Java使用过滤器防止XSS脚本注入

已于 2023-11-17 16:12:59 修改
阅读量6.6k 收藏 179
点赞数 18
分类专栏: Java 过滤器拦截器 文章标签: 安全漏洞 Java 过滤器
于 2020-12-17 20:29:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ii950606/article/details/111323906
版权

前几天有个客户在系统上写了一段html语句,打开页面就显示一张炒鸡大的图片,影响美观。后来仔细想想,幸亏注入的仅仅是html语句,知道严重性后,马上开始一番系统安全配置。

一. 定义过滤器

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Arrays;
import java.util.List;

/**
 * 防止XSS攻击的过滤器
 */
public class XssFilter implements Filter{

    /**
     * 排除链接
     */
    public List<String> excludes = new ArrayList<>();
	
	/**
	 * 初始化
	 * 与我们编写的Servlet程序一样,Filter的创建和销毁由WEB服务器负责。 
	 * Web应用程序启动时,Web服务器将创建Filter的实例对象,并调用其init方法,读取web.xml配置,
	 * 完成对象的初始化功能,从而为后续的用户请求作好拦截的准备工作。
	 * Filter对象只会创建一次,init方法也只会执行一次。
	 * 开发人员通过init方法的参数,可获得代表当前Filter配置信息的FilterConfig对象。
	 */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String tempExcludes = filterConfig.getInitParameter("excludes");
        if (StringUtils.isNotEmpty(tempExcludes)) {
            String[] url = tempExcludes.split(",");
            excludes.addAll(Arrays.asList(url));
        }
    }
 	
 	/**
     * 拦截请求
     * 这个方法完成实际的过滤操作。当客户请求访问与过滤器关联的URL的时候,Servlet过滤器将先执行doFilter方法。
     * FilterChain参数用于访问后续过滤器。
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (handleExcludeURL(req, resp)) {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        String url = request.getServletPath();
        String method = request.getMethod();
        /*// GET DELETE 不过滤
        if (method == null || method.matches("GET") || method.matches("DELETE")) {
            return true;
        }*/
        if (method == null) {
            return true;
        }
        return StringUtils.matches(url, excludes);
    }
    
    /**
     * 销毁
     * Filter对象创建后会驻留在内存,当Web应用移除或服务器停止时才销毁。在Web容器卸载Filter对象之前被调用。
     * 该方法在Filter的生命周期中仅执行一次。在这个方法中,可以释放过滤器使用的资源。
     */
    @Override
    public void destroy() {
    	
	}
	
}

二. 过滤处理,实现参数值过滤

import cn.hutool.http.HTMLFilter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * XSS过滤处理
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    /**
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                // 防xss攻击和过滤前后空格
                escapseValues[i] = clean(values[i]).trim();
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }

    /**
     * 清除所有HTML标签,但是不删除标签内的内容
     *
     * @param content 文本
     * @return 清除标签后的文本
     */
    private static String clean(String content) {
        return new HTMLFilter().filter(content);
    }

}

三. 使用到的字符串工具类

import org.springframework.util.AntPathMatcher;

import java.util.Collection;
import java.util.List;
import java.util.Map;

/**
 * 字符串工具类
 */
public class StringUtils {

    /** 空字符串 */
    private static final String NULLSTR = "";

    /**
     * 获取参数不为空值
     *
     * @param value defaultValue 要判断的value
     * @return value 返回值
     */
    public static <T> T nvl(T value, T defaultValue)
    {
        return value != null ? value : defaultValue;
    }

    /**
     * * 判断一个Collection是否为空, 包含List,Set,Queue
     *
     * @param coll 要判断的Collection
     * @return true:为空 false:非空
     */
    public static boolean isEmpty(Collection<?> coll)
    {
        return isNull(coll) || coll.isEmpty();
    }

