防xss攻击,需要对请求参数进行escape吗?

最新推荐文章于 2023-03-26 16:11:26 发布
最新推荐文章于 2023-03-26 16:11:26 发布
阅读量3.5k 收藏 1
点赞数 2
分类专栏: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hw1287789687/article/details/51100669
版权

防xss攻击,需要对请求参数进行escape吗?

先看一个测试:
请求:
http://localhost:8080/testapi/testapi?apiPath=http%3A%2F%2Fhbjltv.com%2Finfo%2Frequest%3Fusername%3Dhuang%26password%3Dadmin
解码之后就是:
http://localhost:8080/testapi/testapi?apiPath=http://hbjltv.com/info/request?username=huang&password=admin

该接口用于测试协作方接口的应答状态码.
为了防止xss攻击,所以对所有参数都进行html escape:

@RequestMapping("/testapi")
    @ResponseBody
    public String test(String apiPath, String requestMethod) throws IOException {
        apiPath = HtmlUtils.htmlEscape(apiPath);
        URL url = new URL(apiPath);
        URLConnection urlConnection = url.openConnection();
        HttpURLConnection httpUrlConnection = (HttpURLConnection) urlConnection;
        httpUrlConnection.setDoInput(true);
        httpUrlConnection.setUseCaches(false);
        if (!ValueWidget.isNullOrEmpty(requestMethod)) {
            httpUrlConnection.setRequestMethod(requestMethod);
        }
        httpUrlConnection.connect();
        int responseStatusCode = httpUrlConnection.getResponseCode();
        httpUrlConnection.disconnect();
        System.out.println("responseStatusCode:" + responseStatusCode);
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("responseCode", responseStatusCode);

        map.put("apiPath", apiPath);
        return HWJacksonUtils.getJsonP(map);
    }

看看协作方接口收到的参数:
协作方后台日志
我传递的参数名称明明是password,但是现在怎么变成了amp;password ?
因为:

apiPath = HtmlUtils.htmlEscape(apiPath);

所以对参数进行HTML escape时应该不处理&

修改HTML escape 的函数如下:

