跨站点脚本拦截-filter

最新推荐文章于 2022-07-24 10:23:53 发布
最新推荐文章于 2022-07-24 10:23:53 发布
阅读量1k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flash8627/article/details/41747611
版权

常规攻击预防,如果不做这样的测试你在表单提交的时候做如下测试,看看是什么效果;

package com.romeo.backbone.untils;

import java.io.UnsupportedEncodingException;

/**
 * 过滤危险的字符
 * 
 * @author aGuang
 * 
 */
public class DangerString {

	/*** 转义字符* @param value* @return */
	static public String filter(String value) {
		if (value == null) {
			return null;
		}
		StringBuffer result = new StringBuffer(value.length());
		for (int i = 0; i < value.length(); ++i) {
			switch (value.charAt(i)) {
			case '<':
				result.append("<");
				break;
			case '>':
				result.append(">");
				break;
			case '"':
				result.append(""");
				break;
			case '\'':
				result.append("'");
				break;
			case '%':
				result.append("%");
				break;
			case ';':
				result.append(";");
				break;
			case '(':
				result.append("(");
				break;
			case ')':
				result.append(")");
				break;
			case '&':
				result.append("&");
				break;
			case '+':
				result.append("+");
				break;
			default:
				result.append(value.charAt(i));
				break;
			}
		}
		return result.toString();
	}

	/**
	 * 过滤掉用户输入中的危险字符
	 * 
	 * @param value
	 * @return
	 */
	static public String filterDangerString(String value) {
		if (null == value)
			return null;
		value = value.replaceAll("script", "ipscrt");
		value = value.replaceAll("applet", "letapp");
		value = value.replaceAll("embed", "bedem");

		return value;
	}

	/**
	 * 将 inStr 转为 UTF - 8 的编码形式
	 * 
	 * @param inStr
	 *            输入字符串
	 * @return UTF - 8 的编码形式的字符串
	 * @throws UnsupportedEncodingException
	 */
	static public String toUTF(String inStr) throws UnsupportedEncodingException {
		String outStr = "";
		if (inStr != null) {
			// outStr=java.net.URLDecoder.decode(inStr);// 不用 decode 了 ,
			// 到这的时候就已经自动 decode 过了
			// 将字符串转为 UTF-8 编码形式
			outStr = new String(inStr.getBytes("iso-8859-1"), "UTF-8");
		}
		return outStr;
	}

}



package com.gwtjs.filter;

import java.util.Enumeration;
import java.util.Map;
import java.util.Vector;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class ParameterRequestWrapper extends HttpServletRequestWrapper {

	public ParameterRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	private final Map<String, String[]> params;

	@Override
	public Enumeration<String> getParameterNames() {
		Vector<String> l = new Vector<String>(params.keySet());
		return l.elements();
	}

	@Override
	public String[] getParameterValues(String name) {
		Object v = params.get(name);
		if (v == null) {
			return null;
		} else if (v instanceof String[]) {
			return (String[]) v;
		} else if (v instanceof String) {
			return new String[] { (String) v };
		} else {
			return new String[] { v.toString() };
		}
	}

	@Override
	public String getParameter(String name) {
		Object v = params.get(name);
		if (v == null) {
			return null;
		} else if (v instanceof String[]) {
			String[] strArr = (String[]) v;
			if (strArr.length > 0) {
				return strArr[0];
			} else {
				return null;
			}
		} else if (v instanceof String) {
			return (String) v;
		} else {
			return v.toString();
		}
	}

}



package com.gwtjs.filter;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.log4j.Logger;

import com.romeo.backbone.untils.DangerString;

public class HttpServletParamsRequestFilter implements Filter {

	private static Logger logger = Logger.getLogger(HttpServletRequest.class);

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		String url = req.getRequestURL().toString();
		String ip = req.getRemoteAddr();
		String contextPath = req.getContextPath();
		logger.info(url);
		logger.info(ip);
		logger.info(contextPath);
		Map<String, String[]> parameterMap = req.getParameterMap();
		List<String> keys = new ArrayList<String>();
		keys.addAll(parameterMap.keySet());
		keys.addAll(parameterMap.keySet());
		for (int i = 0; i < keys.size(); i++) {
			String key = keys.get(i);
			String[] value = parameterMap.get(key);
			for (int j = 0; j < value.length; j++) {
				String val = DangerString.filter(value[j]);
				value[j] = val;
			}
		}
		ParameterRequestWrapper wrapRequest = new ParameterRequestWrapper(req,parameterMap);

