XSS防脚本注入的过滤器

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量1k 收藏
点赞数
分类专栏: Web类 网络
网络 同时被 2 个专栏收录
103 篇文章 1 订阅
订阅专栏
Web类
90 篇文章 1 订阅
订阅专栏

http://www.it165.net/safe/html/201306/655.html

XSS又叫CSS (CrossSite Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.

我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,
1.web.xml配置过滤器


view source print ?
01. <!-- XSS过滤器  -->
02. <filter>
03. <filter-name>XSSFilter</filter-name>
04. <filter-class>
05. com.hanchao.filter.XssCheckFilter
06. </filter-class>
07. <init-param>
08. <param-name>errorPath</param-name>
09. <param-value>/views/error.<a href="http://www.it165.net/pro/webjsp/"target="_blank" class="keylink">jsp</a></param-value>
10. </init-param>
11. <init-param>
12. <param-name>excludePaths</param-name>
13. <param-value>/login</param-value>
14. </init-param
15. </filter>
16. <filter-mapping>
17. <filter-name>XSSFilter</filter-name>
18. <url-pattern>/*</url-pattern>
19. </filter-mapping>

2.过滤器代码:

 

view source print ?
001. package com.kongzhong.passport.filter;
002. import java.io.IOException;
003. import java.util.Enumeration;
004. import javax.servlet.Filter;
005. import javax.servlet.FilterChain;
006. import javax.servlet.FilterConfig;
007. import javax.servlet.ServletException;
008. import javax.servlet.ServletRequest;
009. import javax.servlet.ServletResponse;
010. import javax.servlet.http.HttpServletRequest;
011. import javax.servlet.http.HttpServletResponse;
012. import com.kongzhong.base.util.KzStringUtil;
013. public class XSSCheckFilter implements Filter {
014. private FilterConfig config;
015. private static String errorPath;//出错跳转的目的地
016. private static String[] excludePaths;//不进行拦截的url
017. private static String[] safeless = {"<script",   //需要拦截的JS字符关键字
018. "</script",
019. "<iframe",
020. "</iframe",
021. "<frame",
022. "</frame",
023. "set-cookie",
024. "%3cscript",
025. "%3c/script",
026. "%3ciframe",
027. "%3c/iframe",
028. "%3cframe",
029. "%3c/frame",
030. "src=\"javascript:",
031. "<body",
032. "</body",
033. "%3cbody",
034. "%3c/body",
035. //"<",
036. //">",
037. //"</",
038. //"/>",
039. //"%3c",
040. //"%3e",
041. //"%3c/",
042. //"/%3e"
043. };
044. public void doFilter(ServletRequest req, ServletResponse resp,
045. FilterChain filterChain) throws IOException, ServletException {   
046. Enumeration params = req.getParameterNames();
047. HttpServletRequest request = (HttpServletRequest) req;
048. HttpServletResponse response = (HttpServletResponse) resp;
049. //String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + "/";
050.  
051. boolean isSafe = true;
052. String requestUrl = request.getRequestURI();
053. //String queryUrl = request.getQueryString();
054. //System.out.println("params:" + params + " , requestUrl:" + requestUrl + " , queryUrl" + queryUrl);
055. if(isSafe(requestUrl)) {
056. requestUrl = requestUrl.substring(requestUrl.indexOf("/"));
057. if(!excludeUrl(requestUrl)) {
058. while (params.hasMoreElements()) {
059. String cache = req.getParameter((String) params.nextElement());
060. if(KzStringUtil.isNotBlank(cache)) {
061. if(!isSafe(cache)) {
062. isSafe = false;
063. break;
064. }
065. }
066. }
067. }
068. else {
069. isSafe = false;
070. }
071.  
072. if(!isSafe) {
073. request.setAttribute("err""您输入的参数有非法字符,请输入正确的参数!");
074. request.getRequestDispatcher(errorPath).forward(request, response);
075. return;
076. }
077. filterChain.doFilter(req, resp);
078. }
079. private static boolean isSafe(String str) {
080. if(KzStringUtil.isNotBlank(str)) {    
081. for (String s : safeless) {
082. if(str.toLowerCase().contains(s)) {
083. return false;
084. }
085. }
086. }
087. return true;
088. }
089.  
090. private boolean excludeUrl(String url) {      
091. if(excludePaths != null && excludePaths.length > 0) {                  
092. for (String path : excludePaths) {
093. if(url.toLowerCase().equals(path)) {
094. return true;
095. }
096. }
097. }
098. return false;
099. }
100.  
101. public void destroy() {
102. }
103. public void init(FilterConfig config) throws ServletException {
104. this.config = config;
105. errorPath = config.getInitParameter("errorPath");
106. String excludePath = config.getInitParameter("excludePaths");
107. if(KzStringUtil.isNotBlank(excludePath)) {
108. excludePaths = excludePath.split(",");
109. }
110. }
111. }
mydriverc2
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 过滤脚本_XSS脚本注入过滤器
weixin_29220405的博客
02-16 315
XSS又叫CSS(CrossSiteScript) ,跨站脚本***。它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。XSS属于被动式的***,因为其被动且不好利用,所以许多人常呼略其危害性.我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,1.web.xml配置过...
java过滤器过滤xss_Java使用过滤器止SQL注入XSS脚本注入的实现
weixin_34227128的博客
02-24 618
前几天有个客户在系统上写了一段html语句,打开页面就显示一张炒鸡大的图片,影响美观。后来仔细想想,幸亏注入的仅仅是html语句,知道严重性后,马上开始一番系统安全配置。一. 定义过滤器package com.cn.unit.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.Filt...
Java使用过滤器XSS脚本注入
踮脚敲代码
12-17 6554
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 1821
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
java过滤xss_Java使用过滤器止SQL注入XSS脚本注入的实现
weixin_34883242的博客
02-12 505
前几天有个客户在系统上写了一段html语句,打开页面就显示一张炒鸡大的图片,影响美观。后来仔细想想,幸亏注入的仅仅是html语句,知道严重性后,马上开始一番系统安全配置。一. 定义过滤器package com.cn.unit.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.Filt...
网络安全之基于过滤器xss脚本攻击
zyxpython的博客
05-07 713
过滤器和拦截器
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1000
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
SpringBoot实战:轻松实现XSS攻击御(注解和过滤器
weixin_73588491的博客
07-05 5546
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
XSS跨站脚本攻击:Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1683
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
JSP使用过滤器Xss漏洞
10-17
这样,即使用户输入了恶意脚本过滤器也能在数据到达业务逻辑层之前进行清洗,从而避免XSS攻击。 以下是对`XssFilter`和`XssHttpServletRequestWrapper`的简要分析: 1. `XssFilter`初始化和销毁方法(`init()` 和...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java 过滤器filtersql注入的实现代码
09-01
为了止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现止SQL注入的功能。 首先,我们需要创建一个实现了`javax...
java过滤器XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
图像识别roid-maste笔记
08-03
图像识别roid-maste笔记
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
08-03
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
C++实战篇:STL-容器
最新发布
08-03
C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器
XSS御利器:filter函数详解与自定义过滤
在第十节的XSS过滤器教程中,我们将深入探讨如何利用PHP内置的函数来止跨站脚本攻击(XSS)。XSS是一种常见的网络安全威胁,黑客通过恶意注入脚本到用户的浏览器中,从而窃取敏感信息或操纵页面行为。本节重点讲解了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值