java防止xss脚本注入攻击,采用spring工具类方式

最新推荐文章于 2025-08-30 22:33:30 发布
转载 最新推荐文章于 2025-08-30 22:33:30 发布 · 2.9k 阅读 · 4

本文介绍了一种通过自定义请求包装器XSSRequestWrapper和过滤器XSSFilter来防御XSS攻击及附带SQL注入风险的方法。XSSRequestWrapper通过重写getParameterValues、getParameter和getHeader方法对输入进行转义处理,而XSSFilter则负责创建并应用该包装器。 
XSSRequestWrapper.java 

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 处理参数值
    */
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = dealString(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return dealString(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return dealString(value);
    }

    private String dealString(String value) {
        if (value != null) {
            // 采用spring的StringEscapeUtils工具类 实现
            StringEscapeUtils.escapeHtml(value);
            StringEscapeUtils.escapeJavaScript(value);
            StringEscapeUtils.escapeSql(value);
        }
        return value;
    }

}


XSSFilter.java

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止xss攻击 过滤器(顺便过滤了 sql攻击)
 */
public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

    }

}




SpringBoot项目XSS攻击过滤御实现
weixin_45818787的博客
09-02 3135
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
JAVA如何XSS和SQL 注入攻击
p13993233504的博客
04-06 1132
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
防止XSS攻击xssProtect
01-09
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
web安全-XSS注入
最新发布
2201_75472578的博客
08-30 1084
介绍XSS作为OWASPTOP10之一,XSS被称为跨站脚本攻击(Cross-sitescripting),本来应该缩写为CSS,但是由于和CSS(CascadingStyleSheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(JS)完成恶意攻击行为。JS可以非常灵活的操作html、css和浏览器,这使得XSS攻击的”想象”空间特别大。XSS通过将精心构造的代码(JS)代码注入到网页中,并由浏览器解释运行这段JS代码,以达到恶意攻击的效果。
Java防止跨站脚本XSS注入攻击
FYWT98的博客
01-14 4459
XSS攻击的危害性 ,也通过 模拟案例了解了XSS攻击原理 ,这里就介绍一下如何XSS攻击采用Filter技术,对所有参数都进行过滤,处理方案为: 1. 含有html标签做转义。 2. 含有敏感的html脚本,直接处理掉。   XSS Filter源码: package com.what21.filter.xss;   import java.io.IOExc
java脚本注入_java防止xss脚本注入攻击采用spring工具类方式
weixin_29728529的博客
02-26 183
XSSRequestWrapper.javaimport javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lang.StringEscapeUtils;public class XSSRequestWrapper e...
XSS跨站脚本攻击Java开发中范的方法
01-09
### XSS跨站脚本攻击Java开发中的范方法 #### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终...
java防止xss注入
07-15
**Java防止XSS注入详解** XSS(Cross-site scripting)是一种常见的网络安全漏洞,攻击者通过在网页中嵌入恶意脚本,使用户在不知情的情况下执行这些脚本,从而窃取用户信息或进行其他恶意操作。Java作为广泛应用于...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2651
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
java方面xss跨站脚本
11-05
工具:xss-html-filter-master的源码 书籍:XSS跨站脚本攻击剖析与御(完整版) 所需jar: antlr-3.0.1.jar antlr-runtime-3.0.1.jar xssProtect-0.1.jar
防止XSS攻击xssProtect用到的jar包
11-04
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
xssProtect-0.1.jar
11-19
xssProtect-0.1.jar 谷歌开源代码工具 、 用于XSS攻击
java防止xss攻击
peter_qyq的博客
01-05 530
XSS全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等 XSS 是如何发生的 假如有下面一个textbox <input type="text" name="address1" value="value1from"> 1 value1from是来自用.
JAVA防止JS html 注入
wscrf的博客
03-27 3062
[java] view plain copy public class HtmlEncode {              public static String htmlEncode(String string) {          if(null == s...
spring mysql注入攻击_如何预SQL注入XSS漏洞(spring,java)
weixin_31896061的博客
01-27 445
SQL注入简介SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子,比如:我们一个登录界面,要求用户输入用户名和密码:用户名: ' or 1=1--密码:点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话:如:String sql="select * from users where username='"+userName+"' and pass...
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值