XSS攻击过滤器

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量529 收藏
点赞数
分类专栏: 技术积累 文章标签: xss java 过滤器 脚本注入 spring mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lg12lp12/article/details/78455328
版权

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {


@Override
public void destroy() {
}


@Override
public void doFilter(ServletRequest req, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) req;
request = new XssRequest(request);
chain.doFilter(request, response);
}


@Override
public void init(FilterConfig arg0) throws ServletException {
}

}




import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import com.rdkl.securityPublish.utils.XssShieldUtil;


public class XssRequest extends HttpServletRequestWrapper{

public XssRequest(HttpServletRequest request) {
super(request);
}

    @Override
    public String getParameter(String name) {
        // 返回值之前 先进行过滤
        return XssShieldUtil.stripXss(super.getParameter(XssShieldUtil.stripXss(name)));
    }


    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先进行过滤
        String[] values = super.getParameterValues(XssShieldUtil.stripXss(name));
        if(values != null){
            for (int i = 0; i < values.length; i++) {
                values[i] = XssShieldUtil.stripXss(values[i]);
            }
        }
        return values;
    }

}



import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import org.apache.commons.lang3.StringUtils;

public class XssShieldUtil {
private static List<Pattern> patterns = null;

private static List<Object[]> getXssPatternList() {
List<Object[]> ret = new ArrayList<Object[]>();
ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE });
ret.add(new Object[] { "<(no)?iframe[^>]*>.*?</(no)?iframe>", Pattern.CASE_INSENSITIVE });
ret.add(new Object[] { "eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
ret.add(new Object[] { "expression\\((.*?)\\)",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
ret.add(new Object[] { "(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE });
ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
ret.add(new Object[] {
"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
ret.add(new Object[] {"<+\\s*\\w*\\s(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|οnerrοr=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
return ret;
}


private static List<Pattern> getPatterns() {
if (patterns == null) {
List<Pattern> list = new ArrayList<Pattern>();
String regex = null;
Integer flag = null;
int arrLength = 0;
for (Object[] arr : getXssPatternList()) {
arrLength = arr.length;
for (int i = 0; i < arrLength; i++) {
regex = (String) arr[0];
flag = (Integer) arr[1];
list.add(Pattern.compile(regex, flag));
}
}


patterns = list;
}

return patterns;
}


public static String stripXss(String value) {
if (StringUtils.isNotBlank(value)) {
Matcher matcher = null;
for (Pattern pattern : getPatterns()) {
matcher = pattern.matcher(value);
// 匹配
if (matcher.find()) {
// 删除相关字符串
value = matcher.replaceAll("");
}
}
value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
}
return value;
}
}


web.xml 配置过滤器

<filter>
<filter-name>xssFilter</filter-name>
<filter-class>com.rdkl.securityPublish.filter.XssFilter</filter-class>
</filter>


<filter-mapping>
<filter-name>xssFilter</filter-name>
    <url-pattern>*.shtml</url-pattern>
</filter-mapping>

奋斗的怪怪程序猿
关注
专栏目录
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 727
过滤器和拦截器
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
防sql注入xss攻击springmv拦截器
07-24
防sql注入xss攻击springmv拦截器,可自由调整需要拦截的字符
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
最新发布
weixin_73588491的博客
07-05 7535
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
解决XSS攻击漏斗的过滤器解决方案(二)
mhanyue的博客
11-21 698
http://blog.csdn.net/mhanyue/article/details/78563846 继上篇中未解决的问题,又重新对过滤器进行了调整。具体代码如下: XssFilter.java /** * 功能描述:XSS漏洞过滤器 * XssFilter.java 创建与 2017年11月20日 下午2:50:46 * @author mhanyue * @version
过滤器防止xss攻击
yizhousai0662的博客
09-01 1246
将参数中有关xss攻击的非法字符全部处理掉。
保姆级教学 XSS攻击过滤器
m0_59206144的博客
06-07 1774
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器Java Servlet API的一部分,...
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml extends=struts-default,> <!-- 配置拦截器 --> <!-- 定义xss拦截器 --> ...
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制&mdash;&mdash;例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
javascript过滤危险脚本方法
12-03
下面是他们的字符串规则: 1、<(script|link|style|iframe)(.|\n)*<\/\1>\s* 2、\s*on[a-z]+\s*=\s*(“[^”]+”|'[^’]+’|[^\s]+)\s*(?=>) 3、\s*(href|src)\s*=\s*(“\s*(javascript|vbscript):[^”]+”|’\s*(javascript|vbscript):[^’]+’|(javascript|vbscript):[^\s]+)\s*(?=>) 4、epression\((.|\n)*\);? 了解他们的规则后,抓虫行动就水到渠成。 抓虫1 a { heigh
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3500
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_36036029的博客
02-26 199
Java Web使用过滤器防止Xss攻击,解决Xss漏洞发布时间:2018-11-11 10:41,浏览次数:286, 标签:JavaWebXssweb.xml添加过滤器 xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter *过滤器代码package com.quickly.exception.common.filter...
[Spring Cloud] (9)XSS拦截器
一个喜欢什么都研究一下的小小后端程序员
05-24 612
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
XSS过滤器
spum_的博客
08-27 285
【代码】XSS过滤器
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值