Java_防止XSS攻击_SQL注入

最新推荐文章于 2024-07-31 20:44:37 发布
最新推荐文章于 2024-07-31 20:44:37 发布
阅读量3.3k 收藏
点赞数
分类专栏: Java 文章标签: xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15764943/article/details/121532120
版权

Java_防止XSS攻击

XSS攻击简介

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。

导入依赖

借助第三方工具类hutool-all,HtmlUtil对请求对值进行过滤

自定义XssHttpServletRequestWrapper

/**
 * 对request请求的数据进行转义,防止xss攻击
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写getParameter
     */
    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.filter(value);
        }
        return value;
    }

    /**
     * 重写getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    /**
     * 重写getParameterMap
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    /**
     * 重写getHeader方法,用HtmlUtil转义后再返回
     */
    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 拿到数据流,通过StringBuffer拼接,
         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全
         */
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        /**
         * 将拿到的map,转移后存到另一个map中
         */
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        //重写read方法
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

自定义XssFilter过滤器

基于注解

/**
 * 拦截所有的请求,对所有请求转义
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    /**
     * 对拦截对请求进行过滤
     * @param servletRequest 
     * @param servletResponse 
     * @param filterChain 
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {
    }
}

基于配置web.xml

<filter>  
    <filter-name>XssFilter</filter-name>  
    <filter-class>com.plxc.pr.filter.XssFilter</filter-class>  
</filter>  
<filter-mapping>  
    <filter-name>XssFilter</filter-name>  
    <url-pattern>/*</url-pattern>  
    <dispatcher>REQUEST</dispatcher>  
</filter-mapping>

StringEscapeUtils工具类

Apache的StringEscapeUtils类,可以转义html,javascrip,SQL,xml,java中特殊字符。
实现防SQL注入

StringEscapeUtils.escapeSql(sql);
平揽星尘
关注
专栏目录
javaSQL注入XSS攻击
weixin_44976692的博客
01-15 2万+
通过了解和SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
Hutool,一个贼好用的 Java 工具类库,用过都说好~
好好学java
07-19 202
点击上方好好学java,选择星标公众号重磅资讯、干货,第一时间送达 今日推荐:SQL 语法速成手册个人原创100W+访问量博客:点击前往,查看更多 转自:Ryan Wang链接:...
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Java中的Web应用安全:CSRF、XSSSQL注入
最新发布
微赚淘客系统开发者博客
07-31 462
通过启用Spring Security的CSRF保护机制、使用HTML转义XSS攻击、以及使用参数化查询SQL注入,可以有效提高Java Web应用的安全性。XSS(Cross-Site Scripting)是一种代码注入攻击,攻击者通过在网页中注入恶意脚本,窃取用户信息或执行恶意操作。Spring Data JPA内置了防止SQL注入的机制,使用参数化查询可以有效SQL注入。默认情况下,CSRF保护是启用的。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
java 防止xsssql注入
gentle!!
02-07 1063
Java后端XSS攻击护和防止SQL注入
Logger
01-07 2846
最近在重构老项目的部分功能,发现项目中没有对XSS攻击护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
Java webxss/sql注入的正确姿势
Javee的博客
08-15 1307
Java webxss/sql注入的正确姿势 这里以springboot搭建的微服务为例,可以在网关中自定义全局拦截器,对入参进行过滤。护的方法有很多,这里以黑名单为例,暂定项目中只存在POST和GET两种传参: 自定义XSS/SQL注入攻击网关全局过滤器 package com.javee.getway.filter; import com.javee.getway.common.constant.WebBaseConstant; import com.javee.getway.common.m
防止sql注入工具类l
03-22
NULL 博文链接:https://kaka100.iteye.com/blog/1004594
XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来范这两种攻击。 首先,理解XSS攻击XSS...
超级sql注入工具
11-02
超级SQL注入工具(SSQLInjection)是一款基于HTTP协议自组包的SQL注入工具,支持出现在HTTP协议任意位置的SQL注入,支持各种类型的SQL注入,支持HTTPS模式注入。 超级SQL注入工具目前支持Bool型盲注、错误显示注入、Union注入,支持Access、MySQL5以上版本、SQLServer、Oracle等数据库
.net SQL注入实用代码案例
09-26
防止SQL注入主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些特殊字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用16进制编码。
解决sql注入xss漏洞
05-17 600
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
SQL注入工具类
点点的博客
06-26 6326
import cn.hutool.crypto.SecureUtil; import lombok.extern.slf4j.Slf4j; import javax.servlet.http.HttpServletRequest; import java.util.regex.Matcher; import java.util.regex.Pattern; /** * sql注入处理工具类 */ @Slf4j public class SqlInjectionUtil { /** *
sql注入检测工具类
性感的杏鲍菇的专栏
09-20 1286
【代码】sql注入检测工具类。
sql注入解决方法
每天进步一点
10-29 627
SQL查询中的特殊字符处理 我们都知道SQL查询过程中,单引号“'”是特殊字符,所以在查询的时候要转换成双单引号“''”。 但这只是特殊字符的一个,在实际项目中,发现对于like操作还有以下特殊字符:下划线“_”,百分号“%”,方括号“[]”以及尖号“^”。 其用途如下: 下划线:用于代替一个任意字符(相当于正则表达式中的 ? ) 百分号:用于代替任意数目的任意字符(相当于正则表达式中的 *
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6606
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Spring Boot 如果XSS + SQL 注入攻击 ?一文带你搞定!
Java技术栈,分享最主流的Java技术
03-20 477
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
Java XssFilter: 防止SQL注入XSS攻击的实现与应用
在IT安全领域,防止SQL注入和跨站脚本(XSS)攻击是至关重要的任务,尤其是在web应用程序中。本文档介绍了一个Java实现的名为`XssFilter`的Filter,用于过滤并保护应用免受这两种常见攻击。 首先,我们来了解一下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值