jfinal框架中防跨站脚本XSS攻击。

最新推荐文章于 2024-06-28 16:10:48 发布
最新推荐文章于 2024-06-28 16:10:48 发布
阅读量963 收藏 1
点赞数 2
分类专栏: jfinal框架 Java 文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/h__z__q/article/details/119145241
版权

       跨站脚本攻击(XSS)

       Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

     问题解决:

      对于Jfinal轻量级框架解决方式从框架根本从http请求传输过程中特殊字符转义入手。

     1、处理器配置初始化

        
public void configHandler(Handlers me) {
		XssHandler xssHandler = new XssHandler();
		me.add(xssHandler);
}

    2、配置Handler

package com.flysoft.jfinal.core;
/*
 * @author hzq
 * @data 2021-05-1820:34
 *  防止XSS攻击
 * */

import com.jfinal.handler.Handler;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class XssHandler extends Handler {

    @Override
    public void handle(String target, HttpServletRequest request, HttpServletResponse 
        response, boolean[] isHandled) {
        request = new XssRequestWrapper(request);
        next.handle(target, request, response, isHandled);
    }

}

3.配置HttpServletRequestWrapper类       

package com.flysoft.jfinal.core;
/*
 * @author hzq
 * @data 2021-05-18 20:36
 *  防止XSS攻击
 * */

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Pattern;

public class XssRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest request;

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    /**
     * 重写getParameter方法
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        value = format(value);
        return value;
    }

    /**
     * 重写getParameterMap
     */
    @Override
    @SuppressWarnings("unchecked")
    public Map<String, String[]> getParameterMap() {
        HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
        paramMap = (HashMap<String, String[]>) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
            String [] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = format(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }


    /**
     * 重写getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {
        try {
            String[] values = super.getParameterValues(name);
            int count = values.length;   //可能抛空指针
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = format(values[i]);
            }
            return encodedValues;
        }catch (Exception e){
            return null;
        }
    }

    /**
     * 重写getHeader
     */
    @Override
    public String getHeader(String name) {
        // TODO Auto-generated method stub
        return format(super.getHeader(name));
    }


    public String filter(String message) {
        if (message == null)
            return (null);
        message = format(message);
        return message;
    }


    /**
     *  @desc 统一处理特殊字符的方法,替换掉sql和js的特殊字符
     *  @param name 要替换的字符
     */
    private String format(String name) {
        return xssEncode(name);
    }

    /**
     * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符
     *
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }else{
            s = stripXSSAndSql(s);
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append(">");// 转义大于号
                    break;
                case '<':
                    sb.append("<");// 转义小于号
                    break;
                case '\'':
                    sb.append("'");// 转义单引号
                    break;
                case '\"':
                    sb.append(""");// 转义双引号
                    break;
                case '&':
                    sb.append("&");// 转义&
                    break;
                case '#':
                    sb.append("#");// 转义#
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }



    /**
     *
     * 防止xss跨脚本攻击(替换,根据实际情况调整)
     */
    public static String stripXSSAndSql(String value) {
        if (value != null) {
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

}

beliveぃmyself
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JfinalXSS攻击
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 300
public class XssHandler extends BaseHandler { @Override public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) { if (!isFilter(target)) {...
JFinal如何进行XSS攻击过滤
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 237
JFinal如何进行XSS攻击过滤
Jfinal处理XSS漏洞
u013808315的专栏
04-25 2063
创建BaseController继承Jfinal自带的Controller,并供所有业务controller继承。BaseController中重写Controller的getPara(String)方法/** * 重写getpara,处理XSS漏洞 */ @Override public String getPara(String name) { // TODO Au...
JFinalcms 5.0.0代码审计(1)
最新发布
weixin_44513407的博客
06-28 693
JFinalcms代码审计
Jfinal CMS命令注入漏洞
MoLeft's Blog
12-21 1801
如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化。来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可。登录后台,找到模板管理,后台默认账号密码admin/admin123456。在 kali 上运行该工具,启动 rmi 和 ldap 服务。替换payload中的rmi或ldap地址,然后保存到。测试中使用的JDK版本:JDK8u101。jfinal_cms版本:5.0.1。类的构造方法中实例化。
基于jfinalXssHandler,统一处理xss脚本攻击
weixin_34227447的博客
08-10 407
2019独角兽企业重金招聘Python工程师标准>>> ...
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1277
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
JFinal框架Java Web开发中的应用.pdf
06-26
尽管如此,JFinal依然是Java Web开发领域中一个值得推荐的开发框架,特别是在追求快速开发和简单配置的项目中具有很大优势。 从文章中提供的内容来看,JFinal框架的确能够满足当前快速发展的技术和Web需求,且在...
Jfinal框架专题报告.pdf
07-03
Jfinal是目前比较流行的国产JavaWeb框架,该报告是个人课堂演示该框架所写的报告演示。其相关内容均来自JFinal官方社区,保证内容的真实性。部分内容并不详细,具体可自行去官方社区进行查阅学习。如有侵权请联系...
Jfinal框架搭建源码
03-25
内容概要: 使用maven管理jar包,jfinal框架,数据库oracle等技术搭建的框架;直接导入可以运行。 能学到什么: 能学到jfinal框架搭建过程中的基础知识,并且可以用于个人开发项目中的基础框架
jfinal框架搭建
03-22
JFinal 是一个基于Java语言的轻量级Web开发框架,它的设计目标是高效、易用、足够小。本文将深入探讨如何使用JFinal框架搭建一个简单的Web应用,并为初学者提供必要的指导。 首先,理解JFinal的核心特性至关重要。...
jfinal中拦截器(Interceptor)的参数注入
02-26
jfinal中拦截器(Interceptor)的参数注入jfinal中拦截器(Interceptor)的参数注入
基于JFinal的国产微服务框架Jboot设计源码
05-22
Jboot微服务框架:基于JFinal的国产微服务框架,提供超过992个文件,涵盖Java、HTML、JavaScript、Shell和CSS等多种语言。该框架被用于用户量过亿的商业产品,并已被超过1000家公司采用,用于极速开发。
jfinalxss漏洞的处理
huangbaokang的博客
12-11 771
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
代码审计.jfinal.XSS
qq_34012951的博客
03-03 151
detail 查看没有对xss特征进行过滤。1、搜索关键特征,查看是否有xss过滤器。更新修改功能没有对前端参数进行XSS过滤。2、没有全局过滤器,梳理所API.
jfinal ajax post方式提交 后台接收不到数据bug处理及解析
weixin_33929309的博客
09-29 460
2019独角兽企业重金招聘Python工程师标准>>> ...
Jfinal cms前台评论XSS漏洞分析
weixin_30535043的博客
05-14 537
Jfinal cms采用Java语言开发,官方代码仓库为:https://gitee.com/jflyfox/jfinal_cms。 Jfinal cms前台评论处存在XSS漏洞,以v4.6版本为例,下面是简单的漏洞分析。 首先来看如何利用此漏洞。 第一步:填写payload 在新闻评论的地方填写如下payload:abcd<img src="/xswv.png" onerror="...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值