XSS漏洞解决方案之一:过滤器

最新推荐文章于 2024-06-18 11:06:34 发布
最新推荐文章于 2024-06-18 11:06:34 发布
阅读量803 收藏
点赞数
分类专栏: 安全防护 文章标签: XSS j2ee

一:web.xml文件

<!-- 解决xss漏洞 -->
  <filter>
    <filter-name>xssFilter</filter-name>
     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>
  </filter>

  <!-- 解决xss漏洞 -->
  <filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

二:过滤器:XSSFilter.java

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
  }

  @Override
  public void doFilter(ServletRequest request, ServletResponse response,
      FilterChain chain) throws IOException, ServletException {

    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
        (HttpServletRequest) request);
    chain.doFilter(xssRequest, response);
  }

  @Override
  public void destroy() {
  }

}

三:包装器:XssHttpServletRequestWrapper.java

package com.rigel.sandbox.core.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
  HttpServletRequest orgRequest = null;

  public XssHttpServletRequestWrapper(HttpServletRequest request) {
    super(request);
    orgRequest = request;
  }

  /**
   * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
   * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
   * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
   */
  @Override
  public String getParameter(String name) {
    String value = super.getParameter(xssEncode(name));
    if (value != null) {
      value = xssEncode(value);
    }
    return value;
  }

  /**
   * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
   * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
   * getHeaderNames 也可能需要覆盖
   */
  @Override
  public String getHeader(String name) {

    String value = super.getHeader(xssEncode(name));
    if (value != null) {
      value = xssEncode(value);
    }
    return value;
  }

  /**
   * 将容易引起xss漏洞的半角字符直接替换成全角字符
   * 
   * @param s
   * @return
   */
  private static String xssEncode(String s) {
    if (s == null || s.isEmpty()) {
      return s;
    }
    StringBuilder sb = new StringBuilder(s.length() + 16);
    for (int i = 0; i < s.length(); i++) {
      char c = s.charAt(i);
      switch (c) {
      case '>':
        sb.append(">");// 转义大于号
        break;
      case '<':
        sb.append("<");// 转义小于号
        break;
      case '\'':
        sb.append("'");// 转义单引号
        break;
      case '\"':
        sb.append(""");// 转义双引号
        break;
      case '&':
        sb.append("&");// 转义&
        break;
      default:
        sb.append(c);
        break;
      }
    }
    return sb.toString();
  }

  /**
   * 获取最原始的request
   * 
   * @return
   */
  public HttpServletRequest getOrgRequest() {
    return orgRequest;
  }

  /**
   * 获取最原始的request的静态方法
   * 
   * @return
   */
  public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
    if (req instanceof XssHttpServletRequestWrapper) {
      return ((XssHttpServletRequestWrapper) req).getOrgRequest();
    }

