xss漏洞后端解决(body参数校验)

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: 经验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lqlscn/article/details/120179777
版权

XSS漏洞 等保三级 安全过滤 敏感字符检测 参数校验
关键词由CSDN通过智能技术生成

xss漏洞 我看网上有了很多的解释了 ,公司现在要过等保三级,然后发现一堆问题 要求修改。感觉没啥好说的 还是直接上代码吧。



import java.io.IOException;
import java.util.Map;
import java.util.Set;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang3.StringUtils;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.jl.net.framework.util.JLEncodeUtil;
import com.jl.net.framework.web.JLBodyReaderHttpServletRequestWrapper;
import com.jl.net.framework.web.JLJsonResponse;

public class XssFilter implements Filter {
	  /**
     * 编码集
     *
     * @param encode
     */
    public void setEncode(String encode) {
        JLEncodeUtil.setEncode(encode);
    }

    @Override
    public void destroy() {
    }
    /**
     * 过滤器用来过滤的方法
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    	StringBuffer requestURL = ((HttpServletRequest) request).getRequestURL();
    	String queryString = ((HttpServletRequest) request).getQueryString();
    	System.out.println(((HttpServletRequest) request).getRequestURL().toString());
    	
    	//这两个 输出语句不要注释  这是因为 java缓存 或者是访问速度过快 可能会导致后面的 filter读取不到数据 导致本地启动不了
    	String trimToEmpty1 = StringUtils.trimToEmpty(request.getParameter("j_username"));
		System.out.println(trimToEmpty1);
    	if(isSpecialChar(queryString)) {
    		response.setCharacterEncoding("GBK");
    		HttpServletResponse resp = (HttpServletResponse) response;
    		String json = "很抱歉,由于您访问的URL有可能对网站造成安全威胁,您的访问被阻断。";
    		resp.getWriter().write(json);
            return;
    	}
    	MyHttpServletRequestWrapper req = null;
//    	if(!requestURL.toString().contains("login.jsp")) {
    		req = new MyHttpServletRequestWrapper((HttpServletRequest) request);
    		String bodyString = req.getBodyString();
    		System.out.println(bodyString);
    		if(!StringUtils.isBlank(bodyString)) {
    			//这两个 输出语句不要注释  这是因为 java缓存 或者是访问速度过快 可能会导致后面的 filter读取不到数据 导致本地启动不了
    			String trimToEmpty = StringUtils.trimToEmpty(request.getParameter("j_username"));
    			System.out.println(trimToEmpty);
    			try {
    				Map<String,Object> params = JSON.parseObject(bodyString, Map.class);
        			Set<String> keySet = params.keySet();
        			for (String param : keySet) {
        				if(isSpecialChar(String.valueOf(params.get(param)))) {
        					response.setCharacterEncoding(JLEncodeUtil.getEncode());
        					returnError(response,param+String.valueOf(params.get(param)).replace("<", "《"));
        					return;
        				}
    				}	
				} catch (Exception e) {
					if(isSpecialChar(bodyString)) {
						response.setCharacterEncoding(JLEncodeUtil.getEncode());
			    		returnError(response,bodyString);
			            return;
			    	}
				}
    			
    		}
//    	}
//		包装request
		chain.doFilter(req != null ? req :request, response);
//		chain.doFilter(request, response);
    }

	private void returnError(ServletResponse response,String parma) throws IOException {
		HttpServletResponse resp = (HttpServletResponse) response;
		JLJsonResponse jsonResponse = new JLJsonResponse(true);
		jsonResponse.setSuccess(false);
		if(parma.length() > 20) {
			parma = parma.substring(0, 20);
		}
		jsonResponse.setMessage("很抱歉,由于您访问的URL有可能对网站造成安全威胁,您的访问被阻断。");
		Object jsonObj = JSONObject.toJSON(jsonResponse);
		String json = JSONObject.toJSONString(jsonObj);
//		JLEncodeUtil.setEncode("GBK");
		resp.getWriter().write(json);
	}
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    public static boolean isSpecialChar(String str) {
    	if(str == null) {
    		return false;
    	}
//    	String regEx = "[`~!#$^|';'<>~#……]|\n|\r|\t";
    	String regEx = "$';'|script|alert";
//    	String regEx = "[ `~!@#$%^&*()+=|{}';',\\[\\]<>?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]|\n|\r|\t";
//    	String regEx = "[ _`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]|\n|\r|\t";
    	
