xss漏洞完美解决方法

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量1.2w 收藏 14
点赞数 2
分类专栏: xss 文章标签: xss xss漏洞防御 java xss漏洞 script标签
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f0rd_/article/details/82497150
版权

 搞什么安全漏洞检查,在加个防止恶意弹窗的吧

package com.wh.tms.xss;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper{

	public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
		
	}
	public String[] getParameterValues(String parameter) {
	      String[] values = super.getParameterValues(parameter);
	      if (values==null)  {
	                  return null;
	          }
	      int count = values.length;
	      String[] encodedValues = new String[count];
	      for (int i = 0; i < count; i++) {
	                 encodedValues[i] = cleanXSS(values[i]);
	       }
	      return encodedValues;
	    }
	    public String getParameter(String parameter) {
	          String value = super.getParameter(parameter);
	          if (value == null) {
	                 return null;
	                  }
	          return cleanXSS(value);
	    }
	    public String getHeader(String name) {
	        String value = super.getHeader(name);
	        if (value == null)
	            return null;
	        return cleanXSS(value);
	    }
	    private String cleanXSS(String value) {
	        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
	        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
	        value = value.replaceAll("'", "& #39;");
	        value = value.replaceAll("eval\\((.*)\\)", "");
	        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
	        value = value.replaceAll("script", "");
	        return value;
	    }

}

package com.wh.tms.xss;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter{

	FilterConfig filterConfig = null;
	 
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
 
    public void destroy() {
        this.filterConfig = null;
    }
 
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper( (HttpServletRequest) request), response);
    }

}

在filter里完成恶意字符串的过滤,如果有更多的过滤,可以再clear方法中过滤更多的恶意输入.

主要防止<script>标签alert(xxx)这些

web.xml

<filter>
    	<filter-name>XssFilter</filter-name>
     	<filter-class>com.wh.tms.xss.XssFilter</filter-class>
	</filter>
	<filter-mapping>
	     <filter-name>XssFilter</filter-name>
	     <url-pattern>*.html</url-pattern>
	     <dispatcher>REQUEST</dispatcher>
	</filter-mapping>
	<filter-mapping>
	     <filter-name>XssFilter</filter-name>
	     <url-pattern>*.json</url-pattern>
	     <dispatcher>REQUEST</dispatcher>
	</filter-mapping>

这里是允许配置多个filter的,不过配置过多的话会降低运行效率.

这个比权限过滤的那个好弄

f0rd_
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS(跨站脚本攻击)漏洞解决方案
菜鸟
07-11 3万+
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决一下,作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下: 首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
XSS漏洞解决方案
weixin_40277684的博客
10-23 2535
XSS漏洞主要从请求和响应内容两个方面防护。 配置过滤器 一:web.xml文件 <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.common.filter.XSSFilter</fi...
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6791
XSS 安全漏洞介绍及修复方案
XSS攻击处理方法
欢迎
09-10 1912
一:因为项目使用了freemarker模板,需要全局转义freemarker输出   二:使用插件 xss.js,在使用html(),append()等地方,将具体的每个字段内容转义 filterXSS(字段内容),然后在使用的地方直接使用。 也可以在append()等方法的地方使用,而不必用在具体的字段上,但有个缺点,需要自定义配置过滤项,否则片接的html代码片段如果带有样式和私有的属性...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
2. **Multipart/form-data请求处理**:在描述中提到,XSSProject还解决了multipart/form-data类型的Request请求的XSS过滤问题。这意味着它能够处理文件上传、表单提交等涉及复杂数据格式的场景,确保这些数据在存储...
xss解决方案.zip
03-13
针对XSS攻击,本方案提供了一种通过包装`HttpServletRequest`来防御方法。 在提供的文件中,我们可以看到以下几个关键组件: 1. `XssAndSqlHttpServletRequestWrapper.java`: 这个类是对`HttpServletRequest`的...
2022年全新UI聚合支付系统四方源码4月最新更新安全升级修复XSS漏洞和补单漏洞新增诸多实用功能完美版.zip
06-21
【标题】中的“2022年全新UI聚合支付系统四方源码4月最新更新安全升级修复XSS漏洞和补单漏洞新增诸多实用功能完美版”揭示了几个关键的IT知识点: 1. **UI更新**:UI(User Interface)是指用户界面,这里的“全新...
乔客整站程序完美修改版
08-11
2. **安全性增强**:修改版可能对安全漏洞进行了修复,比如SQL注入、XSS跨站脚本攻击等,同时可能加强了权限控制,防止非法访问和数据泄露。 3. **用户体验改善**:界面设计可能更加人性化,操作流程更加简洁直观,...
BBS完美论坛
09-11
综上所述,"BBS完美论坛"是一个具有优秀用户体验和完整功能的论坛解决方案,提供源码以满足用户的定制化需求,通过简单的部署和使用,以及经过测试的稳定性,为用户提供了一个高效且可靠的在线交流平台。同时,提供...
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 1199
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 2911
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS安全漏洞修复解决方案
热门推荐
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
使用filter解决xss攻击
fangleijiang的专栏
06-25 9269
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
解决XSS攻击常用方法
liuerchong的博客
07-24 3000
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 解决方式一:强制修改html敏感标签内容 /** * xss特殊字符拦截与过滤 * */ public class
复现XSS漏洞及分析
qq_61739597的博客
09-01 2946
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4578
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
xss漏洞修复的方法
06-01
为了修复XSS漏洞,需要采取以下措施: 1. 输入过滤:对于用户输入的数据进行过滤,去除其中的特殊字符和脚本代码,只保留合法的文本内容。 2. 输出编码:对于Web应用程序输出的内容,使用HTML编码、JavaScript编码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值