xss防护及sql注入

最新推荐文章于 2023-09-14 15:35:31 发布
最新推荐文章于 2023-09-14 15:35:31 发布
阅读量567 收藏
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cyk_en5566/article/details/115353015
版权

注明:有些地方也是参考网友的

 

xssFilter

public class XssFilter implements Filter {

    /**
     * 排除链接
     */
    private List<String> excludes = new ArrayList<>();

    /**
     * xss过滤开关
     */
    private boolean enabled = false;


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String tempExcludes = filterConfig.getInitParameter("excludes");
        String tempEnabled = filterConfig.getInitParameter("enabled");
        if (StringUtils.isNotEmpty(tempExcludes)) {
            String[] url = tempExcludes.split(",");
            for (int i = 0; url != null && i < url.length; i++) {
                excludes.add(url[i]);
            }
        }
        if (StringUtils.isNotEmpty(tempEnabled)) {
            enabled = Boolean.valueOf(tempEnabled);
        }
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        if (handleExcludeURL(req, response)) {
            filterChain.doFilter(req, response);
            return;
        }

        //注入xss过滤器实例(主要过滤作用)
        XssHttpServletRequestWraper reqW = new XssHttpServletRequestWraper(req);
        //过滤
        filterChain.doFilter(reqW, response);
    }

    //处理需要过滤的url
    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        if (!enabled) {
            return true;
        }
        if (excludes == null || excludes.isEmpty()) {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find()) {
                return true;
            }
        }
        return false;
    }

    @Override
    public void destroy() {

    }
}

XssHttpServletRequestWraper 过滤实例
public class XssHttpServletRequestWraper extends HttpServletRequestWrapper {


    public XssHttpServletRequestWraper() {
        super(null);
    }

    public XssHttpServletRequestWraper(HttpServletRequest httpservletrequest) {
        super(httpservletrequest);
    }

    //过滤springmvc中的 @RequestParam 注解中的参数
    public String[] getParameterValues(String s) {

        String str[] = super.getParameterValues(s);
        if (str == null) {
            return null;
        }
        int i = str.length;
        String as1[] = new String[i];
        for (int j = 0; j < i; j++) {
            as1[j] = cleanXSS(cleanSQLInject(str[j]));
        }
        System.out.println("XssHttpServletRequestWraper净化后的请求为:==========" + as1);
        return as1;
    }

    //过滤request.getParameter的参数
    public String getParameter(String s) {
        String s1 = super.getParameter(s);
        if (s1 == null) {
            return null;
        } else {
            String s2 = cleanXSS(cleanSQLInject(s1));
            System.out.println("XssHttpServletRequestWraper净化后的请求为:==========" + s2);
            return s2;
        }
    }

    //过滤请求体 json 格式的
    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) { }
        };
    }


    public   String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  cleanXSS(sb.toString ());
    }

    public String cleanXSS(String src) {     //这里是参考某个博客的
        String temp = src;

        src = src.replaceAll("<", "<").replaceAll(">", ">");
        src = src.replaceAll("\\(", "(").replaceAll("\\)", ")");
        src = src.replaceAll("'", "'");
        src = src.replaceAll(";", ";");
        //新增
        /**-----------------------start--------------------------*/
        src = src.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        src = src.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41");
        src = src.replaceAll("eval\\((.*)\\)", "");
        src = src.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        src = src.replaceAll("script", "");
        src = src.replaceAll("link", "");
        src = src.replaceAll("frame", "");
        /**-----------------------end--------------------------*/
        Pattern pattern = Pattern.compile("(eval\\((.*)\\)|script)",
                Pattern.CASE_INSENSITIVE);
        Matcher matcher = pattern.matcher(src);
        src = matcher.replaceAll("");

        pattern = Pattern.compile("[\\\"\\'][\\s]*javascript:(.*)[\\\"\\']",
                Pattern.CASE_INSENSITIVE);
        matcher = pattern.matcher(src);
        src = matcher.replaceAll("\"\"");

