springmvc项目中XSS漏洞解决

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 安全 文章标签: 安全 xss spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laok186/article/details/126094903
版权

一、测试反射型XSS漏洞例子:

        在get方法带上参数如 id=%27-prompt(1)-%27

二、修复建议:

        过滤输入,html编码输出

三、修复方法:

        增加过滤器,并在web.xml中注册

        

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;


public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        value = value.replaceAll("\\.\\./", "");
        return value;
    }
}
<filter>
   <filter-name>XssSqlFilter</filter-name>
    <!-- 修改为自己的包路径 -->
   <filter-class>com.xxx.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
   <filter-name>XssSqlFilter</filter-name>
   <url-pattern>/*</url-pattern>
   <dispatcher>REQUEST</dispatcher>
</filter-mapping>

乄浮生幽梦
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 773
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
Web安全--XSS跨站脚本攻击
weixin_68243135的博客
11-28 672
Web安全xss攻击利用,以及绕过和防护措施。
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5092
【Java代码审计】XSS漏洞产生原理及其修复
Java代码漏洞检测-常见漏洞与修复建议
最新发布
dzqxwzoe的博客
05-29 1476
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
彻底解决Spring MVC XSS注入问题
热门推荐
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
mysql防止误操作之prompt命令提示符
独孤清扬玩DB
02-23 415
参考官方资料:https://dev.mysql.com/doc/refman/5.7/en/mysql-commands.html 设置prompt主要是方便搞清楚生产系统登录的是哪个库,哪个用户,防止误操作。 常用选项如下,其它选项详见官方文档: Option Description \c A counter that increments for each statement you is...
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 694
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
XSS(Cross-Site Scripting)是一种常见的Web应用安全漏洞,允许攻击者注入恶意脚本到页面。为了防止XSS,可以采取以下措施: 1. **使用安全的视图技术**:例如Spring MVC的`@ResponseBody`和`@ControllerAdvice`...
online-sale-example:简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护
05-14
简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web...
SQL Prompt (1).zip
10-25
sql prompt是数据库智能感知工具,直接安装即可使用,非常方便,我现在也用的这个版本
Layui+Jsp+SSM+MybatisPlus+MySql.rar
12-08
前端: Jsp + Layui版本2.6.8 ...使用Filter配合XsslHttpServletRequestWrapper/MyXssUtil类防止XSS漏洞 API文档管理使用swagger2.7.0 、fasterxml 2.8.0 框架已使用AOP切面及开启cglib代理实现日志数据库存储
BBS系统开发与帐户安全
07-07
5. **XSS(跨站脚本)防护**:对用户输入进行过滤和转义,防止注入恶意脚本到页面执行,保护用户免受钓鱼攻击。 6. **CSRF(跨站请求伪造)防护**:添加随机令牌验证,确保请求来自合法的用户浏览器会话,防止...
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 869
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml添加Filter <filter> <filter-name>XssFilter&l...
SpringMvc防御XSS实践
a120717的博客
06-13 1528
开始不知道csdn支持md格式,现在已修改,请移步: SpringMvc防御XSS实践—md格式 项目漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。 历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。 方案目标: ---- * 只配置一次,与业务接口无关 * 过滤两...
ASP.NET mvc 自定义XSLT视图引擎 遇到的问题【高手请进有疑难杂症】
weixin_33805743的博客
04-26 84
直接采用XmlReader.Create(fs);会报错误 缺少根节点 这是什么原因,应该怎么做请高手路过时看看 用其他的方式实现视图引擎,可能很难实现强类型的model,而采用XSLT作为视图引擎则可以实现 可以将实体对象序列化为XML,xml在解析为html这样就实现了强类型的MODEL 今天在试验时发现个问题,始终未能直接解决, XmlReader.Create(fs);会报缺少根节...
XSS练习-prompt(1) to win
weixin_30387799的博客
05-17 506
第零关 Text Viewer function escape(input) { // warm up // script should be executed without user interaction return '<input type="text" value="' + input + '">'; } Answer 对输入的文本没有进行过滤措施直...
xss安全漏洞分析以及项目实施解决方案
yoqu的专栏
02-08 3383
近期公司项目正好被检查出xss漏洞,一直以来其实都知道xss漏洞,不过并没有实际去写过,正好这两天处理了xss漏洞,下面来说一说xss漏洞相关的知识,以及我在项目如何去解决xss漏洞。 引言: 由于web前端的高速发展,现在的web应用都会使用大量的动态内容和动态交互来提高用户的使用体验,那么,动态内容会根据用户的环境来输出相应的内容。在这个内容上,就会受到“跨站脚本攻击”(Cros...
springmvc fastjson @Type漏洞解决
06-06
2.移除@Type注解:如果您的代码不需要使用@Type注解,则可以将其从代码移除,以避免潜在的漏洞风险。 3.使用白名单机制:在反序列化时,可以使用Fastjson提供的白名单机制,只允许反序列化特定的类,从而减少...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值