XSS 存储漏洞解决

最新推荐文章于 2024-02-16 10:30:00 发布
VIP文章 最新推荐文章于 2024-02-16 10:30:00 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: java 文章标签: xss servlet java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33391644/article/details/125913175
版权

一、新建一个过滤器

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        MyXssHttpServletRequestWrapper req=new MyXssHttpServletRequestWrapper((HttpServletRequest)servletRequest);

        filterChain.doFilter(req,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

 二、继承HttpServletRequestWrapper,重写方法getParameterMap,替换非法字符

package com.dawnpro.module.system.security.authentication.access;

import com.alibaba.fastjson.JSONObject;
import org.apache.commons.lang.StringUtils;
import org.springframework.util.CollectionUtils;
import org.springframework.web.servlet.HandlerMapping;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.*;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class MyXssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest= null;
    //不期待被过滤的的链接和字段(管理后台使用了富文本,希望有可编辑的内容)
    HashMap<String, String> doNotFilterURLAndParamMap = new HashMap<String, String>() {
        {
            put("/api/v2/group/manage", "description");
            put("/api/v1/sendNews", "content");
        }
    };
    boolean isUpData = false;//判断是否是上传 上传忽略
    public MyXssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        String contentType = servletRequest.getContentType ();
        orgRequest=servletRequest;
最低0.47元/天 解锁文章
qq_33391644
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞原理XSS存贮漏洞
qq_56248592的博客
01-29 1234
漏洞原理XSS存贮漏洞漏洞原理XSS存贮漏洞XSS(跨站脚本攻击)是一种常见的Web安全漏洞,它允许攻击者将恶意代码注入到网页中,进而攻击用户的浏览器。存储XSS漏洞是一种特定类XSS漏洞,它发生在Web应用程序中,其中用户输入的数据被存储在数据库或其他持久性存储中,并在页面重新加载时被动态地渲染到页面上。存储XSS漏洞的原理是,当用户输入恶意脚本或代码时,它被存储在应用程序的数据库或其他存储中。
奇安信安全扫描漏洞解决路径遍历和存储xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS 存储漏洞修复
qq_26244285的博客
01-20 9908
收到检查报告,说是有xss 存储漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
java实战:Java处理XSS漏洞的四种方法及代码示例
最新发布
oandy0的博客
02-16 2820
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
xss安全漏洞分析以及项目实施解决方案
yoqu的专栏
02-08 3344
近期公司项目正好被检查出xss漏洞,一直以来其实都知道xss漏洞,不过并没有实际去写过,正好这两天处理了xss漏洞,下面来说一说xss漏洞相关的知识,以及我在项目中如何去解决xss漏洞。 引言: 由于web前端的高速发展,现在的web应用都会使用大量的动态内容和动态交互来提高用户的使用体验,那么,动态内容会根据用户的环境来输出相应的内容。在这个内容上,就会受到“跨站脚本攻击”(Cros...
xss漏洞存储XSS漏洞修复
weixin_43526443的博客
05-03 5369
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
利用xss漏洞获取受害者主机权限/xss不仅可以弹框
08-20
1、本课程从原理讲起,深入剖析xss漏洞原理,让大家更加理解这个漏洞。2、在原理的基础上深入实战,每一次利用都是结合真实网站的实验。3、课程中涉及的实验靶场随课程一并赠送,使用到的工具、源码同样可以下载使用。
存储XSS攻击的解决方法
weixin_43901818的博客
08-21 1万+
为了避免存储XSS攻击,建议采用以下方式进行防御 1.对从数据库或其它后端数据存储获取不可信赖的数据进行合理验证(如年龄只能是数字),对特殊字符(如`<、>、以及<script>、javascript等进行过滤)。 2.设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。在java EE中,给Cookie添加HttpOnly代码: response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domai
解决存储Xss漏洞
热门推荐
abcjwg的专栏
04-15 2万+
近期做的一个项目进行渗透测试,检测代码存在存储Xss漏洞。例如在界面文本域输入<h2>12345</h2>、<script>alter(12345)</script>这样的值,如果程序未进行处理,会存储至数据库。下次回显会出现异常界面或弹出异常框,如果进行恶意攻击,可能后果不堪设想。 网上搜集的大部分代码都是使用过滤器,并对请求数据进行过滤,重写...
XSS攻击原理和解决方法
yy1715713348的博客
06-29 2285
XSS攻击原理和解决方法
存储Xss跨站式脚本攻击解决方案
weixin_44442403的博客
10-15 1546
一 新建一个XssFilter类 package com.walk.common.xssnew; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
DedeCMS 存储xss漏洞1
08-03
Dedecms会员功能shops_delivery.php中的 des 参数存在存储XSS漏洞,攻击者可利用漏洞获得用户测试环境:DedeCMS-V5.7-U
YXcms-含有存储XSS漏洞的源码包
03-17
YXcms-含有存储XSS漏洞的源码包,亲测真实有效可用,如有侵权,请联系CSDN管理员删除即可
Cas SSO 错误“未认证授权的服务,不允许...”或ServiceManagement: Unauthorized Service Access. Service [XXX] is not ...
qq_33391644的博客
06-10 9622
解决方法:打开cas-server-webapp下的resources/services下的HTTPSandIMAPS-10000001.json文件{    "@class" : "org.jasig.cas.services.RegexRegisteredService",   &lt;span style="color:#cc0000;"&gt; "serviceId" : "^(https...
Http升级到Https (本地测试,无须域名和认证)
qq_33391644的博客
10-19 9436
一、生成证书文件 步骤: Windows环境 注意:配置完后只能直接启动tomcat来调试,不能用开发工具启动tomcat调试 条件:已经安装JDK 步骤: l  打开cmd进入jdk的bin目录 l  执行命令 keytool -genkey -alias tomcat -keyalg RSA -keystore F:\tomcat.keystore -validity 3650...
下载文件(支持移动端)
qq_33391644的博客
08-07 8954
@RequestMapping(value = "download",method = RequestMethod.GET) public ResponseEntity&lt;byte[]&gt; download(HttpServletResponse response, HttpServletRequest request) throws Exception{ ...
如何在java中发起http请求
qq_33391644的博客
06-06 6256
注意:get请求中参数值为中文的必须通过URLEncoder.encode("参数","utf-8");进行转义 http请求类 public class SendHttpRequest { /** * post请求方法 * @param url 请求地址 * @param params 参数 * @return */ pu...
修复存储XSS 漏洞的方式
03-22
修复存储XSS 漏洞的方式包括以下几种: 1. 对用户输入进行过滤和验证,确保输入的数据符合预期的格式和内容,避免恶意脚本的注入。 2. 对用户输入进行转义,将特殊字符转换为 HTML 实体,避免恶意脚本的执行。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值