解决XSS攻击漏斗的过滤器

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量2.3k 收藏 5
点赞数 1
分类专栏: XSS攻击解决办法 文章标签: java web项目XSS攻击解决办法 安全 钓鱼 web 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mhanyue/article/details/78563846
版权

新上线的系统被测试出有XSS攻击漏洞,做的过程中一直没有考虑到这个问题。被查出这个问题,通过从网上查阅的资料,将解决方法记录一下,以备不时之需。

  • 什么是XSS
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器
执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实
施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨
大的,是web安全的头号大敌。
  • 攻击的条件
实施XSS攻击需要具备两个条件:

一、需要向web页面注入恶意代码;

二、这些恶意代码能够被浏览器成功的执行。

  • XSS攻击能做些什么

窃取cookies,读取目标网站的cookie发送到黑客的服务器上,如下面的代码;

读取用户未公开的资料,如果:邮件列表或者内容、系统的客户资料,联系人列表等等

  • XSS攻击的过程

  • 怎么解决

我的解决办法是加过滤器转义特殊字符。

首先写好过滤器,具体代码如下:

XssSecurityFilter.java

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import org.apache.log4j.Logger;

public class XssSecurityFilter implements Filter {

	protected final Logger log = Logger.getLogger(this.getClass());

	public void init(FilterConfig config) throws ServletException {
		if (log.isInfoEnabled()) {
			log.info("XSSSecurityFilter Initializing ");
		}
	}

	/**
	 * 销毁操作
	 */
	public void destroy() {
		if (log.isInfoEnabled()) {
			log.info("XSSSecurityFilter destroy() end");
		}
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest httpRequest = (HttpServletRequest) request;

		XssHttpRequestWrapper xssRequest = new XssHttpRequestWrapper(
				httpRequest);
		httpRequest = XssSecurityManager.wrapRequest(xssRequest);
		chain.doFilter(xssRequest, response);
	}
}
XssHttpRequestWrapper.java 

import java.io.UnsupportedEncodingException;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * @author
 * @date
 * @describe 主要是对参数进行xss过滤,替换原始的request的getParameter相关功能 线程不安全
 * 
 */
public class XssHttpRequestWrapper extends HttpServletRequestWrapper {

	protected Map parameters;

	/**
	 * 封装http请求
	 * 
	 * @param request
	 */
	public XssHttpRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	@Override
	public void setCharacterEncoding(String enc)
			throws UnsupportedEncodingException {
		super.setCharacterEncoding(enc);
		// 当编码重新设置时,重新加载重新过滤缓存。
		refiltParams();
	}

	void refiltParams() {
		parameters = null;
	}

	@Override
	public String getParameter(String string) {
		String strList[] = getParameterValues(string);
		if (strList != null && strList.length > 0)
			return strList[0];
		else
			return null;
	}

	@Override
	public String[] getParameterValues(String string) {
		if (parameters == null) {
			paramXssFilter();
		}
		return (String[]) parameters.get(string);
	}

	@Override
	public Map getParameterMap() {
		if (parameters == null) {
			paramXssFilter();
		}
		return parameters;
	}

	/**
	 * 
	 * 校验参数,若含xss漏洞的字符,进行替换
	 */
	private void paramXssFilter() {
		parameters = getRequest().getParameterMap();
		XssSecurityManager.filtRequestParams(parameters, this.getServletPath());
	}

}
XssSecurityManager.java 

import java.io.InputStream;
import java.util.ArrayList;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import java.util.Set;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;

import org.apache.log4j.Logger;
import org.w3c.dom.Element;
import org.w3c.dom.Node;
import org.w3c.dom.NodeList;
/** 
 * @author  
 * @date 
 * @describe 安全过滤配置管理类,统一替换可能造成XSS漏洞的字符为中文字符 
 */  
public class XssSecurityManager {
	private static Logger log = Logger.getLogger(XssSecurityManager.class);  
	  
    // 危险的javascript:关键字j av a script  
    private final static Pattern[] DANGEROUS_TOKENS = new Pattern[] { Pattern  
            .compile("^j\\s*a\\s*v\\s*a\\s*s\\s*c\\s*r\\s*i\\s*p\\s*t\\s*:",  
                    Pattern.CASE_INSENSITIVE) };  
  
