保姆级教学 XSS攻击的过滤器

已于 2022-06-08 16:45:32 修改
阅读量1.7k 收藏 8
点赞数 4
分类专栏: 网络空间安全 文章标签: xss 前端
于 2022-06-07 21:55:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59206144/article/details/124436112
版权

对于XSS攻击,一种有效的防范措施是重写过滤器的方式来过滤一些有潜在风险的过滤器。

    过滤策略:把特殊字符转为HTML实体编码,
    这样存在数据库里较安全
    返回给前端时会被js解析为正常字符,不影响查看

eg:比如我处后端的处理字符串的操作有一个是:

str = str.replaceAll("\\?", "?");

这里以百度网盘为例,当前比如网页是:

http://pan.baidu.com/disk/main?from=oldversion#/brand

我想要进入别人的网盘

那么当我改导航时,http://pan.baidu.com/disk/main?from=***

此时,传入的request(也就是后端的str字符串)会把?替换成?然后命令就失效了。

如果在前端显示的话,?恰好能在前端显示出来"?",所以这是一种可能的方法解决XSS攻击的过滤器,我们直接上代码。

需要新建两个类

首先新建一个类XSSFilter;



import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;


public class XSSFilter implements Filter {

    @Override

    public void destroy() {


    }

    @Override

    public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)

            throws IOException, ServletException {


        arg2.doFilter(new XSSRequestWrapper((HttpServletRequest) arg0), arg1);

    }

    @Override

    public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

    }

}

在新建一个类XSSRequestWrapper;



import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.regex.Pattern;


public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest){
        super(servletRequest);
    }

    @Override
    public String getHeader(String name){
        return super.getHeader(name);
    }

    @Override
    public String getParameter(String name){
        String value = super.getParameter(name);
        return xssEncode(value);
    }

    //对以FormData形式提交,Content-Type:application/x-www-from-urlencoded参数过滤
    @Override
    public String[] getParameterValues(String name){
        String[] values=super.getParameterValues(name);
        if(values==null){
            return null;
        }
        int count=values.length;
        String[] encodeValues=new String[count];
        for(int i=0;i<count;i++){
            encodeValues[i]=xssEncode(values[i]);
        }
        return encodeValues;
    }

    /*过滤策略:把特殊字符转为HTML实体编码,
     *这样存在数据库里较安全
     *返回给前端时会被js解析为正常字符,不影响查看*/
    public static String xssEncode(String str){
        if(str == null || str.isEmpty()){
            return str;
        }
        str = str.replaceAll(";", "&#59;");
        str = str.replaceAll("<", "&#60;").replaceAll(">", "&#62;");
        str = str.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        str = str.replaceAll("'", "&#39;").replaceAll("\"", "&#34;");
        str = str.replaceAll("\\$", "&#36;");
        str = str.replaceAll("%", "&#37;");
        str = str.replaceAll("\\/", "&#47;").replaceAll("\\\\", "&#92;");
        str = str.replaceAll(":", "&#58;");
        str = str.replaceAll("\\?", "&#63;").replaceAll("@", "&#64;");
        str = str.replaceAll("\\^", "&#94;");
        return str;
    }
}

那么接下来就是最后一步了,那就是配置啦。

我们需要在web.xml里加入如下的配置信息

    <filter>
        <filter-name>XSSFilter</filter-name>
        <filter-class>Protect.XSSFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XSSFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

那么我们的整个项目就有过滤器了哦,快去试试吧!

如果有错误请指正。

如果觉得不错给作者一个免费的的点赞吧。

星星也倦了/
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
xss过滤特殊字符
BusyMonkey
06-19 5992
xss过滤特殊字符
JavaScript过滤XSS
weixin_39664733的博客
11-22 2131
var filterXSS=function(oriStr){ if(!oriStr){ return oriStr; } var charCodes=['3c','3e','27','22','28','29','60',{format:'script{}',chr:'3a'}];//要转义字符的16进制ASCII码[1< 2> 3' 4" 5( 6) 7`] var xssChars=[],filterChars=[],tmpFormat='{}',tmpChr; for(var
JS加密解密/XSS的防御
最新发布
mxd01848的博客
06-03 1055
总之,防御 XSS 攻击需要从多个角度进行考虑和处理,包括输入过滤、输出编码以及使用可靠的安全库和框架。通过多层次的防御策略,可以有效地提高应用程序的安全性。这段代码的目的是对用户输入进行过滤,以防止跨站脚本(XSS攻击。让我们详细拆解这段代码,并分析其工作原理和有效性。怎么隐藏你的xss保护逻辑呢,使用在线js加解密工具对代码进行保护。是一个用于过滤 XSS 攻击的函数。函数进行过滤,然后返回过滤后的结果。进行解码,并将其传递给。最终返回过滤后的字符串。,表示需要过滤的输入。,则不进行后续操作。
XSS过滤器的配置解析
m0_37027631的博客
12-13 4209
XSS过滤器的配置解析 http://pan.baidu.com/s/1eSgIwMI(百度云代码下载链接) 知识点拓展:在myeclipse或者eclipse中src或者WebRoot(myeclipse中)/WebContent(eclipse中)中的文件的路径是项目的根路径 1、src下(或者任意路径下)创建XSSFilter文件夹,里面创建五个类(详细代码去上边百度云链接地址中下载)
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2658
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
xss过滤技巧
Richard_qi的博客
04-11 3600
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
JSP Struts过滤xss攻击的解决办法
10-19
本文将详细介绍如何使用Struts2框架的拦截器机制来过滤XSS攻击。 **1. XSS攻击简介** XSS攻击通常通过在网页中插入恶意JavaScript代码实现,当用户访问这些被篡改的页面时,恶意脚本会在用户的浏览器环境中执行。...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件中的XSS攻击则是在PDF阅读器解析文档时触发恶意脚本,而不是在网页中。 SpringBoot是一个流行的Java Web开发框架,提供了丰富的安全组件。XSSFilter是用于过滤HTTP请求中可能存在的XSS攻击的一种机制。在...
java过滤器过滤xss_web项目脚本过滤--XSS过滤器
weixin_36239323的博客
02-24 1064
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3003
跨站脚本攻击XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
XSS漏洞解决方案之一:过滤器
javaACMer的专栏
09-10 4648
XSS漏洞解决方案之一:过滤器
使用filter解决xss攻击
fangleijiang的专栏
06-25 9235
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
hithedy的专栏
02-03 2万+
1、首先配置web.xml,添加如下配置信息: xssAndSqlFilter com.cup.cms.web.framework.filter.XssAndSqlFilter xssAndSqlFilter * 2、编写过滤器   /** * */ package com.cup.cms.web.framework.filter; import java.io.I
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤的解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1502
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星星也倦了/

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值