    	Pattern p = Pattern.compile(regEx);
    	Matcher m = p.matcher(str.toLowerCase());
    	return m.find();
    }
    
  
}



import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.springframework.util.StreamUtils;

public class MyHttpServletRequestWrapper extends HttpServletRequestWrapper {

	private final byte[] body;

	private String bodyString;

	public MyHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
		super(request);

		this.bodyString = StreamUtils.copyToString(request.getInputStream(), Charset.forName("UTF-8"));

		body = bodyString.getBytes("UTF-8");

	}

	public String getBodyString() {
		return this.bodyString;

	}

	@Override

	public BufferedReader getReader() throws IOException {
		return new BufferedReader(new InputStreamReader(getInputStream()));

	}

	@Override

	public ServletInputStream getInputStream() throws IOException {
		final ByteArrayInputStream bais = new ByteArrayInputStream(body);

		return new ServletInputStream() {

			@Override
			public int read() throws IOException {
				return bais.read();

			}

		};

	}
}

这种的应该是没有什么问题的,两个fillter做数据流解析,然后判断 敏感字符,这就根据项目自行判断吧,我这和其他不一样的地方是:我们这边 body的数据也要我判断,我看网上的例子 都是只对地址栏的参数 做校验,但是公司的项目比较老师和庞大,只能我吧所有的参数进行校验。蓝瘦

有意者自取吧。
如果有问题的话可以评论区沟通,但是在下比较菜 不负责一定解决(手动狗头)