    // javascript:替换字符串(全角中文字符)  
    private final static String[] DANGEROUS_TOKEN_REPLACEMENTS = new String[] { "JAVASCRIPT:" };  
  
    // 非法的字符集  
    private static final char[] INVALID_CHARS = new char[] { '<', '>', '\'',  
            '\"', '\\' };  
  
    // 统一替换可能造成XSS漏洞的字符为全角中文字符  
    private static final char[] VALID_CHARS = new char[] { '<', '>', '’', '“',  
            '\' };  
  
    // 开启xss过滤功能开关  
    public static boolean enable=false;  
  
    // url-patternMap(符合条件的url-param进行xss过滤)<String ArrayList>  
    public static Map urlPatternMap = new HashMap();  
      
    private static HashSet excludeUris=new HashSet();  
  
    private XssSecurityManager() {  
        // 不可被实例化  
    }  
    static {  
        init();  
    }  
  
    private static void init() {  
        try {  
            String xssConfig = "/xss_security_config.xml";  
            if(log.isDebugEnabled()){  
                log.debug("XSS config file["+xssConfig+"] init...");  
            }  
            InputStream is = XssSecurityManager.class  
                    .getResourceAsStream(xssConfig);  
            if (is == null) {  
                log.warn("XSS config file["+xssConfig+"] not found.");  
            }else{  
                // 初始化过滤配置文件  
                initConfig(is);  
                log.info("XSS config file["+xssConfig+"] init completed.");  
            }  
        }  
        catch (Exception e) {  
              
            log.error("XSS config file init fail:"+e.getMessage(), e);  
        }  
          
    }  
  
    private static void initConfig(InputStream is) throws Exception{  
        DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();  
  
        DocumentBuilder builder=factory.newDocumentBuilder();  
  
        Element root = builder.parse(is).getDocumentElement();  
        //-------------------  
        NodeList nl=root.getElementsByTagName("enable");  
        Node n=null;  
        if(nl!=null && nl.getLength()>0){  
            n=((org.w3c.dom.Element)nl.item(0)).getFirstChild();  
        }  
        if(n!=null){  
            enable = new Boolean(n.getNodeValue().trim()).booleanValue();  
        }  
        log.info("XSS switch="+enable);  
        //-------------------------  
        nl=root.getElementsByTagName("filter-mapping");  
        NodeList urlPatternNodes=null;  
        if(nl!=null && nl.getLength()>0){  
            Element  el=(Element)nl.item(0);  
            urlPatternNodes=el.getElementsByTagName("url-pattern");  
            //-----------------------------------------------------  
            NodeList nl2=el.getElementsByTagName("exclude-url");  
            if(nl2!=null && nl2.getLength()>0){  
                for(int i=0;i<nl2.getLength();i++){  
                    Element e=(Element)urlPatternNodes.item(i);  
                    Node paramNode=e.getFirstChild();  
                    if(paramNode!=null){  
                        String paramName=paramNode.getNodeValue().trim();  
                        if(paramName.length()>0){  
                            excludeUris.add(paramName.toLowerCase());  
                        }  
                    }  
                }  
            }  
        }  
        //----------------------  
        if(urlPatternNodes!=null && urlPatternNodes.getLength()>0){  
            for(int i=0;i<urlPatternNodes.getLength();i++){  
                Element e=(Element)urlPatternNodes.item(i);  
                String urlPattern=e.getAttribute("value");  
                if(urlPattern!=null && (urlPattern=urlPattern.trim()).length()>0){  
                    List filtParamList = new ArrayList(2);  
                    if(log.isDebugEnabled()){  
                        log.debug("Xss filter mapping:"+urlPattern);  
                    }  
                    //-------------------------------  
                    NodeList temp=e.getElementsByTagName("include-param");  
                    if(temp!=null && temp.getLength()>0){  
                        for(int m=0;m<temp.getLength();m++){  
                            Node paramNode=(temp.item(m)).getFirstChild();  
                            if(paramNode!=null){  
                                String paramName=paramNode.getNodeValue().trim();  
                                if(paramName.length()>0){  
                                    filtParamList.add(paramName);  
                                }  
                            }  
                              
                        }  
                          
                    }  
                    //一定得将url转换为小写  
                    urlPatternMap.put(urlPattern.toLowerCase(), filtParamList);  
                }  
            }  
        }  
          
