XssFilter防止脚本注入,防止xss攻击

最新推荐文章于 2023-12-21 13:46:57 发布
最新推荐文章于 2023-12-21 13:46:57 发布
阅读量9.3k 收藏 5
点赞数

主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。
解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml(“fff”)方法。
其中,输入时的过滤是用一个filter来实现,
实现过程:
在web.xml加一个filter
Xml代码 收藏代码

<filter>  
        <filter-name>XssEscape</filter-name>  
        <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XssEscape</filter-name>  
        <url-pattern>/*</url-pattern>  
        <dispatcher>REQUEST</dispatcher>  
    </filter-mapping>

XssFilter 的实现方式是实现servlet的Filter接口

package cn.pconline.morden.filter;  

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  

public class XssFilter implements Filter {  

    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  

    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
    }  

    @Override  
    public void destroy() {  
    }  
}

关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

package cn.pconline.morden.filter;  

import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  

import org.apache.commons.lang3.StringEscapeUtils;  

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  

    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  

    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  

    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  

    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  

    @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }  

}

到此为止,在输入的过滤就完成了。

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。
复杂内容的显示,具体问题再具体分析。

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

来源:http://breezylee.iteye.com/blog/2063615

逍遥不羁
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSSFilter for java
懵懂的码农
10-12 355
Here is a good and simple anti cross-site scripting (XSS) filter written for Java web applications. What it basically does is remove all suspicious strings from request parameters before returning the
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
u011071941的博客
12-21 1595
【代码】关于pdf文件xss攻击问题,配置xssFilter方法。
XSS过滤器Filter实现全过程
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
Springboot配置XSS过滤器XssFilter
热门推荐
涛哥是个大帅比
12-08 1万+
简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用
XSS攻击防御
ssslq的博客
03-08 2158
XSS攻击防御
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1026
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser......处理Xss攻击及sql注入.zip
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
过滤器防止xss攻击
yizhousai0662的博客
09-01 963
将参数中有关xss攻击的非法字符全部处理掉。
XSS攻击解决方案之一(过滤器)
willie_chen的专栏
08-23 4631
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
详解Xss 及SpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5029
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
XSS攻击,使用Filter转义
熊浪的博客
09-09 810
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5357
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 1776
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
xss filter
09-08
4. HttpOnly Cookie: 将敏感信息存储在HttpOnly Cookie中,这样可以防止客户端的脚本访问和修改Cookie内容,减少XSS攻击的影响范围。 5. 使用安全的编程语言和框架: 选择使用经过安全性测试的编程语言和框架,它们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值