JAVA WEB项目解决XSS攻击的办法

最新推荐文章于 2024-07-26 16:43:29 发布
最新推荐文章于 2024-07-26 16:43:29 发布
阅读量2.9k 收藏
点赞数
分类专栏: Java-web 文章标签: html5 javascript
原文链接:https://www.cnblogs.com/zkongbai/p/10455783.html
版权

记一次JAVA WEB项目解决XSS攻击的办法(亲测有效)

Posted on 2019-03-01 13:22  zkongbai  阅读(4381)  评论(4)  编辑  收藏

  • 什么是XSS攻击

    简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说

  • 系统架构主要是SSM框架,服务层另外使用了DubboX.

     为啥说这个,因为SpringMVC对于Xss攻击需要特殊处理

  • 思路  

    其实XSS工具解决思路就是捕获客户端提交的参数进行捕获,然后对参数值进行过滤处理,去除那些非法的字符.

    但是请求通常分为GET请求与POST请求,针对不同的请求,处理方式是不一样的

  • 步骤:

    1.针对GET与非文件格式上传的post请求.(form 表单提交的时候 没有这个参数enctype="multipart/form-data"),JSON请求等

1) web.xml配置过滤器

 View Code

2)过滤器实现 XssFilter.java,针对部分特殊请求,要求不走过滤的,可以在此过滤器中放行

 View Code

3) XssHttpServletRequestWrapper

 View Code

4) 使用到的编码工具,过滤参数使用了xss-html-filter工具,具体可以自行替换

 View Code

5) pom.xml 配置引用的jar

1 <dependency>
2        <groupId>net.sf.xss-html-filter</groupId>
3        <artifactId>xss-html-filter</artifactId>
4        <version>1.5</version> 
5 </dependency>

    2.针对enctype="multipart/form-data"格式的post提交

1) 更改springMVC默认Annotation适配器(org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter - ->    cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter),如果没有则添加

复制代码

1 <!-- annotation方法修饰器 -->
2 <bean id="handlerAdapter" class="cn.ffcs.web.filter.XssAnnotationMethodHandlerAdapter">
3 
4 ....
5 
6 <bean>

复制代码

2) 继承AnnotationMethodHandlerAdapter 并覆盖handle方法

复制代码

 1 package cn.ffcs.web.filter;
 2 
 3 import java.util.Map;
 4 import java.util.Set;
 5 
 6 import javax.servlet.http.HttpServletRequest;
 7 import javax.servlet.http.HttpServletResponse;
 8 
 9 import net.sf.xsshtmlfilter.HTMLFilter;
10 
11 import org.apache.commons.lang.StringUtils;
12 import org.springframework.web.servlet.ModelAndView;
13 import org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter;
14 @SuppressWarnings("deprecation")
15 public class XssAnnotationMethodHandlerAdapter extends
16         AnnotationMethodHandlerAdapter {
17     
18     
19     @SuppressWarnings({ "rawtypes", "unchecked" })
20     private void myXss(HttpServletRequest request){
21         Map map = request.getParameterMap();
22         Set<String> keySet = map.keySet();
23         for(String key : keySet){
24             String[] values = request.getParameterValues(key);
25             if(values!=null&&values.length>0){
26                 for(int i=0 ;i<values.length;i++){
27                     if(!StringUtils.isBlank(values[i])){
28                         values[i] = XssEncode.xssEncode(values[i]);
29                     }
30                 }
31             }
32         }
33     }
34     
35     @Override
36     public ModelAndView handle(HttpServletRequest request,
37             HttpServletResponse response, Object handler) throws Exception {
38         myXss(request);
39         return super.handle(request, response, handler);
40     }
41 }

复制代码

 

tip: 网上另外有说用反射实现带@Controller的控制器,感觉思路可以,但是没有成功.

