Java Web使用过滤器防止Xss攻击,解决Xss漏洞

最新推荐文章于 2024-03-06 17:36:04 发布
最新推荐文章于 2024-03-06 17:36:04 发布
阅读量1.6w 收藏 39
点赞数 4
分类专栏: Java 文章标签: Xss防御 Java过滤器防御Xss Xss攻击防御 网站安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31384551/article/details/83956681
版权

web.xml添加过滤器

<!-- 解决xss漏洞 -->
  <filter>
    <filter-name>xssFilter</filter-name>
    <filter-class>com.quickly.exception.common.filter.XssFilter</filter-class>
  </filter>
  <!-- 解决xss漏洞 -->
  <filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>*</url-pattern>
  </filter-mapping>

过滤器代码

package com.quickly.exception.common.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 作用:Xss过滤器
 * 作者:Tiddler
 * 时间:2018/11/11 10:21
 * 类名: XssFilter
 **/
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //使用包装器
        XssFilterWrapper xssFilterWrapper=new XssFilterWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssFilterWrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

过滤器包装器代码

package com.quickly.exception.common.filter;

import org.springframework.web.util.HtmlUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 作用:防Xss过滤器[包装器]
 * 作者:Tiddler
 * 时间:2018/11/11 10:20
 * 类名: XssFilterWrapper
 **/
public class XssFilterWrapper extends HttpServletRequestWrapper {
    public XssFilterWrapper(HttpServletRequest request) {
        super(request);
    }
    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        if("content".equals(name)){//不想过滤的参数,此处content参数是 富文本内容
            return super.getParameterValues(name);
        }
        String[] values = super.getParameterValues(name);
        String[] newValues = new String[values.length];
        for (int i = 0; i < values.length; i++) {
            newValues[i] = HtmlUtils.htmlEscape(values[i]);//spring的HtmlUtils进行转义
        }
        return newValues;
    }
}

总结:

主要是使用Java Web的过滤器,将所有的request请求参数修改(主要是把存在xss风险的标签转义,如:<script></script>),在转义时我没有自己实现替换与转义,是直接使用的spring自带的HtmlUtils类的htmlEscape方法转义的,方便很多

BigBug博客
关注
  • 4
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 10
    评论
专栏目录
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
springMVC利用过滤器防止xss攻击
zxq520131422222的博客
01-22 4123
转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 2073
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
xss漏洞常见攻击方式
qq_64020439的博客
03-06 911
xss属于被动式的攻击,攻击者先构造一个钓鱼网站或者是跨站网站,一般是利用Javascript方式来进行的。当用户访问该网站时,如果用户已经在该网站登录后,那么攻击者就会获取到用户的cookie,从而使得攻击者可以伪造成该用户来访问网站
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3282
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
java XSS漏洞过滤
xieedeni的博客
01-30 6158
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
配置过滤器filter对跨站脚本攻击XSS实现拦截
Welcom to zougangx's blog
11-21 7600
1.web.xml中配置filter [html] view plain copy filter>       filter-name>XssFilterfilter-name>       filter-class>com.wk.util.XssFilterfilter-class>   filter>   filter-mapping
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1500
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
Java Web使用过滤器防止Xss攻击解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2523
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2167
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击指攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据中发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 489
为什么80%的码农都做不了架构师?>>> ...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全XSS...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决防止Xss攻击 web.xml,需要的...
Java桌面程序开发——如何开发美观漂亮好看的桌面程序
热门推荐
【大BUG】的博客
01-01 9万+
大家想到使用Java这门编程语言大多是脑海中是浮现的B/S开发,高并发、云计算、大数据等等,今天给大家带来的是Java不一样的使用方式——使用Java做PC桌面程序开发。 不同的是,之前Java使用swing或者awt开发,但是这次介绍给大家的是使用JavaFx做桌面程序开发。 应该没有人使用过电脑版的QQ、酷狗、视频播放器等等软件,它们都有非常漂亮的UI,也就是界面。 可是我们使用swi......
造成javax.servlet.ServletException: Could not resolve view with name的各种原因及解决方法
【大BUG】的博客
08-10 9万+
报错完成信息: javax.servlet.ServletException: Could not resolve view with name '/lose/index' in servlet with name 'SpringMVC' 注:蓝色部分根据你的实际情况而定 不管什么原因:都是因为spring找不到解析的视图文件了 造成原因如下: IDEA默认设置WebRoot目录...
HikariPool-1 - Connection is not available, request timed out after
【大BUG】的博客
07-12 3万+
完整错误:HikariPool-1 - Connection is not available, request timed out after xxxxms.造成原因:在数据源配置时缺少配置validationTimeout属性,或者validationTimeout属性值配置过大&lt;property name="validationTimeout" value="${hikari.vali...
Java识别二维码【工具类】
【大BUG】的博客
10-08 1万+
工具类已经实现Base64二维码图片识别和路径图片识别 所需maven依赖 &lt;!--二维码生成和解析相关的jar包【生成】【解析】--&gt; &lt;dependency&gt; &lt;groupId&gt;com.google.zxing&lt;/groupId&gt; &lt;artifactId&gt;javase&lt;/artifactId...
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 10
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值