的一种安全漏洞,攻击者通过某种用户输入(如输入框、URL参数、HTML标头等)注入恶意脚本Web应用程序信息的机密性、完整性和可用性。来自用户请求的恶意内容显示给用户,或者在服务器响应后写入页面。例如,在下一个屏幕截图,信用卡号字段很容易受到攻击。例如,在下一个屏幕截图,您可以看到添加了一个脚本作为注释。加载页面时,脚本将作为代码的一部分执行并打印。...
java 攻击脚本过滤工具类
qq_34874784的博客
11-23 389
java 攻击脚本过滤工具类
面向 JAVA 开发人员的 XSS脚本)入门
allway2的博客
07-24 1655
另一种常用的XSS攻击机制会安装一个脚本,将毫无戒心的用户重定向到另一个点,该点似乎是他们所在点的登录页面。XSS攻击的目标之一是劫持用户的会话,从而控制用户的帐户。XSS漏洞使恶意脚本能够通过描述字段传送到受害者的浏览器,这会将他们的浏览器重定向到攻击者创建的凭据收集点(由攻击托管的点,并且看起来像EBay点),这会提示他们登录。这些包括将受害者的计算机变成僵尸网络的奴隶,扫描受害者的网络,安装一个键盘记录器来记录每个键入的键,或者使计算机被用作进一步攻击的启动点。...
攻击Java_XSS脚本攻击 攻击——御 策略分析【转】
weixin_33812391的博客
03-01 628
摘要:一、概述< h2>①XSS 是什么< h3>脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器执行恶意 JavaS 一、概述①XSS 是什么脚本攻击(XSS)是一种代码注入攻击攻击者利用它可以在其它用户浏览器执行恶意 JavaScript。攻击者并不是直接面对受害者。而是,为了让网替自己传输恶意 JavaScript,攻击者需...
java 脚本_原创干货 | Java代码审计之脚本攻击
weixin_39688378的博客
02-20 465
▼▼01关于脚本攻击脚本攻击(CrossSite Scripting),为不和层叠样式表(CascadingStyle Sheets,CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。02审计思路XSS一般分为反射型、存储型、DOM型。DOM型比较...
sql注入问题
坤健的博客
08-22 254
mybatis的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql。 如:where us...
xss脚本攻击剖析与御 (邱永华著)
12-22
XSS脚本攻击剖析与御》是邱永华所著的一本关于网络安全的专业著作。本书详细介绍了XSS脚本攻击的原理、技术及御手段。 XSS脚本攻击是一种常见的Web应用程序安全漏洞,攻击者通过注入恶意脚本代码进入受害者的浏览器,实现对用户数据的窃取、篡改、破坏等恶意行为。在《XSS脚本攻击剖析与御》这本书,作者首先深入剖析了XSS攻击的原理和实现方式,让读者了解XSS攻击的各种形式和危害。 针对XSS脚本攻击,书还提出了一些御手段和技术,包括输入过滤、输出编码、Cookie安全以及安全HTTP头等方法,帮助Web开发人员和安全专家有效地范和应对XSS攻击。 总的来说,《XSS脚本攻击剖析与御》这本书系统地介绍了XSS脚本攻击的相关知识和御技术,对于从事网络安全工作的人员来说,是一本非常有价值的参考书籍。通过学习这本书,读者可以深入了解XSS攻击的原理、分析和范方法,提升自身的网络安全意识和能力,更好地保护自己和他人的网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值