		chain.doFilter(wrapRequest, response);
	}

	public void destroy() {
		// TODO Auto-generated method stub

	}

	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub

	}

}







flash8627
关注
配置过滤器filter跨站脚本攻击XSS实现拦截
08-06 5162
filter的原理图见上博原理图 1.web.xml中配置filter XssFilter com.wk.util.XssFilter XssFilter /* 2.编写相应的filter的java类 package com.wk.util; import java.io.IOException; import javax.servlet
XSS攻击修改服务器的代码,跨站脚本攻击(XSS)(示例代码)
weixin_27034523的博客
08-11 2082
XSS分类:(1)反射型XSS:只是简单地把用户输入的数据反射给浏览器。往往需要诱使用户“点击”一个恶意链接。也叫“非持久型XSS”(2)存储型XSS:把用户输入的数据“存储”在服务器端。也叫“持久型XSS”(3)DOM Based XSS:从效果上来说也是反射型XSS,通过修改页面的DOM结点形成的XSS。1.cookie劫持:httponly或者将cookie和客户端IP绑定可防止2.XSSP...
跨站脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
跨站请求拦截
weixin_30784945的博客
06-23 180
症状:已拦截源请求:同源策略禁止读取位于xxx的远程资源。(原因:CORS 头缺少 'Access-Control-Allow-Origin')。解决:在配置文件添加如下一行,域名修改为自己的域名或者* 转载于:https://www.cnblogs.com/redheat/p/7069556.html...
跨站攻击防御拦截方案
星力量的博客
04-01 665
跨站攻击防御拦截方案 跨站攻击简介 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 防御拦截方案 方案一:
记录"如何防止跨站脚本攻击"之抄写
zhangge3663的博客
03-22 386
一.简介        跨站脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏览器也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。      这种漏洞(XSS)通
java防跨站点源码
01-07
Java防跨站点源码主要涉及的是Web应用安全领域的一个重要概念——防止跨站脚本攻击(Cross-Site Scripting,简称XSS)。XSS是一种常见的网络攻击方式,攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下...
WEB漏洞篇——跨站脚本攻击(XSS)
m0_56634355的博客
06-05 4750
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
XSS跨站脚本攻击与CSRF跨站请求伪造攻击的学习总结。
前端小工
07-19 1万+
之前就了解过这方面的知识,但是没有系统地总结。今天在这总结一下,也让自己在接下来的面试有个清晰的概念。XSS跨站脚本攻击: xss 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets,CSS)缩写混淆,所以将跨站脚本攻击缩写为xss。Xss是攻击者在web页面插入恶意的代码。当用户浏览该页面的时候,代码执行,从而实现攻击目的
xss跨站脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
怎么防止跨站脚本攻击(XSS)?
Learn-anything.cn
11-24 3432
一、XSS 是什么? 跨站脚本攻击(Cross-site scripting,XSS)是攻击者向网站注入恶意脚本,等待用户访问网站并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的: 盗用cookie,获取敏感信息。 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
如何防止跨站脚本 (XSS) 攻击完整指南
allway2的博客
07-24 2804
XSS被认为是最危险的攻击之一,因为它的主要目的是窃取网站或系统的用户身份。在这种类型的攻击中,恶意代码或脚本被保存在网络服务器上(例如,在数据库中),并在用户每次调用适当的功能时执行。根据我的软件测试经验,我想补充一点,如果选择了一个好的黑盒测试技术并准确地执行,那么这应该足够了。如果恶意用户将此脚本注入网站代码,那么它将在用户的浏览器中执行,并将cookie发送给恶意用户。重要的是要记住,结果意味着什么,应用程序是易受攻击的,它会彻底分析结果。但是,插件被认为是检查此类攻击的相当薄弱的工具。...
如何防止跨站脚本攻击
大明的博客
08-21 2166
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 跨站脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏
[科普]如何防止跨站脚本攻击
iiiiiiiiiiii9的专栏
01-19 1732
1. 简介跨站脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏览器也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。这种漏洞(XSS)通常用于发动cookie窃取、恶意软
Internet Explorer已对此页面进行了修改,以帮助阻止跨站脚本解决
数据库天地
11-20 643
环境:IE9 今天使用有道词典分享每日英语到新浪微博的时候,提示:“Internet Explorer 已对此页面进行了修改,以帮助阻止跨站脚本。单击此处,获取详细信息...”。这个错误是由于 IE9 的跨站脚本(Cross-site scripting, XSS)防护阻止了跨站发送的请求。 点击 IE9 的“工具”-&gt;“Internet 选项”,进入“安全”选项卡,打开“Inter...
跨站脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 跨站脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
跨站脚本编制(好多博客说写的过滤器亲测都是假的,都拿不到参数)
阳光
12-11 2081
为什么说别人的都是有问题的呢,看起来没问题,实际上request获取的getParameterMap拿到的Map是锁定的,不能修改,   如何修改拿到的Map呢,需要引入tomcat里的catalina.jar 参考https://blog.csdn.net/darkness_j/article/details/6325245 如下:亲测可用 最后value = HtmlUtils.ht...
XSS攻击详解:跨站脚本危害与类型分析
"xss跨站脚本攻击-运维安全详细笔记" XSS(Cross-site scripting)跨站脚本攻击是一种常见的网络安全威胁,它利用了Web应用程序未能充分验证和过滤用户输入的情况。攻击者通过在网页上注入恶意脚本,使得其他用户在...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值