Java防止跨站脚本(XSS)注入攻击

最新推荐文章于 2024-06-10 09:35:11 发布
最新推荐文章于 2024-06-10 09:35:11 发布
阅读量1.1w 收藏 7
点赞数
分类专栏: java

转自:http://www.what21.com/programming/java/javaweb-summary/xss3.html

Java防止跨站脚本(XSS)注入攻击


前边既说明了XSS攻击的危害性,也通过模拟案例了解了XSS攻击原理,这里就介绍一下如何防御XSS攻击。 采用Filter技术,对所有参数都进行过滤,处理方案为: 1. 含有html标签做转义。 2. 含有敏感的html脚本,直接处理掉。  XSS Filter源码:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
package com.what21.filter.xss;
 
import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XSSFilter implements Filter {
 
     // XSS处理Map
     private static Map<String,String> xssMap = new LinkedHashMap<String,String>();
     
     public void init(FilterConfig filterConfig) throws ServletException {
         // 含有脚本: script
         xssMap.put( "[s|S][c|C][r|R][i|C][p|P][t|T]" , "" );
         // 含有脚本 javascript
         xssMap.put( "[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']" , "\"\"" );
         // 含有函数: eval
         xssMap.put( "[e|E][v|V][a|A][l|L]\\((.*)\\)" , "" );
         // 含有符号 <
         xssMap.put( "<" , "&lt;" );
         // 含有符号 >
         xssMap.put( ">" , "&gt;" );
         // 含有符号 (
         xssMap.put( "\\(" , "(" );
         // 含有符号 )
         xssMap.put( "\\)" , ")" );
         // 含有符号 '
         xssMap.put( "'" , "'" );
         // 含有符号 "
         xssMap.put( "\"" , "" ");
     }
     
     public void doFilter(ServletRequest request, ServletResponse response,
             FilterChain chain) throws IOException, ServletException {
         // 强制类型转换 HttpServletRequest
         HttpServletRequest httpReq = (HttpServletRequest)request;
         // 构造HttpRequestWrapper对象处理XSS
         HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq,xssMap);
         //
         chain.doFilter(httpReqWarp, response);
 
     }
 
     public void destroy() {
         
     }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
package com.what21.filter.xss;
 
import java.util.Map;
import java.util.Set;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public final class HttpRequestWrapper extends HttpServletRequestWrapper {
 
     private Map<String, String> xssMap;
     
     public HttpRequestWrapper(HttpServletRequest request) {
         super (request);
     }
 
     public HttpRequestWrapper(HttpServletRequest request,
             Map<String, String> xssMap) {
         super (request);
         this .xssMap = xssMap;
     }
 
     @Override
     public String[] getParameterValues(String parameter) {
         String[] values = super .getParameterValues(parameter);
         if (values == null ) {
             return null ;
         }
         int count = values.length;
         // 遍历每一个参数,检查是否含有
         String[] encodedValues = new String[count];
         for ( int i = 0 ; i < count; i++) {
             encodedValues[i] = cleanXSS(values[i]);
         }
         return encodedValues;
     }
 
     @Override
     public String getParameter(String parameter) {
         String value = super .getParameter(parameter);
         if (value == null ) {
             return null ;
         }
         return cleanXSS(value);
     }
 
     public String getHeader(String name) {
         String value = super .getHeader(name);
         if (value == null )
             return null ;
         return cleanXSS(value);
 
     }
 
     /**
      * 清除恶意的XSS脚本
      *
      * @param value
      * @return
      */
     private String cleanXSS(String value) {
         Set<String> keySet = xssMap.keySet();
         for (String key : keySet){
             String v = xssMap.get(key);
             value = value.replaceAll(key,v);
         }
         return value;
     }
}
1
2
3
4
5
6
7
8
<filter>
     <filter-name>XSSFilter</filter-name>
     <filter- class >com.what21.filter.xss.XSSFilter</filter- class >
</filter>
<filter-mapping>
     <filter-name>XSSFilter</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>

laokaizzz
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7696
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
探索Web安全的利器:XSSMAP深度解析与应用
最新发布
gitblog_00019的博客
06-10 363
探索Web安全的利器:XSSMAP深度解析与应用 项目地址:https://gitcode.com/Jewel591/xssmap 在数字时代,网站安全性成为每个开发者不可忽视的重要环节。今天,我们将深入探讨一款强大的开源工具——XSSMAP,它是检测Web应用程序中跨站脚本(Cross-Site Scripting, XSS)漏洞的尖兵,为网络安全爱好者和专业人员提供了强有力的支援。 项目介绍 ...
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5119
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
java 防止Xss、SQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 658
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入
JAVA后端防止XSS攻击(SQL注入、HTML、SCRIPT)基础方法
Codeyi的博客
09-11 1万+
今天在工作中发现自己开发的系统存在XSS漏洞,特写此文章记录解决方案,话不多说截止开车。 防止XSS攻击我们需要做的除了在硬件层面(防火墙、IP白名单)验证外,后端代码也需要做相应的处理,最简单直接的方式添加Filter过滤器。 /** * @Project : codeyi-web * @Package Name : com.codeyi.common.xss * @Company *...
Java防止xss攻击附相关文件下载
08-25
XSS跨站脚本攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意代码,影响其他用户的浏览器。以下是一些关于Java防止XSS攻击的关键知识点: 1. **使用Filter拦截器**: 在Java Web...
java防止xss注入
07-15
**Java防止XSS注入详解** XSS(Cross-site scripting)是一种常见的网络安全漏洞,攻击者通过在网页中嵌入恶意脚本,使用户在不知情的情况下执行这些脚本,从而窃取用户信息或进行其他恶意操作。Java作为广泛应用于...
xss跨站脚本攻击汇总
07-24
xss 跨站脚本攻击汇总 xss 跨站脚本攻击是一种常见的 web 应用程序漏洞,攻击者可以inject 恶意脚本到网页中,从而获取用户的敏感信息或控制用户的浏览器行为。下面是 xss 跨站脚本攻击的一些常见类型: 1. 普通的...
预防XSS攻击和SQL注入XssFilter
07-23
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
SQL注入XSS跨站攻击安全规范1
08-08
XSS跨站脚本攻击XSS(Cross-Site Scripting)是一种攻击手段,攻击者在Web页面中嵌入恶意脚本,当其他用户访问该页面时,脚本会在用户的浏览器上执行,可能会窃取用户的会话cookie或其他敏感信息。 2.1 名词...
tomcat 防xss 的一种实现
12-21 3960
我的解决方法, 通过Servlet 过滤器 过滤请求 关键在于是如何在Filter取到post里的内容通过继承javax.servlet.http.HttpServletRequestWrapper;类替换post里的非法字符1:FormDataXssRequest类import javax.servlet.http.HttpServletRequest; import javax.servlet.
使用过滤器防御XSS攻击
Leon_Jinhai_Sun的博客
10-23 495
import org.apache.commons.lang.StringEscapeUtils; public class Test001 { public static void main(String[] args) { String name = "<script>"; System.out.println(StringEscapeUtils.escapeHtm...
v-html指令怎么防止XSS注入
qq_52845451的博客
09-06 1823
v-html怎么防止xss注入
Java防止Xss注入json_XSS的两种攻击方式及五种防御方式
weixin_39639518的博客
11-20 1613
XSS介绍跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:该攻击方式能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种反射型:是通过URL参数直接注入,一般是使用alert来...
Java防止XSS攻击
u010786200的博客
12-24 5996
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3010
跨站脚本攻击XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
java xss 注入攻击
05-27
Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值