java XSS防护

最新推荐文章于 2024-02-16 10:30:00 发布
最新推荐文章于 2024-02-16 10:30:00 发布
阅读量882 收藏 1
点赞数
分类专栏: Java 文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuchangqing123/article/details/50287321
版权
1.什么是XSS攻击
xss表示Cross Site Scripting(跨站脚本攻击),xss攻击通过插入恶意脚本,实现对用户游览器的控制。比较常见的是利用xss攻击获取session id从而获取网站用户权限。

2.如何防护
这里介绍一种使用过滤器防护的方法。使用Filter对用户提交的数据进行过滤处理,去除恶意脚本。

配置过滤器:

public class XSSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void destroy() {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }
}
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        // 参数Map
        Map properties = super.getParameterMap();
        // 返回值Map
        Map returnMap = new HashMap();
        Iterator entries = properties.entrySet().iterator();
        Map.Entry entry;
        String name = "";
        String value = null;
        while (entries.hasNext()) {
            entry = (Map.Entry) entries.next();
            name = (String) entry.getKey();
            Object valueObj = entry.getValue();
            if(null == valueObj){
                returnMap.put(name, value);
            }else if(valueObj instanceof String[]){
                String[] values = (String[])valueObj;
                String[] resultValues = new String[values.length];
                for(int i=0;i<values.length;i++){
                    resultValues[i] = stripXSS(values[i]);
                }
                returnMap.put(name, resultValues);
            }else{
                value = valueObj.toString();
                returnMap.put(name, stripXSS(value));
            }

        }
        return returnMap;
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return stripXSS(value);
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid οnlοad= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            value = StringEscapeUtils.escapeHtml(value);
        }
        return value;
    }
}
web.xml中配置

<filter>
		<filter-name>XSSFilter</filter-name>
		<filter-class>framework.filter.XSSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
需要注意的是如果项目使用了struts2则必须重写getParameterMap 才能生效。 

 

 


                

        

        

    




    

      

        

            

              
                
                  liuchangqing123
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
spring boot xss防御

				
			

			

				

					11-05
				

			

		

		

			
				
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#

			
		

	



                

              
                



	

		

			

				
					
XSS HTMLFILTER

				
			

			

				

					10-07
				

			

		

		

			
				
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护

			
		

	



                


  
              

                


	

		

			

				
					
XSS如何防范

				
			

			

				

					qq_45803050的博客
				

				

					11-27
					
					8036
					
				

			

		

		

			
				
XSS如何防范
题意分析
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。
XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者

			
		

	





	

		

			

				
					
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现

				
			

			

				

					AA2534193348的博客
				

				

					05-31
					
					4662
					
				

			

		

		

			
				
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。

			
		

	



		

			
		



	

		

			

				
					
java实战:Java处理XSS漏洞的四种方法及代码示例

				
			

			

				

					oandy0的博客
				

				

					02-16
					
					3323
					
				

			

		

		

			
				
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。

			
		

	





	

		

			

				
					
Java中的10种方法防止XSS攻击

				
			

			

				

					qq_28245087的博客
				

				

					06-29
					
					9167
					
				

			

		

		

			
				
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。

			
		

	





	

		

			

				
					
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御

					
热门推荐

				
			

			

				

					关注网络安全、云原生安全
				

				

					08-01
					
					4万+
					
				

			

		

		

			
				
所用工具

Google出品:开源Web App漏洞测试环境:Firing Range



简介

跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。
xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.

			
		

	





	

		

			

				
					
Java-如何防止XSS攻击

				
			

			

				

					了解➔熟悉➔掌握➔精通
				

				

					01-02
					
					7586
					
				

			

		

		

			
				
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net

XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co

			
		

	





	

		

			

				
					
基于Java的高级XSS攻击过滤器设计源码

				
			

			

				

					04-08
				

			

		

		

			
				
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...

			
		

	





	

		

			

				
					
online-sale-example:简单的购物网站,后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护

				
			

			

				

					05-14
				

			

		

		

			
				
后端使用Spring Boot框架构建, web层使用SpringMVC框架,数据访问使用MyBatis,验证、权限管理使用Spring Security框架,前端使用FreeMarker模板 ,注意到了对XSS、SQL注入、文件上传漏洞等常见Web漏洞的防护

			
		

	





	

		

			

				
					
基于SSM的商城系统附带视频教程

					
最新发布

				
			

			

				

					05-01
				

			

		

		

			
				
安全性考虑,如XSS和CSRF防护 版本控制和团队协作开发流程 适用人群 初学者和有一定Java基础的开发者,希望系统学习Java Web开发 对Spring, Spring MVC, MyBatis框架感兴趣的技术人员 需要快速掌握商城系统开发流程...

			
		

	





	

		

			

				
					
XSS跨站脚本攻击及防护

				
			

			

				

					weixin_62707591的博客
				

				

					06-18
					
					2477
					
				

			

		

		

			
				
XSS又叫CSS),即跨站脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。

			
		

	





	

		

			

				
					
XSS攻击以及java应对措施

				
			

			

				

					qq_43456605的博客
				

				

					05-18
					
					4835
					
				

			

		

		

			
				
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。

			
		

	





	

		

			

				
					
如何防止XSS攻击

				
			

			

				

					m0_49521873的博客
				

				

					05-23
					
					5769
					
				

			

		

		

			
				
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。

			
		

	





	

		

			

				
					
XSS攻击及防范

				
			

			

				

					橘猫吃不胖的博客
				

				

					02-06
					
					1076
					
				

			

		

		

			
				
XSS攻击及防范
1 什么是XSS
2 XSS类型
2.1 反射型XSS
2.2 存储型XSS
2.3 DOM型XSS
3 怎么预防XSS
3.1 纯前端渲染
3.2 转义HTML
3.3 关注高危API
3.4 其他措施

			
		

	





	

		

			

				
					
防范 XSS 攻击的措施

				
			

			

				

					程序猿徐师兄的博客
				

				

					07-13
					
					2172
					
				

			

		

		

			
				
XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面中注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本来攻击用户的计算机和浏览器。

			
		

	





	

		

			

				
					
xss防护措施有哪些

				
			

			

				

					dexunjiaqiang的博客
				

				

					07-09
					
					2247
					
				

			

		

		

			
				
XSS指利用网站漏洞从用户那里恶意盗取信息。

			
		

	





	

		

			

				
					
xss攻击如何防护

				
			

			

				

					dexunjiaqiang的博客
				

				

					06-18
					
					1020
					
				

			

		

		

			
				
XSS攻击全称跨站脚本攻击,利用网站漏洞从用户那里恶意盗取信息。

			
		

	





	

		

			

				
					
【转】XSS的两种攻击方式及五种防御方式

				
			

			

				

					tpriwwq的专栏
				

				

					11-05
					
					2050
					
				

			

		

		

			
				
XSS攻击介绍及防御方法

			
		

	





	

		

			

				
					
Grails  XSS java 代码示例

				
			

			

				

					07-15
				

			

		

		

			
				
当使用Grails开发Java应用程序时,防止XSS攻击是非常重要的。以下是一个简单的示例,演示如何在Grails中防止XSS攻击:  1. 在GSP视图中使用Grails的标签库: ```html ${content} ``` 上述代码将确保在将内容呈现到...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值