HttpServletRequestWrapper 实现xss注入 跨站点脚本编制

最新推荐文章于 2022-12-04 17:31:56 发布
最新推荐文章于 2022-12-04 17:31:56 发布
阅读量1.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchang840302/article/details/81173210
版权

主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法

web.xml配置filter

        <filter>  
            <filter-name>XssEscape</filter-name>  
            <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
        </filter>  
        <filter-mapping>  
            <filter-name>XssEscape</filter-name>  
            <url-pattern>/*</url-pattern>  
            <dispatcher>REQUEST</dispatcher>  
        </filter-mapping>  
XssFilter.java
package com.neusoft.education.mepec.filter;  
      
    import java.io.IOException;  
    import javax.servlet.Filter;  
    import javax.servlet.FilterChain;  
    import javax.servlet.FilterConfig;  
    import javax.servlet.ServletException;  
    import javax.servlet.ServletRequest;  
    import javax.servlet.ServletResponse;  
    import javax.servlet.http.HttpServletRequest;  
      
    public class XssFilter implements Filter {  
          
        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  
        }  
      
        @Override  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
        }  
      
        @Override  
        public void destroy() {  

        }  
    }

XssHttpServletRequestWrapper.java

package com.neusoft.education.mepec.filter;  
      
    import javax.servlet.http.HttpServletRequest;  
    import javax.servlet.http.HttpServletRequestWrapper;  
    import org.apache.commons.lang3.StringEscapeUtils;  
      
    public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
      
        public XssHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
        }  
      
        @Override  
        public String getHeader(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
        }  
      
        @Override  
        public String getQueryString() {  
            return StringEscapeUtils.escapeHtml4(super.getQueryString());  
        }  
      
        @Override  
        public String getParameter(String name) {  
            return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
        }  
      
        @Override  
        public String[] getParameterValues(String name) {  
            String[] values = super.getParameterValues(name);  
            if(values != null) {  
                int length = values.length;  
                String[] escapseValues = new String[length];  
                for(int i = 0; i < length; i++){  
                    escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
                }  
                return escapseValues;  
            }  
            return super.getParameterValues(name);  
        }  
          
    }

 

LEO主人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss、sql注入及csrf防御
qq_36173194的博客
04-12 395
简单总结一下: xss脚本攻击,通过前端input将js脚本注入到后台 sql注入:将恶意的sql命令注入到后台数据库引擎执行 csrf:站请求伪造,以用户身份在攻击页面对目标网站发起伪造用户操作的请求 其中xss和sql注入可以通过拦截请求并进行特殊字符过滤来防御,而csrf需要进行referer检测和token校验进行防御,如果只做了referer检测,在实际的第三方机构检测中...
HttpServletRequestWrapper 实现xss注入
mid120的博客
12-27 6790
自定义一个wapper 实现 HttpServletRequestWrapperpackage cn.baozun.crm.task.filter;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * * <p>xss过滤</p> * @au
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper实现参数的修改,然后用Http...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 180
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7034
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
防止SQL注入XSS攻击Filter
06-03
其中两大常见的安全威胁是SQL注入脚本(Cross Site Scripting,简称XSS)攻击。这两种攻击方式能够对用户的隐私数据造成严重损害,甚至导致整个系统的崩溃。为了有效防御这些安全威胁,许多开发团队选择通过...
xss_javaxss_XSS_
10-04
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过在网页中注入恶意脚本,来劫持用户会话、窃取敏感信息或执行其他恶意操作。Java作为广泛使用的服务器端编程语言,也可能会遭遇...
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要...
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
HttpServletRequestWrapper 用法
05-26
NULL 博文链接:https://fishhappy365.iteye.com/blog/484185
springmvc4配置防止XSS攻击的方法
04-05
特别是在Web应用中,脚本攻击(XSS)和SQL注入攻击是常见的安全威胁。XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL...
HttpServletRequestWrapper通过filter做XSS
小松鼠米老鼠
06-26 3424
XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestW...
SpringMVC XSSHttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5848
问题描述: 一看到XSS【URL站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1434
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1332
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
java 代码实现xssFilter
最新发布
03-28
以下是一个基本的Java代码实现XSS过滤器的示例: ``` import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSFilterRequestWrapper extends HttpServletRequestWrapper { public XSSFilterRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = xssClean(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return xssClean(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return xssClean(value); } private String xssClean(String value) { if (value != null) { // 防止脚本注入 Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); // 防止表单重定向 scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止脚本注入 scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); // 防止HTML标签注入 scriptPattern = Pattern.compile("<", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll("<"); scriptPattern = Pattern.compile(">", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(">"); } return value; } } ``` 这个过滤器实现了`javax.servlet.http.HttpServletRequestWrapper`接口,重写了三个方法: - `getParameterValues`:过滤所有参数值并返回过滤后的结果数组。 - `getParameter`:过滤单个参数值并返回过滤后的结果。 - `getHeader`:过滤HTTP头部并返回过滤后的结果。 它使用正则表达式来替换所有可能的XSS攻击代码,并将结果返回给调用者。使用该过滤器可以大大提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值