lqlscn
关注
专栏目录
Java代码审计】XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞
XSS安全漏洞?使用过滤器解决前端JS注入问题。
41981DC的博客
10-09 2980
使用过滤器解决前端XSS安全问题,JS注入问题使用过滤器解决前端 XSS 安全问题过滤器 使用过滤器解决前端 XSS 安全问题 在Java web 项目中,对于前端 JS 注入问题,可以在前端写 JS 代码进行预处理,但是这样处理无法保证万无一失,当用户篡改前端校验的 JS 代码,导致校验失效,那么未经处理的 JS 代码保存到数据库后再次查询展示到页面,依然会出现 JS 安全问题,这时候就需要在后台做 JS 代码校验和处理。我们可以使用过滤器(Filter)处理。 过滤器 过滤器可以对目标 web 资源
工作中Filter获取了一次HttpServletRequest做其他处理,导致业务流程的@RequestBody无法获取数据
qq_38506149的博客
07-08 484
然后,我重写了getInputStream()和getReader()方法,使它们返回一个新的输入流或读取器,这些输入流或读取器是从存储请求体的字节数组中创建的。这是因为这两个方法返回的输入流或读取器是从HTTP请求的输入流创建的,而HTTP请求的输入流是一个只能向前移动的流,不支持回退或重置。这些输入流或读取器是从存储请求体的字节数组中创建的,而不是从原始的HTTP请求输入流中创建的。这样,我们就可以在后续的处理中多次读取请求体,而不会受到HTTP请求输入流只能被读取一次的限制。在拦截器中,我这样使用。
spring mvc加过滤器导致@RequestBody无法工作的问题
tianjingle
07-16 419
https://blog.csdn.net/dmw412724/article/details/79296345
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 7535
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
接口参数前加入@RequestBody后请求报错
AsFarmer的博客
09-11 1076
接口参数前加入@RequestBody后发送请求报错 1.你的请求是get类型,@RequestBody不支持 2.前端传过来的数据类型不是json字符串,或者格式有误
前端发送请求时携带数组参数报400错误
会编程的林俊杰的博客
10-26 1657
1、业务需求: 根据多个卡标签查询相关卡的详细信息。 2、一开始的解决方法: 先进行除了卡标签条件的查询,然后将第一次查询出的结果与卡标签集合进行比较,只有查询结果的标签 >= 查询条件中的标签才是我们最终返回给前端的结果。 3、出现的问题: 当前端发送数组至后端时,请求都无法发出去,直接报400 bad request错误。 4、最终解决方法: 花了好长时间也没找到原因,所以我只好先将前端数组的每个元素以特定分隔符连接,从...
SpringBoot+Xss过滤(@RequestBody参数过滤Xss
Answer0902的博客
07-07 2784
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ??
m0_71777195的博客
10-30 286
就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式。
web漏洞——XSS攻击原理及防御
weixin_43806577的博客
08-28 746
XSS漏洞介绍 跨站脚本(Cross-Site Script,简称为XSS或跨站脚本或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。 XSS漏洞危害: 挂马 盗取用户cookie DOS(拒绝服务)客户端浏览器 钓鱼攻击,高级钓鱼技巧 编写针对性的XSS病毒,删除目标文章,恶意篡改数据,...
方法解析:探讨XSS漏洞在Web应用中的应用与防范
# 1.1 什么是XSS漏洞 XSS(Cross-Site Scripting)漏洞是一种常见的Web应用程序漏洞,攻击者通过在网页中注入恶意脚本,从而在用户的浏览器上执行恶意代码。这种漏洞根据攻击载体的不同可以分为存储型XSS、反射型...
微信统一下单body参数中文报错问题
车轮滚滚的博客
06-13 2760
微信统一下单接口有一个body参数,是对商品的描述,这里一般需要用到中文,但是提交时却被返回下单失败。这个问题困扰了我很久,主要是被网上一些不负责任的给坑了。 这里来说一下这个问题的真正解决方式。 首先,当微信返回数据报错时要看清楚报错原因,因为body参数中文的问题导致的下单失败微信返回结果有两种,一种是微信告诉你body编码格式不是UTF-8,另一种是告诉你签名错误。这里一定要搞清楚...
xss <BODY ONLOAD=alert(‘XSS’)>
weixin_34235371的博客
07-17 196
http://is.gd/QOv3eN 转载于:https://blog.51cto.com/4972113/1251596
解决在Filter中读取Request中的流后, 然后在Controller中@RequestBody参数无法注入而导致 400 错误
java_gchsh的博客
01-30 7128
摘要: 大家知道, StringMVC中@RequestBody是读取的流的方式, 如果在之前有读取过流后, 发现就没有了. 我的Filter为了验证请求参数(包括Request Payload的数据)是否有非法符号(sql注入)package com.ks.tow.common.filter; import java.io.BufferedReader; import java
XSS后台敏感操作(审计思路实现)
gl620321的博客
08-10 976
一、XSS后台敏感操作问题的审计 1、XSS是什么? XSS表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击中以以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,二在XSS攻击中,通过插入恶意脚本,实现对用户浏览器的控制。 2、XSS攻击可以分成两种类型 非持久性攻击:非持久性XSS攻击是一次性的,仅对当次的页面访问产生影响 持久性攻击:持久性XSS攻...
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3836
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
Cjx_Flying的博客
12-15 4910
本博文分为两部分 1.基于 表单key-value 传参方式防止XSS攻击 Content-Type 传参方式 接收方式 application/x-www-form-urlencoded 表单key-value HttpServletRequest Parameters 获取 multipart/form-data 表单key-value HttpServletRequest Parameters 获取 2.基于 json 传参方式防止XSS攻击 .
学习若依开源项目08xss过滤 防重复提交 全局异常处理
qq_44600359的博客
08-06 3043
xss过滤 若依这个项目采用的是http协议,这样就有可能面临着xss攻击的情况 如果是不处理的话对于项目来说是一个很大的漏洞,但有些时候前端可能会用到传入一些标签的形式来处理一些情况,这个时候是又需求的,所以也不能完全屏蔽掉。 若依这里是采用配置拦截器的方式来处理xss攻击,一旦请求被过滤器拦截,就会转入到自定义的拦截器XssFilter当中,首先解决的就是判断是否启用xss拦截器和是否需要拦截,若依这里是采用在配置文件当中填写具体信息的方式,来配置是否启用xss,是否是白名单,是否是匹配链接。按照后台填
说说如何防御 XSS 攻击
读万卷书,行万里路
08-24 1045
1 输入检测 之前在 XSS 攻击中有讲过,攻击者主要是通过构造特殊字符来注入脚本,所以输入检测就很有必要。 输入检测,必须在服务端实现。因为,攻击者可以绕开 JavaScript 展开攻击。业界的普遍做法是:同时在客户端与服务端进行输入检测。客户的误操作引起的问题,可以通过客户端 JavaScript 检测出来,从而节约服务器资源。而攻击者的特殊字符入参,大部分可以在服务端被拦截下来。 输入检...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值