        //----------------------  
    }  
      
    
public static HttpServletRequest wrapRequest(HttpServletRequest httpRequest){  
        if(httpRequest instanceof XssHttpRequestWrapper){  
//          log.info("httpRequest instanceof XssHttpRequestWrapper");  
            //include/forword指令会重新进入此Filter  
            XssHttpRequestWrapper temp=(XssHttpRequestWrapper)httpRequest;  
            //include指令会增加参数,这里需要清理掉缓存  
            temp.refiltParams();  
            return temp;  
        }else{  
//          log.info("httpRequest is not instanceof XssHttpRequestWrapper");  
            return httpRequest;  
        }  
    }  


public static List getFiltParamNames(String url){ //获取需要xss过滤的参数 url = url.toLowerCase(); List paramNameList = (ArrayList) urlPatternMap.get(url); if(paramNameList==null || paramNameList.size()==0){ return null; } return paramNameList; } public static void
 filtRequestParams(Map params,String servletPath){ long t1=System.currentTimeMillis(); //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数 List filtParamNames=XssSecurityManager.getFiltParamNames(servletPath); filtRequestParams(params, filtParamNames); } public static void filtRequestParams(Map
 params,List filtParamNames){ // 获取当前参数集 Set parameterNames = params.keySet(); Iterator it = parameterNames.iterator(); //得到需要过滤的参数名列表,如果列表是空的,则表示过滤所有参数 while (it.hasNext()) { String paramName = (String) it.next(); if(filtParamNames==null || filtParamNames.contains(paramName)
 ){ String[] values = (String[])params.get(paramName); proceedXss(values); } } } /** * 对参数进行防止xss漏洞处理 * * @param value * @return */ private static void proceedXss(String[] values) { for (int i = 0; i < values.length; ++i) { String value = values[i]; if (!isNullStr(value))
 { values[i] = replaceSpecialChars(values[i]); } } } /** * 替换非法字符以及危险关键字 * * @param str * @return */ private static String replaceSpecialChars(String str) { for (int j = 0; j < INVALID_CHARS.length; ++j) { if (str.indexOf(INVALID_CHARS[j]) >= 0) { str = str.replace(INVALID_CHARS[j],
 VALID_CHARS[j]); } } str=str.trim(); for (int i = 0; i < DANGEROUS_TOKENS.length; ++i) { str = DANGEROUS_TOKENS[i].matcher(str).replaceAll( DANGEROUS_TOKEN_REPLACEMENTS[i]); } return str; } /** * 判断是否为空串,建议放到某个工具类中 * * @param value * @return */ private static
 boolean isNullStr(String value) { return value == null || value.trim().length()==0; } public static void main(String args[]) throws Exception{ Map datas=new HashMap(); String paramName="test"; datas.put(paramName,new String[]{ "Javascript:<script>alert('yes');</script>"});
 filtRequestParams(datas,"/test/sample.do"); System.out.println(((String[])datas.get(paramName))[0]); } }


然后配置Web.xml文件:





<filter>  
       <filter-name>XSSFiler</filter-name>  
       <filter-class>com.fh.filter.XssSecurityFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XSSFiler</filter-name>  
        <url-pattern>*.jsp</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>XSSFiler</filter-name>  
        <url-pattern>*.do</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>XSSFiler</filter-name>  
        <url-pattern>*.screen</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>XSSFiler</filter-name>  
        <url-pattern>*.shtml</url-pattern>  
    </filter-mapping>  
    <filter-mapping>  
        <filter-name>XSSFiler</filter-name>  
        <servlet-name>dispatcher</servlet-name>  
    </filter-mapping>




 

 

  • 解决前输入的非法字符串展示如下(输入的企业名称是[<script>alert('1111');</script>]):
 

 
  
 
 

 

  • 加入过滤器后,输入的非法字符展示如:
 

 
 
 
  

 

  • XSS过滤加入后引发的问题如下:
 

 
 
由于系统中附件的上传下载封装了共同页面,使用了<jsp:include>和<jsp:param>标签,XSS过滤加入之后,<jsp:param>的参数就传递不到共通页面。
 
 
根据分析查找,可能是过滤器中一下代码影响:
 
