springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义

最新推荐文章于 2022-03-02 11:04:45 发布
最新推荐文章于 2022-03-02 11:04:45 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: xss 文章标签: spring防xss脚本 java过滤xss脚本 xss脚本转义 springmvc过滤xss html和js转义
本博客所有文章、代码和作品版权归eguid所有,未经博主允许不得私自改编和转载,侵权必究。
本文链接:https://blog.csdn.net/eguid/article/details/110088128
版权

xss系列:

springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义
前端防xss脚本攻击,js过滤xss脚本,nodejs过滤xss脚本

springmvc防xss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义

一、前言

xss脚本注入攻击大家应该经常见了,不多说了,直接讲防xss脚本注入的原理吧。

二、原理

原理很简单,http后端通过过滤器过滤request接受的参数内容,把包含"<"、">","&"、"/“和“””的字符进行转义即可。
例如:

  1. 普通注入脚本
<script>alert("xss脚本攻击");</script>
  1. 通过标签事件监听注入脚本
<a onload="javascript:alert('通过标签事件监听注入脚本')">自动加载</a>

不论是哪种方式,它们都有个共同点,那就是需要html/js作为载体,那事情就简单了,只要破坏这个结构就好了,如何破坏呢,将包含"<"、">",","&"、"/“和“””的字符转义,如果把这些字符转义了,例如把上面的转义成下面的这样:

  1. 转义后的普通注入脚本
&lt;script&gt;alert(&quot;xss脚本攻击&quot;);&lt;/script&gt;
  1. 转义后的标签事件监听注入脚本
&lt;a onload=&quot;javascript:alert('通过标签事件监听注入脚本')&quot;&gt;自动加载&lt;/a&gt;

注入的脚本就再也无法运行了,而且还不影响前端显示,前端依然显示的是

<script>alert("xss脚本攻击");</script>

但是却无法执行任何脚本了。

补充:html/js特殊字符转义可以参考博主另一篇文章:HTML转义字符对照表

三、springmvc如何实现xss过滤

3.1、xss转义包装器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.springframework.web.util.HtmlUtils;

/**
 * 过滤xss脚本注入的请求包装器
 * @author eguid
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null)
            return null;
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = HtmlUtils.htmlEscape(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null)
            return null;
        return HtmlUtils.htmlEscape(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return HtmlUtils.htmlEscape(value);
    }
}

3.2 xss过滤器

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防xss脚本注入攻击过滤器,使用了springmvc自带的HtmlUtils进行过滤html标签转义(对"<"、">"、"("、")"转义使脚本无效)
 * @author eguid
 */
public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    // 对request进行包装
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }

}

3.3 web.xml配置过滤器

<!-- xss过滤器 -->
	<filter>
		<filter-name>xssFilter</filter-name>
		<!--替换成自己实现的过滤器类路径-->
		<filter-class>cc.eguid.web.filter.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>xssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

如果觉得写得还不错,欢迎”一键三连“支持一波

汤姆猫不是猫
关注
专栏目录
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9172
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
spring mvc xss html,springmvc XSS攻击 | 学步园
weixin_35952352的博客
07-01 243
http://blog.csdn.net/M87138/article/details/39023361XSS攻击,即CrossSiteScript,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,XSS攻击,就用到PropertyEditorSupport编辑器项目中继承该类,写一个String...
springMVC设置静态资源过滤器过滤js、css、images等静态资源
Rosen's
02-20 1935
首先看个index.jsp首页的代码 <%@ page contentType="text/html;charset=UTF-8" language="java" %> <html> <head> <title>主页</title> <script src="js/jquery.min.js"></sc...
xss springmvc ajax,Java SpringMVC止跨站脚本XSS注入攻击实现
weixin_31898831的博客
08-05 1832
跨站脚本(XSS)注入攻击御的最有效办法是,通过Filter过滤检查提交参数的合法性。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Spring MVC Xss FilterXSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指...
springMVC实现不经DispatcherServlet,过滤html
wobushichengzi的博客
07-26 1394
   前提:新的微信端项目。要求是访问的时候需要用户登录。登录需要跳转到微信Auth2.0去获取用户信息。   一般登录拦截的操作都是在applicationContext.xml配置一个拦截器。如下面这样     &lt;mvc:interceptors&gt;         &lt;bean class="com.common.interceptor.AllInterceptor" /&...
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 724
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
springMVC通过Filter实现xss注入
热门推荐
井底之蛙
03-14 1万+
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击简单的预就是对Request请求中的一些参数去掉一些比较敏感的脚本
springmvc4配置XSS攻击的方法
04-05
特别是在Web应用中,跨站脚本攻击XSS)和SQL注入攻击是常见的安全威胁。XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
XSS 攻击是指攻击者利用网站程序对用户输入过滤不严,将恶意脚本注入到网页中,当其他用户浏览该页面时,脚本就会被执行,从而达到窃取用户资料、利用用户身份进行某种操作等目的。XSS 攻击主要分为三种类型:反射型...
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
- 对用户输入进行验证和清理,避免注入攻击。 - 定期更新依赖库,确保使用最新版,以利用最新的安全修复。 通过理解Spring MVC的`@ResponseBody`工作原理,以及如何配置Jackson进行HTML转义,我们可以有效地解决...
SpringMVC4配置XSS御及SQL注入解决策略
"本文介绍了在Spring MVC 4框架中配置XSS(跨站脚本攻击)的方法,并提及了对SQL注入护的解决方案。主要通过创建一个过滤器来实现请求的过滤,以确保输入数据的安全性。" 在Web开发中,XSS攻击是一种常见的...
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 990
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以止任何已成功注入脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
spring html转义字符,Spring MVC 响应结果有反斜杠转义字符+双引号
weixin_35201342的博客
05-31 850
问题是这样的:使用MVC框架为Spring MVC,当发出HTTP请求时,数据返回居然是带有双引号的,这样导致我还要在前台对数据进行转换。那么,具体是什么原因造成的呢?看下面代码,就知道了!1)spring-servlet.xmlclass="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter"/&...
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 2029
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name参数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
xss springmvc ajax,使用springMVC通过Filter实现xss注入
weixin_35466750的博客
08-05 448
springMVC Filterxss注入跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击简单的预就是对R...
java path 注解_javaSpringMVC中@PathVariable注解的XSS注入问题
weixin_31837611的博客
02-13 749
下面我们来看一篇关于SpringMVC中@PathVariable注解的XSS注入问题的分析,希望下面的文章能够帮助到各位理解到这个问题。XSS注入算是一个很常见的问题,其实解决起来并不难,但是有很多需要注意的地方,这里做一个完整的解决方案。Java中常见的解决方案是继承HttpServletRequestWrapper,然后重载getParameter、getHeader等方法。但是要注意到文件...
彻底解决Spring MVC XSS注入问题
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
SpringBoot 使用Filter 解决Xss攻击 HTML标签转义
binglong180
07-03 2985
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSSFilter import javax.servlet.*; import javax.servlet.htt.
html 入参带双引号,SpringMVC入参双引号转义问题
weixin_39876645的博客
06-04 715
一、开篇之语开此篇的缘由是做项目过程中遇到的一个问题,然而这并非前端的问题,但这也涉及前端和后端的配合,因此写下来,以便后面查阅,再说说此篇标题,应该不能定义为转义问题,这是不确切的,但遇此情况,一般第一反应就是转义问题,因此就这么定了。二、案发现场前端要通过Ajax一次性保存页面上一个表格的数据,我的做法是将表格的数据转化为json数组,然后再通过JSON.stringify()方法将json数...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

汤姆猫不是猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值