调皮的芋头
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
layui前端框架-其他
06-11
<p>layui是一款采用自身模块规范编写的前端UI框架,遵循原生HTML/CSS/JS的书写与组织形式,门槛极低,拿来即用。其外在极简,却又不失饱满的内在,体积轻盈,组件丰盈,从核心代码到API的每一处细节都经过精心雕琢,非常适合界面的快速开发。layui首个版本发布于2016年金秋,她区别于那些基于MVVM底层的UI框架,却并非逆道而行,而是信奉返璞归真之道。准确地说,她更多是为服务端程序员量身定做,你无需涉足各种前端工具的复杂配置,只需面对浏览器本身,让一切你所需要的元素与交互,从这里信手拈来。</p><p> </p><p>layui前端框架更新日志:</p><p>v2.6.8</p><p>[重写] sort 方法,以便对数字、非数字及混合类等所有内容的排序进行支持</p><p>[新增] dropdown 组件的 align 参数,用于控制下拉菜单水平对齐方式(支持 left、center、right),默认 left</p><p>[新增] table 组件的 escape 参数,用于是否开启 xss 字符过滤(默认 false)</p><p>[加强] table 组件的自定义模板功能,返回 LAY_COL 字段,可得到当前列的表头配置信息</p><p>[加强] form 组件对验证不通过的表单项自动定位到可视区域,不再是只对输入框自动获焦定位 </p><p>[加强] form 组件对 url 的验证</p><p>[修复] form 相关 css 的 layui-checkbox-disabled 书写错误(之前为 disbaled) </p><p>[修复] form 组件的 select option 内容出现换行时的样式异常问题</p><p>[修复] colorpicker 颜色选择组件在 Firefox 下选择颜色时的若干兼容问题</p><p>[加强] colorpicker 组件的坐标定位计算方式</p><p>[修复] 低版本 ie 若干报错问题</p>
XSS(跨站脚本攻击)漏洞解析(带靶场演示)
最新发布
wudideaqing的博客
06-24 2041
XSS(跨站脚本攻击,全称Cross-Site Scripting)是一种常见网络安全漏洞,允许攻击者在用户浏览器中执行恶意脚本。攻击者通过在受信任网站中注入恶意代码,诱骗用户点击或加载恶意内容,从而窃取数据、篡改页面或劫持用户。
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1226
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
springboot xss攻击的三种方式(SQL注入适用)
qq_38275707的博客
09-09 1664
文章目录拦截器自定义消息转码器注解+反射比较 XSS攻击和SQL注入,原理就不多说了,主要记录一下3种方式来避免 拦截器 主要是继承HttpServletRequestWrapper,然后重写里面的方法实现,再加上实现Filter达到拦截效果。其实转码方式可以直接用HtmlUtils.htmlEscape,但是getInputStream里面返回会有“\t”,会被转义,导致json格式不对,所以只能自己写转义方法 ,也可以不重写getInputStream,改为直接对json化工具动手,直接注入自定义的ob
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1452
防止xss存储型攻击
XSS攻击实现
05-09
XSS(Cross Site ...总的来说,防止XSS攻击需要综合运用多种御手段,包括输入验证、输出编码、使用安全的HTTP方法以及自定义Spring MVC的参数绑定逻辑。理解这些技术并正确实施,可以显著提高Web应用的安全性。
java 预XSS攻击
08-23
本文将深入探讨如何在Java后端进行XSS攻击的策略。 1. **理解XSS类型**: - **存储型XSS**:攻击者的脚本被存储在服务器上,如论坛帖子、评论等,当其他用户访问这些内容时,恶意脚本会被执行。 - **反射型...
JSP Struts过滤xss攻击的解决办法
10-19
配置完成后,Struts2会自动在每个Action调用前执行`XssInterceptor`,对所有请求参数进行HTML实体编码,防止XSS攻击。 **4. XSS转码库** 在上述示例中,我们使用了Apache Commons Lang的`StringEscapeUtils`类来...
反射型xss攻击代码.rar
05-14
6. **使用参数化查询/预编译语句**:在数据库操作中使用参数化查询,可以防止SQL注入,同时也能防止某些XSS攻击。 7. **教育用户**:提高用户的网络安全意识,提醒他们不要随意点击未知链接,特别是来自陌生来源的...
处理XSS攻击的调研和落地方案
11-17
针对SpringBoot项目中的XSS攻击,我们需要进行深入的调研和制定有效的落地方案。 首先,了解XSS攻击的类型至关重要。主要分为存储型、反射型和DOM型三种。存储型XSS发生在用户提交的数据被永久性地存储在服务器端,...
Beetl解决XSS问题(AntiSamy)
weixin_33775582的博客
08-11 402
2019独角兽企业重金招聘Python工程师标准>>> ...
每日10行代码180:flask中用escape防止html逃逸,避免xss攻击
天天卡丁的博客
03-26 897
其实我最开始的代码就是hello_world3,但是输了后发现报错,原因是这一串js代码里有斜线,而flask把斜线当成路由的分隔标志。正确的应该是像hello_world1中那样。继续学习flask,今天学到了:https://flask.palletsprojects.com/en/2.2.x/quickstart/#html-escaping。因为flask的路由函数接收到内容后会默认把他当成html来解析,这样就有可能产生安全问题。这节讲了一escape这个函数,我写了一小段代码来测试下。
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1024
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
过滤关键字防止XSS攻击
weixin_30950887的博客
11-30 810
public static string ClearXSS(string str) { string returnValue = str; if (string.IsNullOrEmpty(returnValue)) { return string.Empty; } ///过滤C...
html伪协议,利用伪协议与默认所有的变量都会被escape进行XSS
weixin_42620563的博客
06-04 283
C#枚举所有的窗体的两种方法1、直接查找游戏窗口,找到后作处理。2、C#枚举所有窗口,列表显示,然后再处理。我这里按第二种方式做。一、跨站获取cookie1,hacker端(hacker.php)的程序如下: 2,受害者端(vict...老师:“去,写个程序,把所有的汉字给咱输出来” 我:“啊?什么叫做所有的汉字啊?”老师:“就是我们生活中用的汉字啊” 我:“好神奇啊!这也可以呀!”...
(27)【xss绕过】一般测试步骤、绕过方法:触发事件、干扰、编码……
04-03 6755
【XSS绕过-合集】
【应用安全之xss二】xss攻击介绍和范(前端)
qq_35789269的博客
04-07 3388
本文我们会讲解 XSS ,主要包括: XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确: XSS 范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。 所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。 如果你还不能确定答案,那么可以带
xss漏洞知识总结
ma963852的博客
04-14 5667
漏洞原理 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 未对用户的输入进行处理,浏览器将用户输入的内容当作脚本执行。恶意攻击者往Web页面里插入恶意JS代码,当用户浏览该页之时,嵌入其中Web里面的JS代码会被执行,从而达到恶意的特殊目的。是一种针对用户浏览器的攻击。 漏洞分类 Xss主要分为三种类型: (1)反射型 反射型xss又称非持久性xss,需要用户点击带有
django xss攻击
09-20
### 回答1: Django框架具有内置的XSS御机制,可以在模板中自动转义所有HTML字符,从而防止...总之,虽然Django在设计上已经考虑到了XSS攻击,但开发者仍然需要加强对用户输入的校验和过滤,确保应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值