Java Filter过滤xss注入非法参数的方法

最新推荐文章于 2024-07-26 16:43:29 发布
最新推荐文章于 2024-07-26 16:43:29 发布
阅读量1.3w 收藏 9
点赞数 3
分类专栏: java开发工具类
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feng_an_qi/article/details/45666813
版权
本文介绍如何使用Java Filter来过滤HTTP请求中的xss注入非法参数,通过配置web.xml和实现相关类如XssSecurityFilter、XssHttpRequestWrapper、XssSecurityManager,增强Web应用的安全性。
摘要由CSDN通过智能技术生成

web.xml:

<filter>
       <filter-name>XSSFiler</filter-name>
       <filter-class>
           com.paic.mall.web.filter.XssSecurityFilter
       </filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.jsp</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.screen</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <url-pattern>*.shtml</url-pattern>
    </filter-mapping>
    <filter-mapping>
        <filter-name>XSSFiler</filter-name>
        <servlet-name>dispatcher</servlet-name>
    </filter-mapping>


XssSecurityFilter.java

public class XssSecurityFilter implements Filter {

	protected final Logger log = Logger.getLogger(this.getClass());

	public void init(FilterConfig config) throws ServletException {
		if(log.isInfoEnabled()){
			log.info("XSSSecurityFilter Initializing ");
		}
	}

	/**
	 * 销毁操作
	 */
	public void destroy() {
		if(log.isInfoEnabled()){
			log.info("XSSSecurityFilter destroy() end");
		}
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest)request;
		
        XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(httpRequest);
        httpRequest = XssSecurityManager.wrapRequest(xssRequest);
		chain.doFilter(xssRequest, response);
	}

}


XssHttpRequestWrapper.java

/**
 * @author 
 * @date
 * @describe 主要是对参数进行xss过滤&#x
最低0.47元/天 解锁文章
Benzema0909
关注
专栏目录
预防XSS攻击和SQL注入XssFilter
07-23
<filter-name>XssFilter</filter-name> <filter-class>com.xxx.Filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/* </filter-mapping>
Java Filter过滤XSS注入非法参数
小猴子的博客
05-27 1548
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。   web.xml配置 <web
java过滤过滤xss_web项目脚本过滤--XSS过滤
weixin_36239323的博客
02-24 1087
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
Java处理xss漏洞
最新发布
qq_30563727的博客
07-26 295
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4943
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
Java实现XSS防御
清水的专栏
08-26 766
XSS概述 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 xss攻击就是jq或h
java 过滤scrpict标签,XSS之规避过滤小记
weixin_42460407的博客
03-31 434
1,快速检查一个人页面是否有XSS,可以利用容易被轻视的""标签:';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法参数进行编码,确保潜在的危险...
过滤过滤用户输入非法字符
11-03
本文将深入探讨标题中的两个关键类:`XssFilter.java` 和 `XssHttpServletRequestWrapper.java`,以及它们在过滤非法字符中的作用。 首先,`XssFilter.java` 是一个实现了Servlet过滤器接口(javax.servlet.Filter...
java非法字符过滤
05-31
尽管此过滤器能防止大部分非法字符的注入,但对于高级的攻击手段(如SQL注入XSS攻击等),还需结合其他安全措施共同应对。 #### 结论 Java非法字符过滤器是一个实用的工具,它不仅有助于提升应用程序的安全性,...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
xss filter java_XssFilter漏洞解决方案
weixin_35555014的博客
02-22 574
packagecom.itcast.front.save;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;/***XSS请求抓取*@authoryangtong*XssHttpServletRequestWrapper一个是request包装...
xss攻击字符过滤Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1032
JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1547
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6631
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2519
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
java过滤xss_java XSS漏洞过滤
weixin_36053084的博客
02-12 1375
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。项目web.xml配置过滤器:xssAndSqlFiltercom.tp.XSS.XssHttpServletFilterisFiltertruexssAndSqlFilter/*java代码:package com.tp.XSS;import java.io.IOExceptio...
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值