        // 增加脚本
        src = src.replaceAll("script", "").replaceAll(";", "")
                /*.replaceAll("\"", "").replaceAll("@", "")*/
                .replaceAll("0x0d", "").replaceAll("0x0a", "");

        if (!temp.equals(src)) {
            // System.out.println("输入信息存在xss攻击!");
            // System.out.println("原始输入信息-->" + temp);
            // System.out.println("处理后信息-->" + src);

            System.out.println("xss攻击检查:参数含有非法攻击字符,已禁止继续访问!!");
            System.out.println("原始输入信息-->" + temp);

            try {
                throw new Exception("xss攻击检查:参数含有非法攻击字符,已禁止继续访问!!");
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        src = Jsoup.clean(src, Whitelist.relaxed()).trim(); //这个是我自己加的为了更全面的防护调用了自带的clean方法
        return src;
    }

    //输出
    public void outputMsgByOutputStream(HttpServletResponse response, String msg) throws IOException {
        ServletOutputStream outputStream = response.getOutputStream(); //获取输出流
        response.setHeader("content-type", "text/html;charset=UTF-8"); //通过设置响应头控制浏览器以UTF-8的编码显示数据,如果不加这句话,那么浏览器显示的将是乱码
        byte[] dataByteArr = msg.getBytes("UTF-8");// 将字符转换成字节数组,指定以UTF-8编码进行转换
        outputStream.write(dataByteArr);// 使用OutputStream流向客户端输出字节数组
    }

    // 需要增加通配,过滤大小写组合
    public String cleanSQLInject(String src) {
        String lowSrc = src.toLowerCase();
        String temp = src;
        String lowSrcAfter = lowSrc.replaceAll("insert", "forbidI")
                .replaceAll("select", "forbidS")
                .replaceAll("update", "forbidU")
                .replaceAll("delete", "forbidD").replaceAll("and", "forbidA")
                .replaceAll("or", "forbidO");

        if (!lowSrcAfter.equals(lowSrc)) {
            System.out.println("sql注入检查:输入信息存在SQL攻击!");
            System.out.println("原始输入信息-->" + temp);
            System.out.println("处理后信息-->" + lowSrc);
            try {
                throw new Exception("sql注入检查:参数含有非法攻击字符,已禁止继续访问!!");
            } catch (Exception e) {
                e.printStackTrace();
            }

        }
        return src;
    }
}

xssfilerConfig

@Configuration
public class XssFilterConfig {


    @Value("${xss.enabled}")
    private String enabled;

    @Value("${xss.excludes}")
    private String excludes;

    @Value("${xss.urlPatterns}")
    private String urlPatterns;

    @Bean
    public FilterRegistrationBean xssFilterRegistration()
    {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());  //注入filter
        registration.addUrlPatterns(StringUtils.split(urlPatterns,","));
        registration.setName("xssFilter"); 
        registration.setOrder(Integer.MAX_VALUE); //设置filter顺序
        Map<String, String> initParameters = new HashMap<String, String>();
        initParameters.put("excludes", excludes);
        initParameters.put("enabled", enabled);
        registration.setInitParameters(initParameters);
        return registration;
    }
}

