防止XSS攻击(sql注入)

最新推荐文章于 2023-07-06 09:28:53 发布
最新推荐文章于 2023-07-06 09:28:53 发布
阅读量488 收藏
点赞数
分类专栏: java开发类 文章标签: 防止xss攻击sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lfplfp1109/article/details/101468016
版权

web.xml配置:

<filter>
	<filter-name>xssFilter</filter-name>
	<filter-class>com.inspur.tax.sst.util.filter.XSSFilter</filter-class>
</filter>

<!-- 解决xss漏洞 -->
<filter-mapping>
	<filter-name>xssFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

java代码:

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import com.alibaba.druid.util.StringUtils;

/** 
* @author 
* @version 创建时间:2017年3月17日 下午5:04:40 
* Xss过滤器
*/
public class XSSFilter implements Filter {

	private static Logger log = LoggerFactory.getLogger(XSSFilter.class);

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;
		String requestURI = request.getRequestURI();
    	response.setHeader("Content-Security-Policy","default-src 'self'");//这个响应头主要是用来定义页面可以加载哪些资源,减少XSS的发生
    	response.setHeader("X-Content-Type-Options","nosniff");//互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。通过这个响应头可以禁用浏览器的类型猜测行为
    	response.setHeader("X-XSS-Protection","1; mode=block");//1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面

		//为服务器配置允许的http请求
		String method=((HttpServletRequest)request).getMethod();
		if(!"GET".equals(method)&&!"POST".equals(method)&&!"HEAD".equals(method))
		{
			log.error("The request with-Method【"+method+"】was forbidden-by-server!");
			response.setContentType("text/html;charset=GBK");
			response.setCharacterEncoding("GBK");
			((HttpServletResponse)response).setStatus(403);
			response.getWriter().print("<font size=6 color=red>对不想,生的请求非念。莱统推她响应!</font>");
			return;
		} 		
		if("/service/wszcx/list".equals(requestURI)||"/service/sst/authorize".equals(requestURI))
		{
			chain.doFilter(req, res);
		}
		else
		{
			String strBackUrl = "http://" + request.getServerName() // 服务器地址
					+ ":" + request.getServerPort() // 端口号
					+ request.getContextPath() // 项目名称
					+ request.getServletPath() // 请求页面或其他地址
					+ "?"; // 参数  + (request.getQueryString())
			// get
			String cs = request.getQueryString();
			// post
			Map arrMap = request.getParameterMap();
			for(Iterator iter=arrMap.entrySet().iterator();iter.hasNext();){  
		        Map.Entry element=(Map.Entry)iter.next();  
		        //key值  
		        Object strKey = element.getKey(); 
		        cs += "&" + strKey + "=";
		        //value,数组形式  
		        String[] value=(String[])element.getValue();  
		  
	        StringBuffer buf = new StringBuffer();
	        for(int i=0;i<value.length;i++){  
	        	buf.append(value[i] + ",");
	        } 
	        cs += buf.toString(); 
			}
			//strBackUrl += cs;
			String strBackUrl_=strBackUrl + cs;
			// 过滤
			log.info("当前请求地址为:"+ strBackUrl);
			//添加防止sql注入校验checkSQLInject
			if (isXSS(strBackUrl_)||checkSQLInject(cs,strBackUrl)) {
				if (log.isInfoEnabled()) {
					log.info("XSSrequest=========" + strBackUrl_);
					log.info("可能为XSS攻击");
				}
				response.sendRedirect("/jsp/public/500.jsp");
				return;
			} else {
				chain.doFilter(req, res);
				return;
			}
		}
	}

	@Override
	public void destroy() {
	}

	private boolean isXSS(String s) {
		if (s == null || s.isEmpty()) {
			return false;
		}
		if (s.indexOf("<") != -1 || s.indexOf("%3C") != -1 || s.indexOf("%3c") != -1) {
			return true;
		}
		if (s.indexOf(">") != -1 || s.indexOf("%3E") != -1 || s.indexOf("%3e") != -1) {
			return true;
		}
//		if (s.indexOf("'") != -1 || s.indexOf("%27") != -1) {
//			return true;
//		}
		if (s.indexOf("(") != -1 || s.indexOf("%28") != -1) {
			return true;
		}
		if (s.indexOf(")") != -1 || s.indexOf("%29") != -1) {
			return true;
		}
		if (s.indexOf("(") != -1 || s.indexOf("%EF%BC%88") != -1) {
			return true;
		}
		if (s.indexOf(")") != -1 || s.indexOf("%EF%BC%89") != -1) {
			return true;
		}
		//20190117   liushudong 
		String reg = "(?:’)|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|"+"(\\b(select|update|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|union|drop|execute)\\b)";
		Pattern sqlPt = Pattern.compile(reg,Pattern.CASE_INSENSITIVE);
		if(sqlPt.matcher(s).find()){
			return true;
		}