    /**
     * * 判断一个Collection是否非空,包含List,Set,Queue
     *
     * @param coll 要判断的Collection
     * @return true:非空 false:空
     */
    public static boolean isNotEmpty(Collection<?> coll)
    {
        return !isEmpty(coll);
    }

    /**
     * * 判断一个对象数组是否为空
     *
     * @param objects 要判断的对象数组
     ** @return true:为空 false:非空
     */
    public static boolean isEmpty(Object[] objects)
    {
        return isNull(objects) || (objects.length == 0);
    }

    /**
     * * 判断一个对象数组是否非空
     *
     * @param objects 要判断的对象数组
     * @return true:非空 false:空
     */
    public static boolean isNotEmpty(Object[] objects)
    {
        return !isEmpty(objects);
    }

    /**
     * * 判断一个Map是否为空
     *
     * @param map 要判断的Map
     * @return true:为空 false:非空
     */
    public static boolean isEmpty(Map<?, ?> map)
    {
        return isNull(map) || map.isEmpty();
    }

    /**
     * * 判断一个Map是否为空
     *
     * @param map 要判断的Map
     * @return true:非空 false:空
     */
    public static boolean isNotEmpty(Map<?, ?> map)
    {
        return !isEmpty(map);
    }

    /**
     * * 判断一个字符串是否为空串
     *
     * @param str String
     * @return true:为空 false:非空
     */
    public static boolean isEmpty(String str)
    {
        return isNull(str) || NULLSTR.equals(str.trim());
    }

    /**
     * * 判断一个字符串是否为非空串
     *
     * @param str String
     * @return true:非空串 false:空串
     */
    public static boolean isNotEmpty(String str)
    {
        return !isEmpty(str);
    }

    /**
     * * 判断一个对象是否为空
     *
     * @param object Object
     * @return true:为空 false:非空
     */
    public static boolean isNull(Object object)
    {
        return object == null;
    }

    /**
     * * 判断一个对象是否非空
     *
     * @param object Object
     * @return true:非空 false:空
     */
    public static boolean isNotNull(Object object)
    {
        return !isNull(object);
    }

    /**
     * * 判断一个对象是否是数组类型(Java基本型别的数组)
     *
     * @param object 对象
     * @return true:是数组 false:不是数组
     */
    public static boolean isArray(Object object)
    {
        return isNotNull(object) && object.getClass().isArray();
    }

    /**
     * 去空格
     */
    public static String trim(String str)
    {
        return (str == null ? "" : str.trim());
    }

    /**
     * 删除最后一个字符串
     *
     * @param str 输入字符串
     * @param spit 以什么类型结尾的
     * @return 截取后的字符串
     */
    public static String lastStringDel(String str, String spit)
    {
        if (!StringUtils.isEmpty(str) && str.endsWith(spit))
        {
            return str.subSequence(0, str.length() - 1).toString();
        }
        return str;
    }

    /**
     * 查找指定字符串是否匹配指定字符串列表中的任意一个字符串
     *
     * @param str 指定字符串
     * @param strs 需要检查的字符串数组
     * @return 是否匹配
     */
    public static boolean matches(String str, List<String> strs)
    {
        if (isEmpty(str) || isEmpty(strs))
        {
            return false;
        }
        for (String pattern : strs)
        {
            if (isMatch(pattern, str))
            {
                return true;
            }
        }
        return false;
    }

    /**
     * 判断url是否与规则配置:
     * ? 表示单个字符;
     * * 表示一层路径内的任意字符串,不可跨层级;
     * ** 表示任意层路径;
     *
     * @param pattern 匹配规则
     * @param url 需要匹配的url
     * @return
     */
    public static boolean isMatch(String pattern, String url)
    {
        AntPathMatcher matcher = new AntPathMatcher();
        return matcher.match(pattern, url);
    }

