JSP过滤器防止Xss漏洞

最新推荐文章于 2024-07-26 00:00:00 发布
最新推荐文章于 2024-07-26 00:00:00 发布
阅读量656 收藏
点赞数
分类专栏: 安全防护 文章标签: JSP过滤器 xss
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

XssFilter.java

[java] view plaincopy在CODE上查看代码片派生到我的代码片

    package filter;  
      
    import java.io.IOException;  
      
    import javax.servlet.Filter;  
    import javax.servlet.FilterChain;  
    import javax.servlet.FilterConfig;  
    import javax.servlet.ServletException;  
    import javax.servlet.ServletRequest;  
    import javax.servlet.ServletResponse;  
    import javax.servlet.http.HttpServletRequest;  
      
    public class XssFilter implements Filter {  
      
    public void init(FilterConfig config) throws ServletException {  
    }  
      
    public void doFilter(ServletRequest request, ServletResponse response,  
    FilterChain chain) throws IOException, ServletException   
    {  
    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
    (HttpServletRequest) request);  
    chain.doFilter(xssRequest, response);  
    }  
      
    public void destroy() {  
    }  
    }  



XssHttpServletRequestWrapper.java

[java] view plaincopy在CODE上查看代码片派生到我的代码片

    package filter;  
    import javax.servlet.http.HttpServletRequest;  
    import javax.servlet.http.HttpServletRequestWrapper;  
      
    public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
      
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
    super(request);  
    orgRequest = request;  
    }  
      
    /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */  
    @Override  
    public String getParameter(String name) {  
    String value = super.getParameter(xssEncode(name));  
    if (value != null) {  
    value = xssEncode(value);  
    }  
    return value;  
    }  
      
    /**
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
    * getHeaderNames 也可能需要覆盖
    */  
    @Override  
    public String getHeader(String name) {  
      
    String value = super.getHeader(xssEncode(name));  
    if (value != null) {  
    value = xssEncode(value);  
    }  
    return value;  
    }  
      
    /**
    * 将容易引起xss漏洞的半角字符直接替换成全角字符
    *
    * @param s
    * @return
    */  
    private static String xssEncode(String s) {  
    if (s == null || s.isEmpty()) {  
    return s;  
    }  
    StringBuilder sb = new StringBuilder(s.length() + 16);  
    for (int i = 0; i < s.length(); i++) {  
    char c = s.charAt(i);  
    switch (c) {  
    case '>':  
    sb.append('>');//全角大于号  
    break;  
    case '<':  
    sb.append('<');//全角小于号  
    break;  
    case '\'':  
    sb.append('‘');//全角单引号  
    break;  
    case '\"':  
    sb.append('“');//全角双引号  
    break;  
    case '&':  
    sb.append('&');//全角  
    break;  
    case '\\':  
    sb.append('\');//全角斜线  
    break;  
    case '#':  
    sb.append('#');//全角井号  
    break;  
    default:  
    sb.append(c);  
    break;  
    }  
    }  
    return sb.toString();  
    }  
      
    /**
    * 获取最原始的request
    *
    * @return
    */  
    public HttpServletRequest getOrgRequest() {  
    return orgRequest;  
    }  
    /**
    * 获取最原始的request的静态方法
    *
    * @return
    */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
    if(req instanceof XssHttpServletRequestWrapper){  
    return ((XssHttpServletRequestWrapper)req).getOrgRequest();  
    }  
      
    return req;  
    }  
    }  

在web.xml中添加

[html] view plaincopy在CODE上查看代码片派生到我的代码片

     <filter>  
    <filter-name>xssFilter</filter-name>  
    <filter-class>filter.XssFilter</filter-class>  
    </filter>  
    <filter-mapping>  
    <filter-name>xssFilter</filter-name>  
    <url-pattern>/*</url-pattern>  
    </filter-mapping> 

