关于XSS过滤

最新推荐文章于 2024-05-13 06:07:55 发布
最新推荐文章于 2024-05-13 06:07:55 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: JSP/Java 文章标签: xss javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanisa/article/details/121050142
版权
XSS攻击绕过过滤方法大全(约100种)

XSS攻击绕过过滤方法大全(约100种) - 付杰博客

解决办法:
1.增加前端过滤
可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html  【前端安全】JavaScript防XSS攻击
xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js
2.在后台新增过滤器,对用户请求进行过滤
SpringMVC中发起的Controller层Request请求对象一般为以下几种类型:

1.基本数据类型,2.POJO类型,3.数组类型,4.集合类型

参考网址:SpringMvc的参数请求类型_没有故事的胡南北的博客-CSDN博客

而代码层请求的类型,一个是不带注解的,再就是@RequestBody类型,因此需要对以下两种请求类型进行过滤
1.application/x-www-form-urlencoded(普通的数据类型请,POJO类型,简单数组或集合类型
2.application/json (RequestBody类型)
3.其他类型如:mutipart/form-data application/xml
非RequestBody过滤器:
XSS过滤JAVA过滤器filter 防止常见SQL注入
RequestBody过滤器:
SpringBoot+Xss过滤(@RequestBody参数过滤Xss)
基于以上情况,可以将两者结合起来,代码如下:

public class RequestStringProcessor extends HttpServletRequestWrapper {
    
    private static final Log log=LogFactory.getLog(RequestStringProcessor.class);
    
    private byte[] requestBody;
    private Charset charSet;
    
    private static final String REQUEST_BODY_TYPE = "application/json";
    /**
     * 前台请求类型分三种
     * 1.application/x-www-form-urlencoded; charset=UTF-8 String类型
     * 2.application/json;charset=UTF-8 RequestBody类型
     * 3.其他如:mutipart/form-data,application/json,application/xml
     * mutipart/form-data 类型 RequestBody无法处理,只能处理application/json,application/xml
     * @param request
     */
    public RequestStringProcessor(HttpServletRequest request) {
        super(request);
        //缓存请求body
        getRequestBody(request);
    }

    /**
     * 过滤RequestBody内容
     * @param request
     */
    private void getRequestBody(HttpServletRequest request) {
        String contentType=request.getContentType();
        if(contentType==null||contentType.indexOf(REQUEST_BODY_TYPE)<0) {
            //请求的contentType为空或不是json格式
            return;
        }
        String charSetName = request.getCharacterEncoding();
        if (charSetName == null) {
            charSetName = "UTF-8";
        }
        charSet = Charset.forName(charSetName);
        try {
            //获取前台传输的RequestBody字符串内容
            String bodyContent = StreamUtils.copyToString(request.getInputStream(), charSet);
            bodyContent=StringUtil.getFilterString(bodyContent);
            boolean isJson=cn.hutool.json.JSONUtil.isJson(bodyContent);
            if(isJson) {
                if(JSONUtil.isJsonArray(bodyContent)) {
                    JSONArray resultJson=JSONObject.parseArray(bodyContent);
                    requestBody = resultJson.toString().getBytes(charSet);
                }else {
                    JSONObject resultJson = JSONObject.parseObject(bodyContent);
                    requestBody = resultJson.toString().getBytes(charSet);
                }
            }else {
                requestBody = new byte[0];
            }
        } catch (Exception e) {
            log.error("RequestBody请求获取失败...",e);
        }
    }
 
    @Override
    public String getParameter(String name) {
        // 返回值之前 先进行过滤
        return StringUtil.getFilterString(super.getParameter(name));
    }
 
    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先进行过滤
        String[] values = super.getParameterValues(name);
        if(values==null){
            return null;
        }
        for (int i = 0; i < values.length; i++) {
            values[i] = StringUtil.getFilterString(values[i]);
        }
        return values;
    }
 
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> paramMap = super.getParameterMap();
        Set<Entry<String, String[]>> set = paramMap.entrySet();
        Iterator<Entry<String, String[]>> iters = set.iterator();
        while (iters.hasNext()) {
            Entry<String, String[]> key = iters.next();
            String[] value = paramMap.get(key.getKey());
            paramMap.put(key.getKey(), StringUtil.getFilterString(value));
        }
        return paramMap;
    }

    /**
     * 获取前台输入的请求参数文件流
     * RequestBody以Stream方式进行传输
     */
    public ServletInputStream getInputStream() {
        if (requestBody == null) {
            requestBody = new byte[0];
        }

        final ByteArrayInputStream requestStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return requestStream.read();
            }
        };
    }

}

Filter代码

@WebFilter(filterName="requestStringFilter",urlPatterns="/*")
public class RequestStringFilter extends OncePerRequestFilter  {

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) 
            throws ServletException, IOException {
        chain.doFilter(new RequestStringProcessor((HttpServletRequest)request), response);
    }
}

还有其他的类似解决办法可参考:

【Springboot】@RequestBody参数过滤Xss_for_bf的博客-CSDN博客

大葫芦肚子
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1502
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
前端安全系列(一):如何防止XSS攻击?
Innocence_0的博客
02-15 1365
前端安全系列(一):如何防止XSS攻击?
前端xss过滤接口返回的信息
qq_41314448的博客
03-13 466
【代码】前端xss过滤接口返回的信息。
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
最新发布
2301_77121488的博客
05-13 831
X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器的目的是通过检测响应中的反射性 XSS 攻击并阻止页面加载,从而保护用户免受攻击。X-XSS-Protection 响应头最早由 Microsoft 引入到 Internet Explorer 8 中,用于控制浏览器的 XSS 过滤器。随后其他浏览器厂商也在一定程度上实现了这一功能。
java filter 不过滤器_Java中的Filter过滤
weixin_36131782的博客
02-13 671
Filter简介Filter也称之为过滤器,它是Servlet技术中最实用的技术,Web开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能。它主要用于对用户请求进行预处理,也可以对HttpServletRes...
第20天-WEB漏洞-文件上传之基础及过滤方式
MCTSOG的博客
03-04 769
思维导图 文件上传漏洞 1-什么是文件上传漏洞? 凡是存在文件上传的地方均有可能存在文件上传漏洞,关于上传文件操作的时候对方代码写的是否完整、是否安全,一旦疏忽了某个地方可能会造成文件上传漏洞。 2-文件上传漏洞有哪些危害? 文件可以自定义,可以成为webshell,通过文件上传来上传网站后门,直接获取网站权限,属于高危漏洞。上传漏洞与SQL注入或 XSS相比 , 其风险更大 。可以获取数据库信息,可以对服务器提权,获取内网权限 3-文件上传漏洞如何查找及判断? 1-黑盒查找 文件后台 进入网站后台不一
XSS代码分析-和简单的过滤,学习笔记
ZhangAweio的博客
04-05 428
PHP环境。
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法对参数进行编码,确保潜在的危险...
xss过滤方案
08-10
Web 应用XSS 过滤方案
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
javascript过滤XSS
05-06
JavaScript中实现XSS过滤,主要目标是确保输入的数据在插入到HTML文档中时得到适当的转义。一个常见的库就是`js-xss`,它提供了一种高效且灵活的方式来处理这个问题。在`js-xss-master/dist/test.html`文件中,...
45. XSS篇——XSS过滤绕过技巧
Fly_鹏程万里
03-20 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
XSS 防御方法总结
weixin_33932129的博客
08-03 2771
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
xss过滤技巧
Richard_qi的博客
04-11 3600
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1081
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 9125
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值