    return req;
  }
}
7禧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器Java Servlet API的一部分,...
Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_30640291的博客
06-10 541
转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687 版权声明:本文为博主原创文章,转载请注明出处!有时候也不是原创,手快就选了(我的文章随意转载复制,不在乎的哈!) https://blog.csdn.net/qq_31384551/article/details...
XSS漏洞解决方案之一:过滤器(转载)
wb284551926的博客
11-25 576
一:web.xml文件   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 &lt;!-- 解决xss漏洞 --&gt;    &lt;filter&gt;      &lt;filter-name&gt;xssFilter&...
Web安全基础学习:XSS跨站脚本漏洞之反射型XSS
最新发布
qq_51862722的博客
06-18 685
反射型XSS漏洞:攻击者发送给被攻击者一个邮件信息或者链接,当被攻击者点击并访问该链接时,此时就会向攻击者的目标服务器发起请求,此时根据请求返回相关的script代码,当浏览器解析这些script代码时,此时代码就会在浏览器执行,造成用户被攻击。攻击者针对若该参数未经处理直接拼接到JS中,则会直接执行弹窗代码。若将弹窗代码修改为恶意攻击代码,则会产生严重安全问题。盗取用户登录凭证(Cookie)、劫持用户会话、修改网页内容、网页挂马、恶意重定向、Dos攻击、钓鱼攻击、XSS蠕虫攻击等。
Jeesite安全问题检查及解决方案
chuannie2342的博客
07-27 1358
1、检测到目标URL存在跨站漏洞,检测到目标URL存在框架注入漏洞解决方案: 第一步:web.xml注册监听 <filter> <filter-name>XssFilter</filter-name> <filter-class...
45. 从零开始学springboot撸一个Xss过滤器-注解实现
CTO技术的博客
08-26 349
前言 上章通过Filter实现了Xss全局过滤器 可能小伙伴还有点不满, 全局意味着“一刀切”, 虽然我们也有白名单黑名单设置, 但是, 白名单黑名单针对的是整个方法或整个实体类 举个例子, 我定义了个实体 public class People { private String name; private String info; private String des; } 可能业务上有限制(比如name限制了只有5个字符长), 那么name其实不可能存在Xss注入风险了, 程序
XSS过滤器的配置解析
m0_37027631的博客
12-13 4220
XSS过滤器的配置解析 http://pan.baidu.com/s/1eSgIwMI(百度云代码下载链接) 知识点拓展:在myeclipse或者eclipse中src或者WebRoot(myeclipse中)/WebContent(eclipse中)中的文件的路径是项目的根路径 1、src下(或者任意路径下)创建XSSFilter文件夹,里面创建五个类(详细代码去上边百度云链接地址中下载)
XSS过滤器的实现
weixin_33834679的博客
03-18 972
一、XSS是什么   全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 比如在input框中填写了可以执行的javascript脚本,而后台并没有做过滤与校验。 二、过滤器是什么   过滤器,顾名思义过滤某种物质的设备,在Java中用...
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
django-xss-cleaner:Django XSS 清理器
07-07
或者在模板中,使用过滤器: ```html {{ user_input|xss_clean }} ``` django-xss-cleaner库提供了详尽的文档和示例,帮助开发者更好地理解和使用这个工具。它是一个非常实用的组件,对于任何使用Django开发Web应用...
【RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 3342
简单分析 XSS 过滤器以及 @Xss 注解。
【web-攻击用户】(9.1.4)查找并利用XSS漏洞--反射型
08-27 1044
【查找并利用XSS漏洞】反射型
保姆级教学 XSS攻击的过滤器
m0_59206144的博客
06-07 1723
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
php xss过滤器,Xss过滤器如何配置?Xss过滤器配置方法
weixin_34489089的博客
04-15 781
本篇文章给大家带来的内容是关于Xss过滤器如何配置?Xss过滤器配置方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。1.XSS是什么?跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页...
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
通过Filter和HttpServletResponseWrapper,实现Gzip压缩
Code Of Life
06-06 134
实现定制输出的关键是对HttpServletResponse进行包装,截获所有输出,等过滤器链处理完后, Filter.doFilter,在截获输出进行处理,在写入到真正的HttpServletResponse中。J2EE中已有 HttpServletResponseWrapper,使得包装HttpServletResponse更加容易 [code="java"]public class G...
解决XSS攻击漏斗的过滤器
mhanyue的博客
11-17 2356
新上线的系统被测试出有XSS攻击漏洞,做的过程中一直没有考虑到这个问题。被查出这个问题,通过从网上查阅的资料,将解决方法记录一下,以备不时之需。 什么是XSS XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的
"Flash XSS漏洞挖掘及修复指南:分析、实例和预防方法
Flash XSS漏洞是指在使用Flash技术的网站中存在的一种跨站脚本攻击漏洞。本文旨在介绍Flash XSS漏洞的挖掘过程,包括对漏洞进行分析的要求和案例研究。 1. 引言 Flash XSS漏洞是指通过Flash技术在网站中注入恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值