7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
JSP过滤器防止Xss漏洞的实现方法
编码行者的博客
08-08 1621
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,
过滤器防止xss攻击
yizhousai0662的博客
09-01 1202
参数中有关xss攻击的非法字符全部处理掉。
Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_30640291的博客
06-10 541
转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687 版权声明:本文为博主原创文章,转载请注明出处!有时候也不是原创,手快就选了(我的文章随意转载复制,不在乎的哈!) https://blog.csdn.net/qq_31384551/article/details...
解决jsp页面引入百度编辑器,出现xss漏洞
qq_32736535的博客
03-01 4284
前端部分引用代码 <form method="post" action="" enctype="multipart/form-data" id="theForm" onsubmit="return validateSubmitForm(this)"> <tr> <th> 内容: </th> <td colspan="3"> <textarea class="e
UEditor编辑器存储型XSS漏洞
weixin_50464560的博客
04-18 3007
挖洞经验|UEditor编辑器存储型XSS漏洞 - FreeBuf网络安全行业门户 前言 UEditor是由百度web前端研发部开发的所见即所得富文本web编辑器,具有轻量,可定制,注重用户体验等特点。UEditor存在一个XSS漏洞,编辑器在定义过滤规则的时候不严和读取内容的时候的绕过导致了该漏洞,此漏洞已经上报,由于技术略菜,有分析不到位的还请多多见谅。 漏洞成因分析 漏洞文件产生在前端配置文件ueditor.config.js: 以下为纯文本粘贴为true时的过滤规则,对一些危险的标签没有做
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 4385
存储型XSS和反射型XSS修复
百度html编辑器 xss,百度ueditor编辑器-xss漏洞
weixin_33871933的博客
06-25 1077
百度ueditor编辑器 xss漏洞一、漏洞简介产品官网下载地址:涉及版本:php , asp, jsp, net二、漏洞影响三、复现过程漏洞分析存在漏洞的文件:/php/getContent.php/asp/getContent.asp/jsp/getContent.jsp/net/getContent.ashx/php/getContent.php入进行了过滤,但是在14行输出时却使用了htm...
java struts2防止xss_JSP Struts过滤xss攻击的解决办法|chu
weixin_34640687的博客
02-16 116
JSP Struts过滤xss攻击的解决办法本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml ...此处省略n个action Java代码...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 611
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
反射型与dom型的xss的区别【源码分析】
2301_80064376的博客
07-26 2083
攻击点反射型 XSS:恶意代码通过 HTTP 请求发送到服务器,并在服务器响应中反射回客户端。DOM 型 XSS:恶意代码直接在客户端(浏览器)中通过 JavaScript 动态生成和执行。执行位置反射型 XSS:服务器响应时执行。DOM 型 XSS:客户端 JavaScript 处理时执行。防御重点反射型 XSS:服务器端的输入验证和输出编码。DOM 型 XSS:客户端 JavaScript 的输入验证和安全的 DOM 操作。
chromedriver-mac-arm64_126.0.6474.0.zip
07-31
chromedriver-mac-arm64_126.0.6474.0.zip
chromedriver-mac-arm64_128.0.6548.0.zip
07-31
chromedriver-mac-arm64_128.0.6548.0.zip
MySQL查询加速器:利用Query Cache提升效率
07-31
MySQL是一个流行的开源关系型数据库管理系统(RDBMS),广泛用于Web应用程序的后端数据存储。它基于结构化查询语言(SQL)来管理数据,并且是LAMP(Linux, Apache, MySQL, PHP/Python/Perl)技术栈的一部分,这个技术栈常用于构建动态网站和Web应用程序。 MySQL的特点包括: - **开放源代码**:MySQL的源代码是公开的,任何人都可以自由使用和修改。 - **跨平台**:MySQL可以在多种操作系统上运行,包括Linux、Windows、macOS等。 - **高性能**:MySQL以其快速的查询处理和良好的性能而闻名。 - **可靠性**:MySQL提供了多种机制来确保数据的完整性和可靠性,包括事务支持、备份和恢复功能。 - **易于使用**:MySQL提供了简单直观的界面和丰富的文档,便于用户学习和使用。 - **可扩展性**:MySQL支持从小型应用到大型企业级应用的扩展。 - **社区支持**:由于其广泛的使用,MySQL拥有一个活跃的开发者社区,提供大量的资源和支持。 MySQL被广泛应用于各种场景,包括在线事务处理(OL
Objective-C语言的基础教程.md
最新发布
07-31
Objective-C是一种面向对象的编程语言,是C语言的扩展。它主要用于苹果的iOS和macOS应用程序开发。
暂存暂存暂存暂存暂存暂存暂存暂存
07-31
暂存暂存暂存暂存暂存暂存暂存暂存
jsp 页面script标签xss漏洞
08-19
对于JSP页面中的script标签,存在一些潜在的XSS漏洞,这些漏洞主要来源于两个方面。 首先,通过动态生成的页面内容,如果不经过合适的处理就直接输出到script标签中,就可能导致XSS漏洞。攻击者可以在输入框中输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值