使用filter解决xss攻击

最新推荐文章于 2024-08-18 19:04:11 发布
最新推荐文章于 2024-08-18 19:04:11 发布
阅读量9.3k 收藏 12
点赞数 2
分类专栏: java 文章标签: xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangleijiang/article/details/73696866
版权

使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。

主要实现方法是重写HttpServletRequestWrapper中的getParameter,getParameterMap,以及getParameterValues等方法处理请求的参数值

其中xssEncode()方法我只是对传入的< >进行了圆角<>替换,有简单js防止脚本注入,但是这远远不够,所以在stripXss()方法中枚举了很多存在脚本注入的正则表达式,对文本进行过滤处理。重写这个类之后,你需要定义一个XSSFilter,filter中调用该重写的HttpServletRequestWrapper。具体看代码

public class XSSFilter implements Filter {

    public void destroy() {
        // TODO Auto-generated method stub

    }


    /**
     * 通过url只能访问action
     */
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException,
            ServletException {
            HttpServletRequest request = (HttpServletRequest) req;
            request.setCharacterEncoding("utf-8");
            XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(request);
            chain.doFilter(xssRequest, res);
    }

    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }

}



public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map = super.getParameterMap();
        if (map != null) {
            for (Map.Entry<String, String[]> entry : map.entrySet()) {
                String[] values = entry.getValue();
                List<String> newValues = new LinkedList<String>();
                if (values != null) {
                    for (String s : values) {
                        String afertEncode = xssEncode(s);
                        newValues.add(afertEncode);
                    }
                    entry.setValue(newValues.toArray(new String[newValues.size()]));
                }
            }
        }
        return map;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        return xssEncode(values);
    }
    
    protected String[] xssEncode(String[] values) {
        if (values != null && values.length > 0) {

            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = xssEncode(values[i]);
            }
            return escapseValues;
        }
        return values;
    }
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || "".equals(s)) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append('>');// 全角大于号
                    break;
                case '<':
                    sb.append('<');// 全角小于号
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        String value = stripXss(sb.toString());
        return value;
    }

    /**
     *过滤script脚本
     * @param value
     * @return
     */
    private static String stripXss(String value){
        if(StringUtils.isNotEmpty(value)){
            Pattern scriptPattern =Pattern.compile("<script>(.*?)</script>",  
                    Pattern.CASE_INSENSITIVE);
            value=scriptPattern.matcher(value).replaceAll("");
            
            scriptPattern = Pattern.compile("</script>",  
                    Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("<script(.*?)>",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("javascript:",  
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",  
                    Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  

            scriptPattern = Pattern.compile("</iframe>",  
                    Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("<iframe(.*?)>",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("onload(.*?)=",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("oninput(.*?)=",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("onerror(.*?)=",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("onclick(.*?)=",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("confirm(.*?)",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            
            scriptPattern = Pattern.compile("onfocus(.*?)=",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll(""); 
            
            scriptPattern = Pattern.compile("alert(.*?)",  
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE  
                            | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");
            
        }
        return value;
    }
    
    
//    public static void main(String[] args) {
//        System.out.println(stripXss("alert(gergerrg)"));
//    }
    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

}


南方的北方
关注
专栏目录
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2732
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
使用filter过滤xss攻击
lionzl的专栏
12-02 1422
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
XSS-过滤特殊符号的正则绕过
最新发布
ningwangh的博客
08-18 1210
所以将alert转化成30进制。
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5510
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 2030
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
使用Filter防止XSS攻击
逆行者的博客
01-14 8893
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 例如在表单中注入: &lt;script&gt;location.href='http://www.itmayiedu.com'&lt;/script&gt; 注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器 解决方案? 使用Fileter过滤过滤注入标签(将表单中的代码转义成HTML代码)...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
防止XSS攻击解决办法
01-20
在Java Web应用中,可以使用过滤器(Filter)来拦截并处理请求,过滤掉可能的XSS攻击。以下是两种常用的过滤器: 1. OWASP Java Encoder库:这是一个开源项目,提供了针对不同场景的编码函数,可以将用户输入转义为...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击及sql注入.zip
XSS 攻击
Sun_of_Rainy的博客
01-15 235
1.为什么会产生XSS攻击 用户提交用户信息时提交 <script>xxx</script> 例子1 username 输入<script>alert("123")</script> 例子2 username 输入<script>alert("location.href='http.www.xxx.com'")</script> 2. 怎么解决XSS攻击? 将脚本转义然后html进行展示 ...
XSSFilter源码
06-03
XSSFilter源码处理漏洞
xss filter
xiaomin1991222的专栏
11-25 137
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
XSS攻击防御的filter实现
书生的博客
09-01 7937
XSS攻击的基本概念主要是:     恶意用户在网页的可输入的地方输入可执行的脚本(如javascript)代码,从而使网页解析执行该脚本代码来达到攻击的效果, 比如在网站上写一篇文章时包含这段代码: ,如果该字符串在后台没有进行XSS攻击防范,就会导致导致其他人访问该文章时网页执行上面的脚本从而alert(1).防止XSS攻击最主要方式 :       把特殊标签符号转码,比如把”<”, “>
XSS攻击使用Filter转义
熊浪的博客
09-09 865
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
xss攻击字符过滤器 Java_使用Filter过滤解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1033
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
XSS过滤JAVA过滤filter 防止常见SQL注入
weixin_34092370的博客
04-08 381
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
FilterXss攻击
tianyafeng123xin的博客
01-12 506
1、Xss认识 xss表示XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 2、示例 最近看项目时看到的web.xml有一个filter的配置: xssFilter com.exton
SpringBoot 防御Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9136
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
Vue解决xss脚本攻击
07-25
Vue 框架本身并不能直接解决 XSS(跨站脚本攻击)问题,但可以采取一些措施来减轻和防止这类攻击的发生。下面是一些常见的方法: 1. 使用模板语法:Vue 的模板语法会自动对插值进行 HTML 转义,这可以防止恶意脚本的执行。确保在插值表达式中使用双花括号 `{{ }}` 或 `v-text` 指令,而不是 `v-html` 指令。 2. 使用过滤器:Vue 的过滤器可以对数据进行处理和转义,例如使用内置的 `{{ text | filter }}` 语法或者通过全局过滤器。在过滤器中使用可信的 HTML 清理库,如 DOMPurify,对数据进行 XSS 过滤。 3. 使用第三方库:可以使用一些专门用于防止 XSS 攻击的第三方库,例如 vue-xss 或 DOMPurify。这些库提供了更强大的 XSS 过滤和安全性功能,可以在渲染数据之前进行过滤和清理。 4. 输入验证和过滤:在接收用户输入时,进行严格的输入验证和过滤。确保仅接受预期的数据类型和格式,并对用户输入进行适当的转义或过滤。 5. 安全 HTTP 头设置:在服务器端设置适当的 HTTP 头,如 Content-Security-Policy(CSP)和X-XSS-Protection,以帮助防止 XSS 攻击。 6. 定期更新依赖库:保持 Vue 及其相关依赖库的最新版本,以获取最新的安全修复和功能更新。 需要注意的是,以上方法只是减轻和防止 XSS 攻击的一些基本措施,不能保证100%的安全。在开发过程中,还应该密切关注安全性问题,并遵循最佳实践来保护应用程序。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值