 
 
 
public static HttpServletRequest wrapRequest(HttpServletRequest httpRequest){  
        if(httpRequest instanceof XssHttpRequestWrapper){  
//          log.info("httpRequest instanceof XssHttpRequestWrapper");  
            //include/forword指令会重新进入此Filter  
            XssHttpRequestWrapper temp=(XssHttpRequestWrapper)httpRequest;  
            //include指令会增加参数,这里需要清理掉缓存  
            temp.refiltParams();  
            return temp;  
        }else{  
//          log.info("httpRequest is not instanceof XssHttpRequestWrapper");  
            return httpRequest;  
        }  
    }  
 
 
httpRequest = XssSecurityManager.wrapRequest(xssRequest);

但是将上述代码去掉后,依然没有解决问题,目前还在百思不得其解中,如果有哪位高手经过,可以指点一下。。。。。。 
 
 
 

 
 


                

        

        

    




    

      

        

            

              
                
                  mhanyue
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    5
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
[网络安全自学篇] 六十八.WannaCry勒索病毒复现及分析(二)MS17-010利用及病毒解析

				
			

			

				

					杨秀璋的专栏
				

				

					04-20
					
					1万+
					
				

			

		

		

			
				
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了通过Python利用永恒之蓝漏洞加载WannaCry勒索病毒,并实现对Win7文件加密的过程,但过程较为复杂,为什么不直接利用永恒之蓝呢?所以,这篇文章将直接分享MSF利用MS17-010漏洞进行反弹Shell,再上传勒索病毒进行实验复现,并详细讲解WannaCry勒索病毒的原理。基础性文章,希望对您有所帮助。

			
		

	



                

              
                



	

		

			

				
					
二十六、WEB 应用威胁有哪些?

				
			

			

				

					jysf98746的博客
				

				

					02-22
					
					608
					
				

			

		

		

			
				
Session 虽然存储在服务端,但是它的 SessionId 也存了一份在客户端的 Cookies 中的,并且它的生命周期随着浏览器的关闭而消失。用户登录 A 网站,然后又打开了另一个标签页访问 B 网站,如果此时 B 中隐藏了 A 网站某个请求的链接,到用户点击了,就会以当前用户的身份去触发对应的事件。这种威胁可能是物理硬件,操作系统,操作系统上面的软件漏洞,协议漏洞,甚至是人的某些行为导致,场景非常多而本节主要聚焦 Web 层面的安全问题。如果没有设置过期时间,它的生命周期就是浏览器关闭了就消失了。

			
		

	



                


  
              

                


	

		

			

				
					
防止XSS攻击解决办法

				
			

			

				

					01-20
				

			

		

		

			
				
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现

			
		

	





	

		

			

				
					
Spring Boot XSS 攻击过滤插件使用

				
			

			

				

					冷冷的博客
				

				

					12-03
					
					1279
					
				

			

		

		

			
				
XSS 是什么
XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。
xss 攻击流程

简单 xss 攻击示例

若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。


解决方案
XSS 过滤说明

对表单绑定的字符串类型进行 xss 处理。
对 json 字符串数据进行

			
		

	



		

			
		



	

		

			

				
					
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器

					
最新发布

				
			

			

				

					weixin_73588491的博客
				

				

					07-05
					
					6889
					
				

			

		

		

			
				
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。

			
		

	





	

		

			

				
					
xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击解决Xss漏洞

				
			

			

				

					weixin_36036029的博客
				

				

					02-26
					
					198
					
				

			

		

		

			
				
Java Web使用过滤器防止Xss攻击解决Xss漏洞发布时间:2018-11-11 10:41,浏览次数:286, 标签:JavaWebXssweb.xml添加过滤器  xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter *过滤器代码package com.quickly.exception.common.filter...

			
		

	





	

		

			

				
					
XSS过滤器

				
			

			

				

					spum_的博客
				

				

					08-27
					
					279
					
				

			

		

		

			
				
【代码】XSS过滤器

			
		

	





	

		

			

				
					
Xss过滤器

				
			

			

				

					weixin_43326384的博客
				

				

					11-30
					
					678
					
				

			

		

		

			
				
package com.my.filter;

import com.my.bean.XssRequest;
import org.springframework.context.annotation.Configuration;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.ser...

