Struts2.3 以及 2.5 过滤 xss攻击 的一种解决方案

最新推荐文章于 2024-07-10 15:30:25 发布
最新推荐文章于 2024-07-10 15:30:25 发布
阅读量1.1w 收藏 4
点赞数 3
分类专栏: JavaWeb 文章标签: struts2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huplion/article/details/49001151
版权
该博客探讨了Struts 2.3和2.5版本中过滤XSS攻击的方法。在Struts 2.3中,通过拦截器和参数转码来防御;而在Struts 2.5,由于API变化,需要适配新的HttpParameters对象。升级到2.5可能不兼容2.3,但经过测试,XssInterceptor的调整似乎可以应对大多数情况。
摘要由CSDN通过智能技术生成

Struts 2.3

本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。
配置struts.xml

<package name="default" namespace="/"
        extends="struts-default, json-default">
        <!-- 配置拦截器 -->
        <interceptors>
            <!-- 定义xss拦截器 -->
            <interceptor name="xssInterceptor" class
最低0.47元/天 解锁文章
胡大炮的妖孽人生
关注
专栏目录
XXS 安全防护:拦截器+注解实现校验
javaxueba的博客
09-02 216
XSS(跨站脚本)攻击是一种网络安全威胁,允许攻击者注入恶意脚本到看似安全的网站。当用户浏览这些被注入恶意代码的网页时,恶意脚本会在用户的浏览器环境中执行,这可能导致多种安全问题,如窃取敏感数据、劫持用户会话等。这些攻击利用了应用程序对用户输入处理不当的问题。预防方法包括输入验证、输出编码等。
struts2拦截器添加及xss攻击的处理
彬哥哥的博客
06-21 5373
struts2拦截器添加及xss攻击的处理
java struts2防止xss_拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式
weixin_34481252的博客
02-13 702
使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2XSS攻击进行拦截过滤防御解决:Struts2.3本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml:...此处省略n个actionJava代码,拦截器实现类:importjava.util.Map;importorg...
java struts2防止xss_JSP Struts过滤xss攻击的解决办法
weixin_42298802的博客
02-13 309
JSP Struts过滤xss攻击的解决办法本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xmlextends="struts-default, json-default">...此处省略n个actionJava代码,拦截器实现类import java.util.Map;import org.apache.commons.lang3.StringEsca...
struts2 预防xss攻击
weixin_42070436的博客
09-19 2569
struts2 预防xss攻击什么是XSS攻击举个例子代码 最近接触了一个比较老的项目用的ssh框架 甲方测试提出了这个xss漏洞 什么是XSS攻击 XSS一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种...
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
Fortify SCA检测Java程序问题及解决方法
han071530342的专栏
11-13 2875
一、输入验证 1.1 sql注入 SQL Injection Abstract 通过不可信来源的输入构建动态SQL指令,攻击者就能够修改指令的含义或者执行任意SQL命令。 Explanation SQL injection错误在以下情况下发生: 1.数据从一个不可信赖的数据源进入程序。 2.数据用于动态地构造一个SQL查询。 例1:以下代码动态地构造并执行...
2021web安全最全学习路线,从入门到入职(含书籍、工具包)
weixin_54787877的博客
03-13 9370
本次写的是一篇如何通过针对性系统学习Web安全或者说如何能成为一名渗透测试人员(有疑问或者错误的地方还望大家多多指正)。 相信大家每学习一样东西的时候都是存在一种很迷茫的心态(包括我自己),上网找视频找文章找资料学习得零零散散,最后还是浪费时间只得到一身三脚猫功夫。只有成体系的去学习、让自己的知识由点变成面,这样才能变得更强(文末附上书籍和工具包,希望大家查漏补缺,强中强)! Web 安全 主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF 漏洞、文件处理漏洞、访问控制漏洞、会
《白帽子讲Web安全 》 随手记(一)
ai_64的博客
04-04 2042