application.properties

xss.enabled=true             开启过滤
xss.excludes=
xss.urlPatterns: /*           一般过滤所有路径
cyk_en5566
关注
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
m0_71777195的博客
03-21 1217
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
sql 注入防护xss攻击防护
孙雪峰
04-26 1179
sql注入防护】 1、过滤关键字 限制mysql关键字以输入的形式注入sql,防止恶意代码对数据库产生破坏 2、控制输入字符长度 防止输入以16进制码注入,以长度限制,补充过滤关键字的漏洞 3、关闭php错误提示 防止sql输入试探,避免用户试探数据库名称、数据表名称等 4、数据库权限控制 控制用户权限,限制用户通过恶意代码注入进行恶意操作。          【xs
代码详解sql注入XSS过滤
梦江黎
06-17 1463
代码详解sql注入XSS过滤
SQL注入如何防护的实现方法汇总
2301_76418831的博客
04-14 303
综上所述,咱们为了防范SQL注入攻击,需要在Magento开发中采用一些有效的防护措施,如使用Magento提供的SQL查询方式、PDO进行数据库操作、对输入参数进行验证和过滤、使用XSS防护机制、禁止使用动态SQL语句等。在Magento中,可以通过使用Mage_Core_Helper_Data类中的函数进行XSS攻击防护,如使用$this->htmlEscape()函数对输出进行过滤。如果必须使用动态SQL语句,应该对输入参数进行验证和过滤,并使用PDO等方式防范SQL注入攻击。
spring解决sql注入问题:自定义拦截器
lj1548259095的博客
11-30 8166
近期刚做完的restful接口项目用安全软件扫描后,出现blind sql inject高危漏洞,查看,程序里已经使用了PreparedStatement预编译sql,却仍不好使,找不出原因,最后不得已,自定义了一个sql注入拦截器,对含有非法攻击字符的接口输入参数进行拦截,再次扫描后,漏洞消失。具体实现如下:       一、自定义拦截器类SqlInjectInterceptor,实现spri
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击及sql注入.zip
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。...同时,对SQL注入防护主要依赖于服务器端的安全措施,确保所有的用户输入都被正确地转义或隔离。
XSS攻击
12-21 759
目录 1 什么是XSS攻击? 2 解决思路 3 实现代码 3.1 springBoot项目(推荐) 3.1.1 yml配置文件中设置xss参数 3.1.2 自定义XssHttpServletRequestWrapper 3.1.3 自定义XssFilter过滤器 3.1.4 自定义FilterConfig配置类 3.1.5 引用类 3.1.6 参考开源项目 3.2 springMvc项目 3.2.1 自定义XssHttpServletRequestWrapper 3.2.2 自..
字符串工具类
weixin_45520089的博客
10-16 403
import org.apache.commons.lang.text.StrBuilder; import java.util.Collection; import java.util.Map; /** * 字符串工具类 * * @author reagan */ public class StringUtils { /** 空字符串 */ private stat...
Spring Boot配置XSS
a123123sdf的博客
02-21 2583
spring boot 配置xss
SpringBoot 如何防护 XSS 攻击 ?
dream317
03-27 334
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。那么,SpringBoot 是如何防护 XSS 攻击的呢?
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Sql注入基础原理介绍(超详细)
weixin_30325487的博客
09-06 4319
一、Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。 二、Web 程序三层架构 三层架构(3-tier architecture) 通常意义上就是将整个业务应用划分为: 界面层(User Interface layer) 业务逻辑层(Business Logic...
给springboot增加XSS跨站脚本攻击防护功能
jiuge16的博客
07-21 972
XSS原理 xss攻击的原理是利用前后端校验不严格,用户将攻击代码植入到数据中提交到了后台,当这些数据在网页上被其他用户查看的时候触发攻击 举例:用户提交表单时把地址写成:山东省济南市 上面的数据如果没有在后台做处理,当数据被展示到网页上的时候,会在网页上弹出N个alert框,当然实际攻击肯定是比这个要复杂的多的 SpringBoot防护 给SpringBoot增加这种防护的原理是用户提交数据之后后台在获取数据内容时做一层过滤。过滤方式有两种 第一种 第一种方式是对特殊字符进行转义操作,例如将 < &
一个过滤器实现Gateway层面防xss攻击
最新发布
m0_72646515的博客
09-14 530
# 最后还需要一个缓存过滤器缓存请求body,以免后面需要获取body时为null。## 相信很多项目都有防xss攻击要求,下面用一个过滤器实现防xss攻击。## 废话不多说直接上代码复制即可使用。XssProperties配置类。StringUtils工具类。
url-pattern含义
hicheney的博客
12-02 7152
首先说下,其实url-pattern就是说的url模式,就是容器在查找时根据这个模式来找到具体的servlet来执行。 先来看一段规范中的 In the Web application deployment descriptor, the following syntax is used to define mappings: A string beginning with
XSS 跨站脚本攻击 的防御解决方案
东四先生的博客
03-26 1163
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS的攻击原理和分类 XSS分为:存储型、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值