XSS拦截

最新推荐文章于 2024-05-24 12:41:37 发布
最新推荐文章于 2024-05-24 12:41:37 发布
阅读量650 收藏
点赞数
分类专栏: JAVA 文章标签: xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bian1729183741/article/details/78317059
版权

web.xml配置:

  <filter>
    <filter-name>XssSqlFilter</filter-name>
    <filter-class>具体处理类</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
  </filter-mapping>

具体实现代码

public class XSSFilter implements Filter {
    private FilterConfig filterConfig = null;

    @Override
    public void destroy() {
        this.setFilterConfig(null);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper( (HttpServletRequest) request), response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.setFilterConfig(filterConfig);
    }

    public FilterConfig getFilterConfig() {
        return filterConfig;
    }

    public void setFilterConfig(FilterConfig filterConfig) {
        this.filterConfig = filterConfig;
    }
}
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (null == values) {
            return null;
        }

        String[] encodedValues = new String[values.length];

        for (int i = 0; i < values.length; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        if (null == value) {
            return null;
        }

        return cleanXSS(value);
    }

    @Override
    public String getHeader(String header) {
        String value = super.getHeader(header);

        if (null == value) {
            return null;
        }

        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        return HtmlUtils.htmlEscape(value);
    }
}

HtmlUtils.htmlUnescape(input): 可以将替换的字符串转换为未替换前的字符串

拦截XSS攻击
qq_29086005的博客
01-02 697
话不多说直接上代码 @Configuration public class XssConfiguration { /** * 描述 : xssObjectMapper * * @param builder builder * @return xssObjectMapper */ @SuppressWarnings("Spring...
spring boot xss拦截+OncePerRequestFilter+application/json
碎花爱洋裙
05-19 902
spring-boot-xss 版本 jdk1.8 spring boot 2.3.0 概念 XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 实例 将该字段存入数据库之后,当前端铺入div的时候,会出现弹窗 <script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script> 解决 可以通过Jsoup把xss恶性攻击的过滤出去 参考:spri
Java中使用Springmvc拦截拦截XSS攻击(XSS拦截
大漠孤烟
04-08 1万+
1.定义拦截器(设置要拦截的方法或者不拦截的)2.拦截器写法(这里用了两个,一个拦截html标签,一个拦截html事件属性)IllegalCharInterceptor拦截器写法如下:其中HTMLSprit.delHTMLTag()方法如下:JqqXssInterceptor拦截器写法如下:其中枚举类写法如下:...
java XSS漏洞过滤
xieedeni的博客
01-30 6306
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6557
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml extends=struts-default,> ...-- 定义xss拦截器 --> 此处填写拦截器类名></interceptor>
防sql注入和xss攻击, springmv拦截
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
struts2配置xss拦截
05-13
在 Struts2 中,可以使用拦截器来防止 XSS 攻击。以下是一些步骤: 1. 创建一个类,继承 org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter。 ```java public class XSSFilter extends ...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XSS脚本注入拦截框架 antisamy
04-06
XSS脚本注入拦截框架 antisamy
[Spring Cloud] (9)XSS拦截
最新发布
一个喜欢什么都研究一下的小小后端程序员
05-24 724
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
xss过滤拦截
癸酉金鸡的博客
04-30 1243
SpringBoot过滤器过滤get及post请求中的XSS和SQL注入 (推荐) package com.orchard.pomeloweb.config; import com.google.common.collect.Maps; import com.orchard.common.filter.XssFilter; import org.springframework.boot.web....
绕过XSS过滤规则 : Web渗透测试高级XSS教程
xysoul的专栏
04-17 1869
相信大家在做渗透测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xss detected,这样的话我们的XSS就不生效了,下面就教大家几种简单的绕过XSS的方法: 1、绕过 magic_quotes_gpc magic_quotes_gpc=ON是php中的安
七、在拦截器中进行XSS与SQL注入拦截
CN華少的博客
11-05 441
本次开发环境为: 系统:Windows 10 10.0 JDK:JRE: 1.8.0_152-release-1136-b43 amd64 JVM: OpenJDK 64-Bit Server VM by JetBrains s.r.o 开发工具:IntelliJ IDEA 2018.1.8 springboot框架:2.2.0 直接上干货,不多废话,相关问题欢迎在评论区指教。 1、首先准备本次会...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7862
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
工作实战之xss攻击防范
zengliangxi的专栏
02-24 1208
跨站脚本攻击(全称Cross Site Scripting,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的,知其原理才能知道解决方法,但是如果过滤不全,也可能被绕过。
【项目实战】Spring Boot项目抵御XSS攻击
apple_51673523的博客
11-22 3901
作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>