XSS漏洞修复----过滤器(亲测可用)

最新推荐文章于 2024-08-06 23:47:37 发布
最新推荐文章于 2024-08-06 23:47:37 发布
阅读量7.4k 收藏 13
点赞数
文章标签: java xss漏洞 Filter

1.创建XssHttpServletRequestWrapper

  public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  

    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
        orgRequest = request;  
    }  

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */  
    @Override  
    public String getParameter(String name) {  
        String value = super.getParameter(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */  
    @Override  
    public String getHeader(String name) {  

        String value = super.getHeader(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     *  
     * @param s
     * @return
     */  
    private static String xssEncode(String s) {  
        if (s == null || s.isEmpty()) {  
            return s;  
        }  
        StringBuilder sb = new StringBuilder(s.length() + 16);  
        for (int i = 0; i < s.length(); i++) {  
            char c = s.charAt(i);  
            switch (c) {  
            case '>':  
                sb.append(">");// 转义大于号  
                break;  
            case '<':  
                sb.append("<");// 转义小于号  
                break;  
            case '\'':  
                sb.append("'");// 转义单引号  
                break;  
            case '\"':  
                sb.append(""");// 转义双引号
                break;  
            case '&':  
                sb.append("&");// 转义&  
                break;  
            case '@':  
                sb.append("@");// 转义@
                break;
            case '%':  
                sb.append("%");// 转义%
                break;
            case '(':  
                sb.append("(");// 转义(
                break;
            case ')':  
                sb.append(")");// 转义)
                break;
            case ',':  
                sb.append(",");// 转义,
                break;
            case '.':  
                sb.append("。");// 转义.
                break;
            case ';':  
                sb.append(";");// 转义;
                break;
            case '|':  
                sb.append("|");// 转义|
                break;
            default:  
                sb.append(c);  
                break;   
            }  
        }  
        return sb.toString();  
    }  

    /**
     * 获取最原始的request
     *  
     * @return
     */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  

    /**
     * 获取最原始的request的静态方法
     *  
     * @return
     */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  

        return req;  
    }  
}

2.创建Filter

public class XssFilter implements Filter {  

    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  

    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  
    }  

    @Override  
    public void destroy() {  
    }  

}

3.最后在web.xml中加入:

<!-- 防止xss漏洞过滤器 -->
    <filter>  
         <filter-name>XssFilter</filter-name>  
         <filter class>com.thinkgem.jeesite.common.filter.XssFilter</filter-class>  
     </filter>  
     <filter-mapping>  
         <filter-name>XssFilter</filter-name>  
         <url-pattern>/*</url-pattern>  
     </filter-mapping>

本文章是根据两位大神的博客改编而来.

m0_37746602
关注
owasp xss_使用OWASP工具检测和修复XSS
danpu0978的博客
05-13 1022
owasp xss 关于XSS漏洞扫描的文章很多。 在本文中,我们将尝试进一步介绍如何修复它们。 为了说明从最初检测到提供修复的整个过程,我们将使用一个非常简单的应用程序,其中包括两个JSP页面:一个是信用卡交易的付款表格,其中包含一些可利用XSS的代码。 另一个已修复了这样的代码:后者只是前者的修补版本。 我们将看到攻击者如何利用当前的XSS漏洞欺骗用户,以收集其信用卡数据。 (下载...
XSS漏洞解决方案之一 过滤器
qq_44945073的博客
04-20 453
XSS漏洞解决方案之一 过滤器
SQL+XSS漏洞修复方案
04-13
近期公司的项目遭受了SQL+XSS攻击(市面上现在检测工具很多如:AWVS/360等),现贴出项目中的修复核心代码,需要的可以参考一下
开源工具 PrivateBin 修复XSS 漏洞
smellycat000的专栏
04-19 942
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。Nethemba 公司的安全研究员Ian Budd 发现该XSS 漏洞可导致恶意 JavaScript ...
XSS漏洞类型原理及防御方式_三种xss漏洞防御
2401_85238708的博客
07-20 969
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 7486
XSS 安全漏洞介绍及修复方案
XSS漏洞测试工具
02-10
XSS是一种非常常见的漏洞类型,它的影响非常的广泛并且很容易的就能被检测到。 攻击者可以在未经验证的情况下,将不受信任的JavaScript片段插入到你的应用程序中,然后这个JavaScript将被访问目标站点的受害者执行
xss过滤器
一个很酷的人
01-04 956
java通过过滤器方式,预防xss攻击: 一共两个类: 1.过滤器 2.通过重写getParameter()方法,将参数参数都做xss过滤 以下为具体代码: import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { FilterConfig filterC
渗透测试-pdf文件上传-XSS
cdyunaq的博客
01-06 1万+
前言 pdf是portable document format的缩写,是目前广泛应用于各种场合的文件格式,其是由Adobe公司根据Postscript语言修改后提出的文件标准,并且被ISO组织接受,目前已经发展到2.0版本(ISO32000-2)。 目前广泛使用的是1.7版本,该版本pdf功能已经相当丰富,可以显示3D模型,播放多媒体音视频,执行Javascript脚本等功能。 PDF中的JavaScript利用 Pdf文件是应用广泛的一种文件格式,很多针对Adobe阅读器的CVE漏洞都是通过pdf
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3172
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
CBK-D5-安全测试与开发.md
最新发布
sdyu_peter的博客
08-06 1093
CBK-D5-安全测试与开发.md 安全评估与测试osg15 软件开发安全osg20、21
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
KesionEshop v9.5.140605 免费正式版 (utf-8).rar
07-05
7、加强会员签到脚本的过滤,以免出现XSS漏洞 8、修复升级到9.5.140102版本后,附件下载提示“非法下载” 9、修复会员中心出现广告竟价及团购的无效链接   KesionEshop是漳州科兴信息技术有限公司开发的一套...
KesionCMS v9.5.140605 免费正式版本(utf-8).rar
07-05
7、加强会员签到脚本的过滤,以免出现XSS漏洞 8、修复升级到9.5.140102版本后,附件下载提示“非法下载” 9、修复会员中心出现广告竟价及团购的无效链接   KesionCMS是漳州科兴信息技术有限公司开发的一套万能...
复现XSS漏洞及分析
qq_61739597的博客
09-01 3029
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
解决xss漏洞
chengqiao5072的博客
02-07 167
web.xml <filter> <filter-name>xssFilter</filter-name> <filter-class>com.aoi.selfhelp.filters.XSSFilter</filt...
XSS过滤器Filter实现全过程
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
XSS过滤处理
fj56355113的专栏
03-02 1009
java工程需要添加过滤器,具体代码如下: import org.apache.commons.lang3.StringUtils; import org.apache.http.entity.ContentType; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.ServletI...
Springboot配置XSS过滤器XssFilter
热门推荐
涛哥是个大帅比
12-08 1万+
简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用
HTML事件中的XSS漏洞解析-01
"Web攻防训练营——第六节 HTML事件中的XSS-01" 在Web安全领域,跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的安全漏洞,它允许攻击者在用户的浏览器上注入恶意脚本。本节主要探讨了HTML事件中的XSS...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值