jsp页面中的跨站脚本漏洞修复

最新推荐文章于 2024-08-17 16:48:35 发布
最新推荐文章于 2024-08-17 16:48:35 发布
阅读量2.7k 收藏 2
点赞数
分类专栏: jsp

jsp页面中的跨站脚本漏洞修复

  • 博客分类: 
  • JSP
js 跨站漏洞 脚本攻击 JSP 

最近公司负责的几个系统中老有漏洞被搜出,多少都是JSP跨站脚本漏洞攻击,总结出的原因,无外呼是在跳转到JSP的页面中带有参数,然后JSP页面接收到参数后没有对一些特殊字符进行过滤,当然,还有一些其他的情况,比如,在页面中有输入框,需要用户手动输入内容时,都有可能出现这种攻击,下面是我针对JSP页面接收参数时,对参数进行过滤处理的方法,可能不全,还请大神指点!

请求链接:

Java代码   收藏代码
  1. http://a.b.com/login.jsp?successUrl=<script>alert(111)</script>  

 参数过滤:

Java代码   收藏代码
  1. String successUrl =request.getParameter("successUrl");  
  2. if(StringUtil.isNotNull(successUrl)){  
  3.     successUrl = successUrl.replaceAll("<","")//匹配尖括号  
  4.                            .replaceAll(">","")//匹配尖括号  
  5.                            .replaceAll("\"","")//匹配双引号  
  6.                            .replaceAll("\'","")//匹配单引号  
  7.                            .replaceAll("\\(.*?\\)","")//匹配左右括号  
  8.                            .replaceAll("[+]","");//匹配加号  
  9. }  

 JSP中使用该参数:

Java代码   收藏代码
  1. <input type="hidden" name="hidden" id="_hidden" value="<%=successUrl%>" />  

 

 

这便是一个完整的过程,希望对大家有所帮助。

javaPie
关注
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(XSS脚本攻击 )
本本本添哥
03-31 409
XSS又称CSS,全称Cross SiteScript,脚本攻击,是Web程序常见的漏洞
XSS攻击和脚本安全漏洞防护
Zyw907155124的博客
09-05 3982
存储XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储XSS攻击。
web常见漏洞——XSS
最新发布
m0_64365018的博客
08-17 1276
XSS全称脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等,xss又分为了三种类分别为存储反射DOM
java攻击_java防范脚本攻击(XSS)
weixin_39743824的博客
02-12 365
网络心提示网有数目众多的脚本攻击(XSS)漏洞,经过查看代码,认为是JSP绑定变量是未经处理直接写入的,而且整个项目这样的做法太多,因为是多年前的,不好一个个更改,参照网上资料,通过加filter对数据参数进行处理。2、打开项目lucy-xss-servlet-filter,将下载代码输出为jar包.3、将生成的jar包和lucy-xss-servlet-filter引用的jar包放入...
脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
js域名传参_反射脚本攻击(XSS)
weixin_39542742的博客
12-12 353
反射的XSS为前段提交的数据不存储在后端数据库或者存储,直接经过后端代码处理在前段显示出来而和DOM的区别是输出的信息是由后端来处理的,而不是前端js直接修改html,相同则为数据都到了后端所以反射的xss又称之为非存储xssDVWA测试防护等级:低header("X-XSS-Protection:0");//Isther...
JSP安全开发之XSS漏洞详解
10-21
JSP开发,XSS(Cross Site Scripting)漏洞是一种常见的安全问题,它允许恶意攻击者通过在网页上注入可执行的脚本代码来操纵用户浏览器,进而对用户进行攻击。XSS攻击通常发生在服务器未能正确处理或验证用户...
WebLogic SSRF 及漏洞修复
11-25
此外,还存在另一个与WebLogic相关的漏洞CVE-2014-4241,该漏洞涉及XSS(脚本攻击)。具体来说,该漏洞出现在`SetupUDDIExplorer.jsp`页面,攻击者可以通过构造恶意URL来触发XSS攻击。例如,通过设置恶意的...
Struts脚本攻击防御
脚本攻击(Cross-Site Scripting,XSS)是一种常见的Web应用程序安全漏洞,攻击者通过在受攻击网页插入恶意脚本,从而实现对用户的攻击和利用。这种攻击方式可以绕过传统的安全防护机制,对用户信息进行窃取、...
SpringMVC 反射脚本攻击
baiyongliang
08-21 1109
服务端校验,添加拦截器。
安全漏洞修复方法
yx1151903456的博客
05-15 1620
1.SQL注入问题(从userFunc取出来的corps和deps可以直接拼接,不存在sql注入) 2.XSS漏洞脚本编制、通过框架钓鱼、连接注入) 注:并非所有参数都需要encodeForHTML编码,需要的有:页面跳转方法的String类参数;查询数据方法的String类且可能为文的参数;保存方法的String类且数据库类不是char类的参数 3.Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Secu
常见web安全漏洞修复方案(全面)
Websec
03-04 1万+
第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从 数据库获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库文件系统的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。 它将SQL命令注入到数据层输...
JSP过滤器防止Xss漏洞
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Java防止漏洞_jsp防止域提交数据的具体实现
weixin_34474896的博客
03-02 151
//argsisvalidfilter .java过滤器代码清单:package com.hety.uitl;import java.io.ioexception;import java.util.enumeration;import javax.servlet.filter;import javax.servlet.filterchain;import javax.servlet.filterc...
Java Web项目抵御脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2365
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击指攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
解决脚本攻击-存储
huan1213858的博客
10-23 438
【代码】jsp使用fn:escapeXml()解决脚本攻击-存储
【Web漏洞探索】脚本漏洞
kjcxmx的博客
08-03 4002
脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网相互隔离。脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS脚本是一种网应用程序的安全漏洞攻击,是代码注入的一种。...
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
脚本攻击漏洞-基础篇
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值