手写一个xss防御系统,超简单~

最新推荐文章于 2024-04-15 22:13:21 发布
最新推荐文章于 2024-04-15 22:13:21 发布
阅读量510 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/myth_g/article/details/94014469
版权

原理其实就是加一层过滤请求的过滤器,然后将非法参数根据你的业务去进行屏蔽;

注意事项:如果有接收xml格式的数据,则不要屏蔽<>符号,可以在过滤时判断接收数据类型~

1)首先创建一个继承HttpServletRequestWrapper的包装类,然后重写以下方法,并且加入到过滤器中(我写到一个类里了):

public class DefaultFilter implements Filter {

    private final static Logger LOGGER = LoggerFactory.getLogger(DefaultFilter.class);

    //这里在是注册filter时传入参数
    private String xss;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        xss = filterConfig.getInitParameter("xss");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        long start = System.currentTimeMillis();
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        WebHttpUtils.logHttpRequest(request);
        //判断是否使用xss过滤,或者你可以传入其他有用信息
        if (xss != null) {
            filterChain.doFilter(new CheckXssRequestWrapper(request), servletResponse);
        } else {
            filterChain.doFilter(request, servletResponse);
        }
        LOGGER.info("请求地址:{}的请求时间为:{}秒", ((HttpServletRequest) servletRequest).getRequestURI(),
                new BigDecimal(System.currentTimeMillis() - start).divide(new BigDecimal(1000)).setScale(2, RoundingMode.HALF_UP));
    }

    @Override
    public void destroy() {

    }

private static class CheckXssRequestWrapper extends HttpServletRequestWrapper {
        //拿到所有表单请求的参数及对应值数组
        Map<String, String[]> parameterMap;
        //拿到存在body体中的输入流,比如接收json
        ServletInputStream inputStream;
    
        //构造方法
        public CheckXssRequestWrapper(HttpServletRequest request) throws IOException {
            super(request);
            this.parameterMap = request.getParameterMap();
            this.inputStream = request.getInputStream();
            this.handlerForm();
            this.handlerBody();
        }
        
        //获取流
        @Override
        public ServletInputStream getInputStream() throws IOException {
            return this.inputStream;
        }
        
        @Override
        public String getParameter(String name) {
            return this.parameterMap.get(name) == null ? null : this.parameterMap.get(name)[0];
        }

        //在项目中,比如springboot的控制层接收对象表单会走这个方法
        @Override
        public String[] getParameterValues(String name) {
            return this.parameterMap.get(name);
        }
    
        //处理表单数据
        private void handlerForm() {
            if (parameterMap != null && parameterMap.size() > 0) {
                parameterMap.forEach((k, v) -> {
                    if (v.length > 0) {
                        for (int i = 0, length = v.length; i < length; i++) {
                            v[i] = filterParameter(v[i]);
                        }
                    }
                });
            }
        }
        
        //处理请求体中的数据
        private void handlerBody() throws IOException {
            if (inputStream != null) {
                StringBuffer str = new StringBuffer();
                byte[] b = new byte[1024];
                int i = 0;
                while ((i = inputStream.read(b)) != -1) {
                    str.append(new String(b, 0, i));
                }
                ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(filterParameter(str.toString()).getBytes());
                inputStream = new ServletInputStream() {
                    @Override
                    public boolean isFinished() {
                        return false;
                    }

                    @Override
                    public boolean isReady() {
                        return false;
                    }

                    @Override
                    public void setReadListener(ReadListener readListener) {

                    }

                    @Override
                    public int read() throws IOException {
                        return byteArrayInputStream.read();
                    }
                };
            }
        }
        
        //通用方法,加入你想过滤的字符串
        private static final String[] dangerCharacters = {"<", ">"};

        private String filterParameter(String parameter) {
            if (StringUtils.isEmpty(parameter)) return parameter;
            StringBuffer sb = new StringBuffer(parameter);
            for (String s : dangerCharacters) {
                while (sb.indexOf(s) > -1) {
                    sb.deleteCharAt(sb.indexOf(s));
                }
            }
            return sb.toString();
        }
    }
}

 

2)注册filter

 @Bean
    public FilterRegistrationBean filterRegistrationBean() {
        FilterRegistrationBean bean = new FilterRegistrationBean();
        bean.setFilter(new DefaultFilter());
        bean.setUrlPatterns(Arrays.asList("/*"));
        bean.setName("defaultFilter");
        bean.setInitParameters(new HashMap() {{
        put("xss", "yes");
        }});
        return bean;
    }

