jsp 前端防止 xss 注入攻击

最新推荐文章于 2024-05-14 18:45:00 发布
最新推荐文章于 2024-05-14 18:45:00 发布
阅读量8.7k 收藏 9
点赞数 1
分类专栏: js 文章标签: html 前端 xss

对输出到 html 上的值做过滤操作,主要可以使用如下两种方式:

HtmlEncode方式:

var HtmlEncode = function(str){
    var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');
    var preescape = str;
    var escaped = "";
    for(var i = 0; i < preescape.length; i++){
        var p = preescape.charAt(i);
        escaped = escaped + escapeCharx(p);
    }

    return escaped;

    function escapeCharx(original){
        var found=true;
        var thechar=original.charCodeAt(0);
        switch(thechar) {
            case 10: return "<br/>"; break; //newline
            case 32: return "&nbsp;"; break; //space
            case 34:return "&quot;"; break; //"
            case 38:return "&amp;"; break; //&
            case 39:return "&#x27;"; break; //'
            case 47:return "&#x2F;"; break; // /
            case 60:return "&lt;"; break; //<
            case 62:return "&gt;"; break; //>
            case 198:return "&AElig;"; break;
            case 193:return "&Aacute;"; break;
            case 194:return "&Acirc;"; break; 
            case 192:return "&Agrave;"; break; 
            case 197:return "&Aring;"; break; 
            case 195:return "&Atilde;"; break; 
            case 196:return "&Auml;"; break; 
            case 199:return "&Ccedil;"; break; 
            case 208:return "&ETH;"; break;
            case 201:return "&Eacute;"; break; 
            case 202:return "&Ecirc;"; break; 
            case 200:return "&Egrave;"; break; 
            case 203:return "&Euml;"; break;
            case 205:return "&Iacute;"; break;
            case 206:return "&Icirc;"; break; 
            case 204:return "&Igrave;"; break; 
            case 207:return "&Iuml;"; break;
            case 209:return "&Ntilde;"; break; 
            case 211:return "&Oacute;"; break;
            case 212:return "&Ocirc;"; break; 
            case 210:return "&Ograve;"; break; 
            case 216:return "&Oslash;"; break; 
            case 213:return "&Otilde;"; break; 
            case 214:return "&Ouml;"; break;
            case 222:return "&THORN;"; break; 
            case 218:return "&Uacute;"; break; 
            case 219:return "&Ucirc;"; break; 
            case 217:return "&Ugrave;"; break; 
            case 220:return "&Uuml;"; break; 
            case 221:return "&Yacute;"; break;
            case 225:return "&aacute;"; break; 
            case 226:return "&acirc;"; break; 
            case 230:return "&aelig;"; break; 
            case 224:return "&agrave;"; break; 
            case 229:return "&aring;"; break; 
            case 227:return "&atilde;"; break; 
            case 228:return "&auml;"; break; 
            case 231:return "&ccedil;"; break; 
            case 233:return "&eacute;"; break;
            case 234:return "&ecirc;"; break; 
            case 232:return "&egrave;"; break; 
            case 240:return "&eth;"; break; 
            case 235:return "&euml;"; break; 
            case 237:return "&iacute;"; break; 
            case 238:return "&icirc;"; break; 
            case 236:return "&igrave;"; break; 
            case 239:return "&iuml;"; break; 
            case 241:return "&ntilde;"; break; 
            case 243:return "&oacute;"; break;
            case 244:return "&ocirc;"; break; 
            case 242:return "&ograve;"; break; 
            case 248:return "&oslash;"; break; 
            case 245:return "&otilde;"; break;
            case 246:return "&ouml;"; break; 
            case 223:return "&szlig;"; break; 
            case 254:return "&thorn;"; break; 
            case 250:return "&uacute;"; break; 
            case 251:return "&ucirc;"; break; 
            case 249:return "&ugrave;"; break; 
            case 252:return "&uuml;"; break; 
            case 253:return "&yacute;"; break; 
            case 255:return "&yuml;"; break;
            case 162:return "&cent;"; break; 
            case '\r': break;
            default:
                found=false;
                break;
        }
        if(!found){
            if(thechar>127) {
                var c=thechar;
                var a4=c%16;
                c=Math.floor(c/16); 
                var a3=c%16;
                c=Math.floor(c/16);
                var a2=c%16;
                c=Math.floor(c/16);
                var a1=c%16;
                return "&#x"+hex[a1]+hex[a2]+hex[a3]+hex[a4]+";";        
            }
            else{
                return original;
            }
        }    
    }
}

JavaScriptEncode:

//使用“\”对特殊字符进行转义,除数字字母之外,小于127使用16进制“\xHH”的方式进行编码,大于用unicode(非常严格模式)。
var JavaScriptEncode = function(str){

    var hex=new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');

    function changeTo16Hex(charCode){
        return "\\x" + charCode.charCodeAt(0).toString(16);
    }

    function encodeCharx(original) {

        var found = true;
        var thecharchar = original.charAt(0);
        var thechar = original.charCodeAt(0);
        switch(thecharchar) {
            case '\n': return "\\n"; break; //newline
            case '\r': return "\\r"; break; //Carriage return
            case '\'': return "\\'"; break;
            case '"': return "\\\""; break;
            case '\&': return "\\&"; break;
            case '\\': return "\\\\"; break;
            case '\t': return "\\t"; break;
            case '\b': return "\\b"; break;
            case '\f': return "\\f"; break;
            case '/': return "\\x2F"; break;
            case '<': return "\\x3C"; break;
            case '>': return "\\x3E"; break;
            default:
                found=false;
                break;
        }
        if(!found){
            if(thechar > 47 && thechar < 58){ //数字
                return original;
            }

            if(thechar > 64 && thechar < 91){ //大写字母
                return original;
            }

            if(thechar > 96 && thechar < 123){ //小写字母
                return original;
            }        

            if(thechar>127) { //大于127用unicode
                var c = thechar;
                var a4 = c%16;
                c = Math.floor(c/16); 
                var a3 = c%16;
                c = Math.floor(c/16);
                var a2 = c%16;
                c = Math.floor(c/16);
                var a1 = c%16;
                return "\\u"+hex[a1]+hex[a2]+hex[a3]+hex[a4]+"";        
            }
            else {
                return changeTo16Hex(original);
            }

        }
    }     

    var preescape = str;
    var escaped = "";
    var i=0;
    for(i=0; i < preescape.length; i++){
        escaped = escaped + encodeCharx(preescape.charAt(i));
    }
    return escaped;
}

只需要在需要过滤的地方使用以上两种方式过滤代码即可

参考网址:
http://www.cnblogs.com/lovesong/p/5199623.html
http://www.cnblogs.com/lovesong/p/5211667.html

玩家六
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaWeb之防止XSS攻击
qq_37630321的博客
03-07 2752
XSS攻击 XSS攻击,言而言之,就是脚本攻击,下面向大家展示一下脚本攻击 使用过滤器来解决XSS攻击 代码: 1、过滤器 /** * 解决XSS攻击的过滤器 * @author 紫炎易霄 */ public class XssFilter implements Filter{ @Override public void init(FilterConfig filterConfig)...
JSP Struts过滤xss攻击的解决办法
10-19
**JSP Struts过滤XSS攻击的解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
jsp过滤非法字符输入 防止XSS跨站攻击
Love~jiaojiao的博客
04-12 6284
一。写一个过滤器   代码如下:   package com.liufeng.sys.filter;   import java.io.IOException; import java.io.PrintWriter;   import javax.servlet.Filter; import javax.servlet.FilterCha
前端安全系列(一):如何防止XSS攻击
最新发布
qkh1234567的博客
05-14 1634
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
jsp防止xss攻击
lilovfly的专栏
08-04 6617
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3866
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击
JAVAWEB校园订餐系统项目源码-前端JSP-WebRoot.zip
11-02
6. **安全考虑**:在实际开发中,还需考虑安全性问题,如防止SQL注入XSS攻击等。可以使用预编译语句防止SQL注入,对用户输入进行过滤和转义以防御XSS攻击。 7. **部署与运行**:项目部署通常在Tomcat这样的...
jsp视频网站前端框架
03-29
- 输入验证:防止SQL注入XSS攻击。 - 会话管理:确保用户安全登录,防止未授权访问。 - 加密传输:使用HTTPS协议,保证数据传输安全。 **7. 性能优化** - 缓存机制:利用HTTP缓存或服务器端缓存减少请求次数。 - ...
jsp.rar_jsp 留言
09-23
9. **安全性**:为了保护系统不被恶意攻击,需要对用户输入进行验证和过滤,防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)等威胁。 10. **部署与测试**:完成开发后,需要将项目部署到Web服务器(如Tomcat、Jetty...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
JSP spring boot / cloud 使用filter防止XSS
01-08
JSP spring boot / cloud 使用filter防止XSS 一.前言 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 二.思路 基于filter拦截,将特殊字符替换为html转意字符 (如: “<” 转意为 “<“) , 需要拦截的点如下: 请求头 requestHeader 请
jsp报名系统.zip
02-28
- 输入验证:防止SQL注入XSS攻击等,确保数据安全。 - 错误处理:优雅地处理异常,避免暴露敏感信息。 - 缓存策略:对于高并发场景,可以考虑使用缓存技术减少数据库压力。 - 性能优化:合理设计数据库索引,...
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 2857
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 658
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入
jsp自定义标签过滤XSS安全字符
jianjun2114的博客
04-18 892
1.创建自定义标签类 public class XssTag extends SimpleTagSupport { @Override public void doTag() throws JspException, IOException { } } 2.创建xss.tld文件,并注册标签类 <?xml version="1...
JSP程序设计大作业.pdf
06-24
3. **字符串处理**:项目中提到了`changeHTML()`方法,用于处理字符串中的特殊HTML字符,防止XSS(跨站脚本攻击)等安全问题,确保数据在显示时的安全性。 4. **用户登录验证**:登录过程使用了`Login.jsp`作为用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值