谁能知道自己的错失呢?愿你赦免我隐而未现的过错.求你阻扰仆人不犯任意妄为的罪,不容这罪辖制我,我便完全,免犯大罪.--诗19:12-13

分类: java

标签: XSS攻击java

mohuanzhen
关注
专栏目录
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
跨站点脚本攻击(XSS)防护 XSS HTMLFilter
jasontome的android之路:Do it. Do it right. Do it righ
01-26 9875
XSS HTMLFilter这是一个采用Java实现的开源类库。用于分析用户提交的输入,消除潜在的跨站点脚本攻击(XSS),恶意的HTML,或简单的HTML格式错误。 示例代码: // retrieve input from user... String input = ... String clean = new HTMLInputFilter().filter( input );
Java处理xss漏洞
qq_30563727的博客
07-26 289
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
防止存储式XSS攻击过滤HTML
勤学、勤思
05-25 390
防止存储式XSS攻击过滤HTML package net.sf.xsshtmlfilter; import java.util.ArrayList; import java.util.Collections; import java.util.HashMap; import java.util.List; import java.util.Map; import java.util.concurrent.ConcurrentHashMap; import java.util.concurre..
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
Java XSS:例子和预防
allway2的博客
07-24 5007
成熟的框架(例如Spring)通常具有安全功能,如果使用得当,可以保护您的应用免受最常见类型的攻击。对于我们的第一个示例,我们将展示可以通过查询参数完成的基本XSS攻击。在简要解释了XSS是什么以及为什么它会对您的应用程序的安全构成如此危险的威胁后,我们这样做了。对于某些类型的数据,使用“允许列表”方法可能是有意义的,其中您有一个可以接受的有效数据列表,而其他所有数据都被拒绝。我们示例中的视图有一个故意的错误,以允许未转义的内容按原样显示。他们只受攻击者的独创性和您的应用程序的漏洞的约束。...
Java 防御XSS攻击实战与示例代码
oscar999的专栏
01-08 1689
本篇介绍在Java 项目中如何快速修复XSS 漏洞。本篇使用的是黑名单的方式, 对于非法字符进行转义。 黑名单的方式虽然不能完全的解决XSS的漏洞, 但是能有效的减轻攻击, 对于使用类似Coverity等代码静态扫描攻击扫描的漏洞, 修复之后就不会再报相关的警报了。
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
防止XSS攻击解决办法
01-20
Java Web应用中,可以使用过滤器(Filter)来拦截并处理请求,过滤掉可能的XSS攻击。以下是两种常用的过滤器: 1. OWASP Java Encoder库:这是一个开源项目,提供了针对不同场景的编码函数,可以将用户输入转义为...
JSP Struts过滤xss攻击解决办法
10-19
**JSP Struts过滤XSS攻击解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
java 预防XSS攻击
08-23
XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入到网页中,进而影响用户的安全。本文将深入探讨如何在Java后端进行预防XSS攻击的策略。 1. **理解XSS类型**: - **存储...
Java Web应用安全防护:抵御CSRF与XSS攻击的策略
最新发布
08-28
本文将详细探讨CSRF和XSS攻击的原理、特点以及在Java Web应用中的防护策略。 CSRF和XSS攻击是Web应用开发中必须面对的安全挑战。通过本文的详细介绍,你应该能够理解这些攻击的原理和防护策略。在Java Web应用开发中...
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 4649
存储型XSS和反射型XSS修复
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5407
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
xss注入表单过滤
tlovet_1314的博客
08-17 440
1.XssFileter package com.sdzk.buss.filter; import javax.servlet.*; import javax.servlet.ServletRequest; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void de
Java web防护xss/sql注入的正确姿势
Javee的博客
08-15 1307
Java web防护xss/sql注入的正确姿势 这里以springboot搭建的微服务为例,可以在网关中自定义全局拦截器,对入参进行过滤。防护的方法有很多,这里以黑名单为例,暂定项目中只存在POST和GET两种传参: 自定义防XSS/SQL注入攻击网关全局过滤器 package com.javee.getway.filter; import com.javee.getway.common.constant.WebBaseConstant; import com.javee.getway.common.m
java web xss_Java Web XSS安全防御
weixin_39621075的博客
02-13 143
XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。一.过滤器方案XSSFilter.javapackage com.bijian.study.filter;import java.io.IOException;import javax.servlet.Filter;import javax....
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5340
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
Java开发中防范XSS跨站脚本攻击策略
通过以上措施,Java开发者可以在很大程度上降低XSS攻击的风险。然而,安全是一个持续的过程,需要不断地学习和适应新的威胁。对于复杂的攻击场景,可能还需要结合其他防御手段,如使用WAF(Web应用防火墙)或运行时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值