 

myth_gy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java接口xss,Java审计之XSS
weixin_42510567的博客
03-22 1582
Java审计之XSS篇0x00 前言继续 学习一波Java审计的XSS漏洞的产生过程和代码。0x01 Java 中XSS漏洞代码分析xss原理xss产生过程:后台未对用户输入进行检查或过滤,直接把用户输入返回至前端。导致javascript代码在客户端任意执行。XSS代码分析在php里面会使用echo对用户输入的参数进行直接输出,导致了xss漏洞的产生。而在Java里面会将接收到的未经过滤的参数共...
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS漏洞类型原理及防御方式_三种xss漏洞防御,2024年最新带你全面掌握高级知识点
最新发布
uiuuyy67的博客
04-15 2800
XSS全称是Cross Site Scripting即跨站脚本,为了与层叠样式表Cascading Style Sheets,CSS)的缩写进行区分,将跨站脚本攻击缩写为XSS,其本质是攻击者在web页面插入恶意的script代码(这个代码可以是JS脚本、CSS样式或者其他意料之外的代码),当用户浏览该页面之时,嵌入其中的script代码会被执行,从而达到恶意攻击用户的目的。
XSS防御
weixin_40270125的博客
04-27 1万+
XSS防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Coo...
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 3899
XSS攻击介绍及防御方法
XSS漏洞注入,分类,防御方法
Y22Lee的博客
04-06 2824
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入。XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
积分管理系统java源码-xss-defense:xss防御
06-06
本文提供了一个简单的正向机制来防御:恰当地输出转义/编码后的数据。虽然有大量的XSS攻击方式,但是遵循一些简单的规则可以完全抵御这些严重攻击。本文不探讨XSS对技术、业务的影响,只说XSS可以导致攻击者能够获取...
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
使用Django简单编写一个XSS平台的方法步骤
01-20
原理十分简单2333,代码呆萌,大牛勿喷 >_< 2) 基础知识 XSS攻击基本原理和利用方法 Django框架的使用 3) Let’s start 0x01 工欲善其事必先利其器,首先我们需要准备编写代码的各种工具和环境,这里不细说。...
Web安全之XSS攻击与防御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
XSS攻击及防御简单易懂)
liu_chenglong的博客
11-10 6961
翻译过来就是跨站脚本。指的是在用户浏览器上,在渲染DOM树的时候,执行了不可预期的JS脚本,从而发生了安全问题。XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。
前端安全系列(一):如何防止XSS攻击?
thlzjfefe的博客
10-13 415
前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需...
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9187
跨站脚本攻击漏洞-基础篇
Spring Boot XSS 攻击过滤插件使用
冷冷的博客
12-03 1246
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。 xss 攻击流程 简单 xss 攻击示例 若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。 解决方案 XSS 过滤说明 对表单绑定的字符串类型进行 xss 处理。 对 json 字符串数据进行
浅谈XSS漏洞原理及防御措施
m0_74131821的博客
04-04 1166
形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执行从而产生危害
反射型XSS跨站脚本攻击和防御
认知 行动 坚持
07-05 6057
在前面的文章中,讲述了最好懂的存储型XSS攻击和防御,本文来聊聊反射型XSS,所谓反射,就像镜子一样,一束光发过去,立即弹回来。这里依赖于微博服务器存在反射XSS漏洞。那么,坏人C为什么不自己搭建一个反射服务器进行反射呢? 这是个好问题。以js获取cookie为例,如果坏人C自己搭建反射服务器,那么很显然document.cookie就无法获取好人A的微博cookie,所以,还是要用微博服务器做反射,这样才能获取好人A的微博cookie,从而进行攻击。
XSS攻击的原理、分类和防御方法
Andrew的博客
02-27 1万+
一.XSS攻击的原理 XSS的原理是WEB应用程序混淆了用户提交的数据和JS脚本的代码边界,导致浏览器把用户的输入当成了JS代码来执行。XSS的攻击对象是浏览器一端的普通用户。   二.XSS攻击的分类 1.反射型XSS 反射型XSS,又称非持久型XSS。也就是攻击相当于受害者而言是一次性的,具体表现在受害者点击了含有的恶意JavaScript脚本的url,而Web应用程序只是不加处理的...
如何搭建一个手写签名系统
05-20
下面是一个简单的步骤指南,帮助你搭建一个手写签名系统: 1.创建一个 HTML 页面,其中包含一个画布元素和一个提交按钮。 2.使用 JavaScript 编写代码,使用户能够在画布上手写签名。 3.当用户单击提交按钮时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值