第一遍阅读这本书是在今年春节,那时读得太匆忙,加上对Web上存在的威胁了解不多,那时并不觉这本书较同类书籍有什么特别之处。 时隔3个月第二次阅读,醍醐灌顶,特别是讲解原理的部分,深入浅出,很好的梳理了各个知识点。 毫无疑问,这本书不久我还会读第三遍,不愧为安全从业必读书籍。 这本书的地位: 这本书在安全界地位非常高。首先这本书出版时间是2012年,时间比较早, ...
最全的入门web安全渗透路线
m0_63715896的博客
12-23 752
本次写的是一篇如何通过针对性系统学习Web安全或者说如何能成为一名渗透测试人员(有疑问或者错误的地方还望大家多多指正)。 web 安全主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等。中间件安全主要包括 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等。操作系统安全主要包括 Windows 操作系统、Linux 操作系统知识。数据库安全主要包括 Mssql数据库、Mysql数据库、Or
js 监听iframe 内部接口是否请求完成_接口安全性测试技术(6):XSS
weixin_39861054的博客
12-03 465
什么是XSS跨站脚本攻击是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入的Script代码会被执行,从而达到恶意攻击用户的目的。XSS类型1.反射式XSS反射型 XSS 一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时 候,恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、...
Struts2 Xss 攻击预防的处理
hello world!
12-15 2892
摘要: 关于XSS问题的处理,此前在博客 http://blog.csdn.net/catoop/article/details/50338259 中写过处理方法。刚好最近朋友有问到“在Struts2中按文章中那样处理无效”,后来验证了下发现,Struts2 对请求的二次封装有所不同,于是针对Struts. 关于XSS问题的处理,此前在博客 http://blog.csdn.net/ca
Struts2修复xss***
weixin_34250709的博客
03-07 261
概述 struts版本:2.3.4.1tomcat版本:6 第一种修复方法 参考文章:https://yq.aliyun.com/articles/7126 (不过安全按照该方法无法修复,只能参考思路) 重写StrutsPrepareAndExecuteFilter,注册自定义Dispatcher public class MStrutsPrepareAndExecuteFilter exte...
java struts2 xss_Apache Struts2提供的最新demo中几处XSS(不严谨啊!不严谨啊!)
weixin_39640883的博客
03-04 80
漏洞概要缺陷编号:WooYun-2013-036691漏洞标题:Apache Struts2提供的最新demo中几处XSS(不严谨啊!不严谨啊!)相关厂商:apache漏洞作者:Nebula提交时间:2013-09-10 17:55公开时间:2013-10-25 17:56漏洞类型:XSS 跨站脚本攻击危害等级:低自评Rank:1漏洞状态:未联系到厂商或者厂商积极忽略Tags标签:漏洞详情披露状态...
Struts 2 防御存储型XSS攻击
coderWang
11-07 460
在Struts中拦截XSS攻击可以通过配置拦截器来实现。
基于Struts2修复XSS漏洞(博主验证有效)
weixin_42210904的博客
07-21 1543
--------------------------------------------------------XSSFilter --------------------------------------------------- package com.itcast.filter; import com.itcast.utils.XssRequestWrappers; import javax.servlet.*; import javax.servlet.http.HttpServletReq.
XSS转码 && struts2 property标签的bug
wei
03-25 263
一。了解背景 下面两张图,比较html转义和js的转义。 一定要区分清楚的是,内容回写页面,一定要做的是JS转义!!而不仅仅是html转义   从上面两张图可以看出,js里面需要转义到的 单引号',反斜杠\ 均不在html转义字符之列!(如果针对XSS的话,只要对 &lt; &gt; ' ")     二。&lt;s:property value="xx"/&gt;...
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1568
一、什么是XSS攻击 XSS一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
struts2如何防止XSS脚本攻击(XSS防跨站脚本攻击过滤器)
最新发布
qq_37996327的博客
07-10 531
struts2如何防止XSS脚本攻击(XSS防跨站脚本攻击过滤器)
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值