}

四. 配置web.xml,添加过滤器

<!-- 配置过滤器防止XSS注入 -->
<filter>
    <filter-name>XssFilter</filter-name>
    <filter-class>com.cn.unit.filter.XssFilter</filter-class>
	<init-param>
		<param-name>excludes</param-name>
		<!-- 静态资源不进行过滤,如js、css文件 -->
		<param-value>/css/*,/js/*,/assets/*</param-value>
	</init-param>
</filter>
<filter-mapping>
    <filter-name>XssFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

配置各节点简单介绍:

节点名介绍
<filter>指定一个过滤器
<filter-name>用于为过滤器指定一个名字,该元素的内容不能为空
<filter-class>指定过滤器的完整的限定类名
<init-param>为过滤器指定初始化参数。在过滤器中,可以使用FilterConfig接口对象来访问初始化参数
<param-name><init-param>的子元素,指定参数的名字
<param-value><init-param>的子元素,指定参数的值
<filter-mapping>设置一个Filter所负责拦截的资源。可通过Servlet名称或资源访问的请求路径指定
<filter-name>子元素用于设置filter的注册名称。该值必须是在<filter>元素中声明过的过滤器的名字
<url-pattern>设置 filter 所拦截的请求路径(过滤器关联的URL样式)
<servlet-name>指定过滤器所拦截的Servlet名称
<dispatcher>指定过滤器所拦截的资源被 Servlet 容器调用的方式,默认REQUEST

五. 大功告成-!

踮脚敲代码
关注
  • 18
    点赞
  • 179
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 13
    评论
专栏目录
java过滤器过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 601
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章中,其实已经讲到了。...
java过滤xss_java处理XSS过滤的方法
weixin_32533659的博客
02-12 1888
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤如果采用了struts2,那么需要重写StrutsRequestWrapper如果没有采用struts2,那么直接重写HttpServletRequestWraper在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:@Overridepublic Map g...
七、抵御即跨站脚本XSS)攻击
weixin_39309918的博客
10-20 1825
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
sql注入Java过滤器
11-10
配置在web.xml中,可以防止SQL注入,可以自己定义一些需要过滤的特殊字符
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 1026
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
java过滤器防止页面sql注入
热门推荐
sytylyl的专栏
10-16 1万+
package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 2869
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
java过滤器防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java过滤器防sql注入
04-04
外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免! 外网可能会被攻击,简单的处理可以避免!
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS攻击防御解决方案。
SQL注入过滤Java版)
11-17
SQL 安全注入漏洞过滤器Java实现 Java类实现,以及配置文件web.xml
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
Java如何防止JS脚本注入代码实例
10-14
为了防止emoji表情符号被用于绕过XSS过滤器,可以通过定义一个正则表达式来检测字符串中是否包含emoji字符。这个正则表达式利用Unicode编码范围来匹配常见的emoji字符,如果字符串中存在这类表情字符,则可以进行...
java过滤有可能的xss攻击的参数
zhongyangjian的专栏
10-20 1625
public boolean checkXssChar(String s){         if(s != null){             String [] str = {"","\"","'","(",")"};             for (String string : str) {                 if(s.indexOf(string) != -1)
Java Filter过滤XSS注入非法参数
小猴子的博客
05-27 1544
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。   web.xml配置 <web
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2612
java防止XSS攻击
java xss 注入攻击
05-27
Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入的数据进行编码,避免特殊字符被解析为 HTML 标签或 JavaScript 代码。例如,可以使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeHtml4()` 方法对 HTML 进行编码,或是使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeEcmaScript()` 方法对 JavaScript 进行编码。 3. 在页面中设置 CSP(Content Security Policy),限制外部资源的加载,避免恶意脚本注入。 4. 如果需要在页面中显示用户输入的富文本,可以使用一些开源的富文本编辑器,例如 CKEditor、TinyMCE 等,这些编辑器都内置了防止 XSS 注入攻击的机制。 以上措施可以结合使用,以提高网站的安全性和防御 XSS 注入攻击的能力。
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

踮脚敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值