		//		if (s.indexOf("{") != -1) {
//			return true;
//		}
//		if (s.indexOf("}") != -1) {
//			return true;
//		}
//		if (s.indexOf("\"") != -1) {
//			return true;
//		}
		
		if (s.indexOf("%0a") != -1) {
			return true;
		}
		if (s.indexOf("%0d") != -1) {
			return true;
		}
		if (s.indexOf("javascript") != -1) {
			return true;
		}
		if (s.indexOf("script") != -1) {
			return true;
		}
		return false;
	}
	/**
	 * 
	 * 检查是否存在非法字符,防止SQL注入  20190926  lfp
	 * 
	 * @param str
	 *            被检查的字符串
	 * @return ture-字符串中存在非法字符,false-不存在非法字符
	 */
	public static boolean checkSQLInject(String str, String url) {
		if (StringUtils.isEmpty(str)) {
			return false;// 如果传入空串则认为不存在非法字符
		}
 
		// 判断黑名单
		String[] inj_stra = { "script ", "mid ", "master ", "truncate ", "insert ", "select ", "delete ", "update ", "declare ",
				"iframe ","onreadystatechange ", "alert", "atestu ", "exec ", "master ",  "svg ", "confirm ", "prompt ", "onload ",
				"onmouseover", "onfocus","#", "onerror", "net user" , "asc\\(","drop table","count\\(","mid\\(", "char\\(", "or ", "and "};


		str = str.toLowerCase(); // sql不区分大小写

 
		for (int i = 0; i < inj_stra.length; i++) {
			if (str.indexOf(inj_stra[i]) >= 0) {
				log.info("xss防攻击拦截url:" + url + ",原因:特殊字符,传入str=" + str + ",包含特殊字符:" + inj_stra[i]);
				return true;
			}
		}
		return false;
	}
}
一望无空
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止xss和sql注入:JS特殊字符过滤正则
10-27
为了防止XSS攻击,我们需要对用户输入进行净化,过滤掉可能导致脚本执行的特殊字符。 接着,我们来看SQL注入SQL注入是攻击者通过在输入数据中插入恶意SQL语句,使得数据库执行非预期的操作,可能泄露敏感数据或...
OpenResty预防SQL注入
最新发布
IPDs的博客
08-07 306
OpenResty 预防 SQL注入
【SpringBoot学习】23、SpringBoot 防止SQL注入XSS攻击、CSRF/CROS恶意访问
Tellsea
03-18 3562
文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 一、SQL注入问题 (1)什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1763
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
带你理解什么是xss攻击sql注入攻击和csrf攻击及防范措施
南余.的博客
07-06 8189
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。这篇文章会介绍一些常见的安全问题及如何防范的内容,在当下其实安全问题越来越重要,已经逐渐成为前端开发必备的技能了。
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
weixin_47083537的博客
07-28 2036
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
java 防止Xss、SQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3788
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
Springboot配置XSS过滤器XssFilter
遛羊的懒懒
03-30 528
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。扩展:如果存在多个过滤器,比如:shiroFilter,使用FilterRegistrationBean。
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1208
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
常见网络攻击及防御方法总结(XSS、SQL注入、CSRF攻击)
xiaohui的博客
04-05 3830
  从互联网诞生之初起,无时无刻不存在网络攻击,其中XSS攻击SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。 1、 XSS攻击   XSS攻击即跨站点脚本攻击(Cross Site Script),指的是攻击者通过篡改网页,注入恶意的HTML脚本,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。   常见的XSS攻击类型有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶
原代码审计笔记-安全缺陷
scdncby的博客
11-11 5492
目录 原代码审计笔记-安全缺陷 URL重定向: 不安全的SSL(过于宽泛的证书信托): 反射型跨站脚本: 路径操纵: 拒绝服务(StringBuilder): 整数溢出: J2EE错误配置(过度会话超时): 代码正确性:字节数组到字符串转换: 原代码审计笔记-安全缺陷 URL重定向: 问题示例: protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws IOException .
PHP 预防CSRF、XSS、SQL注入攻击
云博客_资源宝分享
10-10 1510
1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得第三方的Cookie(理论上),所以表单中的数据也就构造失败了 (2).验证码   这个方案的思路是:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串,厄…这个方案可以完全解决CSRF,但个人觉得在易用性方面似乎不是太好,还有听闻是验证码图片的使用涉及了一个被称为MHT
如何防止xss和sql注入
06-07
防止 XSS 攻击: 1. 对用户输入进行过滤和转义,例如将 `<` 替换成 `<`,`>` 替换成 `>`,`&` 替换成 `&` 等。 2. 使用 HTTP 头中的 X-XSS-Protection 标头来启用浏览器内置的 XSS 过滤器。 3. 使用 Content Security Policy(CSP)来限制页面中 JavaScript 和其他资源的来源。 4. 禁用 HTML5 中的危险特性,例如使用 innerHTML 插入用户数据。 防止 SQL 注入攻击: 1. 尽可能使用参数化查询方式来组织 SQL 语句,避免将用户输入直接拼接到 SQL 语句中。 2. 对用户输入进行过滤和转义,例如将特殊字符进行转义或删除,避免 SQL 注入攻击。 3. 对数据库进行授权最小化,仅给予程序所需的最少权限。 4. 定期对数据库进行安全审计和漏洞扫描,及时发现并修复安全漏洞。 5. 在应用程序和数据库中使用加密技术来加强数据安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值