			
		

	





	

		

			

				
					
XSS漏洞解决方案之一 过滤器

				
			

			

				

					qq_44945073的博客
				

				

					04-20
					
					452
					
				

			

		

		

			
				
XSS漏洞解决方案之一 过滤器

			
		

	





	

		

			

				
					
XSS攻击的简单过滤和绕过

				
			

			

				

					caoxinjian423的博客
				

				

					09-02
					
					3356
					
				

			

		

		

			
				
一、常见的XSS攻击脚本

弹窗警告
	<script>alert('XSS')</script>
	<script>alert(document.cookie)</script>
页面嵌套
	<iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe>

	重定向
	<script>window.location="http://www.b.

			
		

	





	

		

			

				
					
渗透测试:XSS漏洞定义及防护

				
			

			

				

					WEL测试
				

				

					12-22
					
					927
					
				

			

		

		

			
				
什么是XSS
XSS(cross site script)或者说跨站脚本是一种web应用程序的漏洞,恶意攻击者往web页面里插入恶意script代码,当用户浏览该页之时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的。
跨站脚本漏洞风险

盗取用户cookie,然后伪造用户身份登录,泄露用户个人身份及用户订单信息。
操控用户浏览器,借助其他漏洞可能会导致对https加密信息的破解,导致登录传输存在安全风险。
结合浏览器及其插件漏洞,下载病毒木马到浏览器的计算机上执行。
修改页面内容

			
		

	





	

		

			

				
					
java过滤器,防止XSS、SQL

				
			

			

				

					01-08
				

			

		

		

			
				
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

			
		

	





	

		

			

				
					
XSS HTMLFILTER

				
			

			

				

					10-07
				

			

		

		

			
				
你还在为防范xss注入攻击而疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护

			
		

	





	

		

			

				
					
【高并发、高性能、高可用】“三高” 系统设计经验

				
			

			

				

					
				

				

					05-29
					
					8709
					
				

			

		

		

			
				
软件开发通常会提到一个名词 “三高”,即高并发、高性能、高可用。

具体的指标定义,如:高并发方面要求QPS 大于 10万;高性能方面要求请求延迟小于 100 ms;高可用方面要高于 99.99%。

接下来,我们重点来介绍这 三高





高并发



我们使用 QPS(Queries Per Second,每秒查询率)来衡量系统承载能力。架构策略有哪些?



1、负载均衡

正所谓双拳难敌四手,高并发撑场面的首选方案就是集群化部署,一台服务器承载的QPS有限,多台服务器叠加效果就不一样了。
...

			
		

	





	

		

			

				
					
 [转]ModSecurity for Apache 1.8.7 用户手册

				
			

			

				

					.NET博文收藏
				

				

					04-04
					
					2614
					
				

			

		

		

			
				
		 ModSecurity for Apache 1.8.7 用户手册 Copyright © 2002-2005 Ivan Ristic  http://www.modsecurity.org  中文版: 我爱臭豆腐,sakulagi,Alan.Jin     http://www.chinaunix.net 中文版备注:随着使用apache得人越来越多,和使用web服务得广泛.web服务器得

			
		

	





	

		

			

				
					
过滤器防止XSS攻击

				
			

			

				

					qq_34567533的博客
				

				

					10-22
					
					1016
					
				

			

		

		

			
				
xss钓鱼网站常用的方式,具体就是在提交的表单中加入脚本,数据在回显时浏览器执行了脚本,

具体的脚本可以是获取cookie,或者跳转至钓鱼网站;

解决方法,通过过滤器,将&lt;&gt;转义

新建filter实现类;


package com.group.local.filter;

import javax.servlet.*;
import javax.servlet.http.Ht...

			
		

	





	

		

			

				
					
过滤器防止xss攻击

				
			

			

				

					yizhousai0662的博客
				

				

					09-01
					
					1228
					
				

			

		

		

			
				
将参数中有关xss攻击的非法字符全部处理掉。

			
		

	





	

		

			

				
					
XSS攻击过滤器

				
			

			

				

					lg12lp12的博客
				

				

					11-06
					
					527
					
				

			

		

		

			
				
import java.io.IOException;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.Servl

			
		

	





	

		

			

				
					
XSS攻击过滤处理

				
			

			

				

					weixin_30302609的博客
				

				

					05-02
					
					979
					
				

			

		

		

			
				
关于XSS攻击
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

XSS漏洞的危害

网络钓鱼,包括盗取各类用户账号;
窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作;
劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等;
强制弹出广告页面、刷流量等;
网页...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值