xss过滤拦截器

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: Spring Spring Boot Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chinasi2012/article/details/105863249
版权
Java 同时被 3 个专栏收录
71 篇文章 0 订阅
订阅专栏
Spring
41 篇文章 1 订阅
订阅专栏
Spring Boot
19 篇文章 0 订阅
订阅专栏

SpringBoot过滤器过滤get及post请求中的XSS和SQL注入 (推荐)

package com.orchard.pomeloweb.config;

import com.google.common.collect.Maps;
import com.orchard.common.filter.XssFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.Map;

@Configuration
public class FilterConfig {
    /**
     * xss过滤拦截器
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistrationBean() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new XssFilter());
        filterRegistrationBean.setOrder(1);
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.addUrlPatterns("/*");
        Map<String, String> initParameters = Maps.newHashMap();
		initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
//		initParameters.put("isIncludeRichText", "false");
        filterRegistrationBean.setInitParameters(initParameters);
        return filterRegistrationBean;
    }
}


package com.orchard.common.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * xss过滤器
 */
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //对请求进行拦截,防xss处理
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}


package com.orchard.common.filter;

import com.orchard.common.util.FilterUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


/**
 * xss请求适配器
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS2(values[i]);
        }
        return encodedValues;
    }

    /**
     * 对参数中特殊字符进行过滤
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        return cleanXSS2(value);
    }

    /**
     * 获取attribute,特殊字符过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value != null && value instanceof String) {
            cleanXSS2((String) value);
        }
        return value;
    }

    /**
     * 对请求头部进行特殊字符过滤
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS2(value);
    }

    /**
     * 转义字符,使用该方法存在一定的弊端
     *
     * @param value
     * @return
     */
    private String cleanXSS2(String value) {
        // 移除特殊标签
//        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    private String cleanXSS(String value) {
        return FilterUtil.stripXss(value);
    }
}
癸酉金鸡
关注
专栏目录
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 727
过滤器和拦截器
spring boot实战之XSS过滤
热门推荐
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3494
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 7386
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
java XSS漏洞过滤
xieedeni的博客
01-30 6253
利用 Java 的 xssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
防止xss攻击拦截器
heihei_100的博客
06-13 3053
web.xml &lt;filter&gt; &lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.cloudjet.izhuan.mobile.webapp.xss.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-map...
[Spring Cloud] (9)XSS拦截器
一个喜欢什么都研究一下的小小后端程序员
05-24 604
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
xss特殊字符拦截与过滤
04-01
通常这类防护措施会在Web框架层面或者中间件层面提供,用户只需要简单配置即可实现防护,但开发者也可以根据需要实现自己的XSS过滤策略。 最后,代码中的注释和变量命名使用了非标准的字符(如:涵, Σ, æ, 刘海, ...
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法对参数进行编码,确保潜在的危险...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XSS拦截
宁灬夏的专栏
10-23 626
web.xml配置: <filter> <filter-name>XssSqlFilter</filter-name> <filter-class>具体处理类</filter-class> </filter> <filter-mapping> <filter-name>XssSqlFilter</filter-name> <url-pattern>/*</u
使用拦截器Filter修补输入框的xss漏洞
zyt_java的博客
02-23 1732
package cmcc.jx.ict.xsgj.filter.xss; import java.io.IOException; import java.util.Iterator; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servle
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3432
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
XSS跨站点脚本攻击拦截器
weixin_34347651的博客
04-28 347
2019独角兽企业重金招聘Python工程师标准>>> ...
Java中使用Springmvc拦截器拦截XSS攻击(XSS拦截)
大漠孤烟
04-08 1万+
1.定义拦截器(设置要拦截的方法或者不拦截的)2.拦截器写法(这里用了两个,一个拦截html标签,一个拦截html事件属性)IllegalCharInterceptor拦截器写法如下:其中HTMLSprit.delHTMLTag()方法如下:JqqXssInterceptor拦截器写法如下:其中枚举类写法如下:...
在 Axios 请求拦截器中进行 XSS 过滤
weixin_43507141的博客
03-21 770
xss
利用简单的过滤过滤特殊字符实现 防止XSS攻击
梦想起飞的地方.........
03-12 5233
利用简单的过滤过滤特殊字符实现 防止XSS攻击 web.xml配置文件  [html] view plain copy print?  filter>    filter-name>XSSFilterfilter-name>    filter-class>com.neusoft.common.filter.XSSFilterfil
struts2配置xss拦截器
05-13
在 Struts2 中,可以使用拦截器来防止 XSS 攻击。以下是一些步骤: 1. 创建一个类,继承 org.apache....但是需要注意的是,这个拦截器只能对请求参数进行 XSS 过滤,对于响应内容的过滤需要使用其他的方案来解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值