Java Filter过滤xss注入非法参数的方法

最新推荐文章于 2024-07-11 17:44:10 发布
最新推荐文章于 2024-07-11 17:44:10 发布
阅读量1.3w 收藏 9
点赞数 3
分类专栏: java开发工具类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feng_an_qi/article/details/45666813
版权
本文介绍如何使用Java Filter来过滤HTTP请求中的xss注入非法参数,通过配置web.xml和实现相关类如XssSecurityFilter、XssHttpRequestWrapper、XssSecurityManager,增强Web应用的安全性。
摘要由CSDN通过智能技术生成

web.xml:

<filter>
       <filter-name>XSSFiler</filter-name>
       <filter-class>
           com.paic.mall.web.filter.XssSecurityFilter
       </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.jsp</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.screen</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.shtml</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>


XssSecurityFilter.java

public class XssSecurityFilter implements Filter {

	protected final Logger log = Logger.getLogger(this.getClass());

	public void init(FilterConfig config) throws ServletException {
		if(log.isInfoEnabled()){
			log.info("XSSSecurityFilter Initializing ");
		}
	}

	/**
	 * 销毁操作
	 */
	public void destroy() {
		if(log.isInfoEnabled()){
			log.info("XSSSecurityFilter destroy() end");
		}
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest)request;
		
        XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(httpRequest);
        httpRequest = XssSecurityManager.wrapRequest(xssRequest);
		chain.doFilter(xssRequest, response);
	}

}


XssHttpRequestWrapper.java

/**
 * @author 
 * @date
 * @describe 主要是对参数进行xss过滤&#x
最低0.47元/天 解锁文章
Benzema0909
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
java过滤xss_Java对类进行XSS过滤
weixin_36253537的博客
02-12 815
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
java过滤xss_java处理XSS过滤方法
weixin_32533659的博客
02-12 1886
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤如果采用了struts2,那么需要重写StrutsRequestWrapper如果没有采用struts2,那么直接重写HttpServletRequestWraper在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:@Overridepublic Map g...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6574
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 853
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
Java Filter过滤XSS注入非法参数
小猴子的博客
05-27 1535
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。   web.xml配置 <web
java过滤有可能的xss攻击的参数
zhongyangjian的专栏
10-20 1621
public boolean checkXssChar(String s){         if(s != null){             String [] str = {"","\"","'","(",")"};             for (String string : str) {                 if(s.indexOf(string) != -1)
预防XSS攻击和SQL注入XssFilter
07-23
<filter-name>XssFilter</filter-name> <filter-class>com.xxx.Filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/* </filter-mapping>
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法参数进行编码,确保潜在的危险...
过滤过滤用户输入非法字符
11-03
本文将深入探讨标题中的两个关键类:`XssFilter.java` 和 `XssHttpServletRequestWrapper.java`,以及它们在过滤非法字符中的作用。 首先,`XssFilter.java` 是一个实现了Servlet过滤器接口(javax.servlet.Filter...
java非法字符过滤
05-31
尽管此过滤器能防止大部分非法字符的注入,但对于高级的攻击手段(如SQL注入XSS攻击等),还需结合其他安全措施共同应对。 #### 结论 Java非法字符过滤器是一个实用的工具,它不仅有助于提升应用程序的安全性,...
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Java简单的XSS过滤方法
热门推荐
IT界迷者Blog--
10-17 1万+
Java简单的XSS过滤方法 因为某甲方程序XSS过滤类一直没起作用,所以百度了下,简单的写了个参数XSS过滤方法。。。。。上代码~~ import java.io.UnsupportedEncodingException; import java.net.URLDecoder; public class Xss { public static void main(String[] ar...
java过滤xss_java XSS漏洞过滤
weixin_36053084的博客
02-12 1351
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。项目web.xml配置过滤器:xssAndSqlFiltercom.tp.XSS.XssHttpServletFilterisFiltertruexssAndSqlFilter/*java代码:package com.tp.XSS;import java.io.IOExceptio...
JAVA代码审计XSSFilter动态代理过滤
Karka_的博客
09-14 796
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤
java过滤过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 579
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章中,其实已经讲到了。...
java filter实现xss过滤
03-29
XSS(跨站脚本)攻击是一种常见的web漏洞,攻击者通过在web页面中注入恶意脚本来获取用户的敏感信息或控制用户的浏览器。为了防止XSS攻击,我们需要对用户输入的内容进行过滤和转义。 在Java中,可以使用Filter来实现XSS过滤。具体实现如下: 1. 创建一个Filter类,实现javax.servlet.Filter接口。 2. 在doFilter方法中,获取HttpServletRequest对象,并使用XSS过滤工具对用户输入参数进行过滤。 3. 在过滤完成后,将HttpServletRequest对象传递给FilterChain对象,继续处理请求。 下面是一个简单的XSS过滤Filter的实现: ``` public class XSSFilter implements Filter { public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; // 对参数进行XSS过滤 Map<String, String[]> parameterMap = req.getParameterMap(); for (String key : parameterMap.keySet()) { String[] values = parameterMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = XSSUtils.stripXSS(values[i]); } parameterMap.put(key, values); } // 继续处理请求 chain.doFilter(req, resp); } public void destroy() { // 销毁操作 } } ``` 在上述代码中,XSSUtils.stripXSS方法XSS过滤工具类的实现,可以使用第三方库或自己实现。在这里,我们使用了OWASP ESAPI库中的XSS过滤方法: ``` public class XSSUtils { public static String stripXSS(String value) { if (value != null) { // 使用ESAPI库进行XSS过滤 value = ESAPI.encoder().canonicalize(value); value = ESAPI.encoder().encodeForHTML(value); } return value; } } ``` 通过以上实现,我们就可以在web应用程序中使用XSS过滤Filter来防止XSS攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值