过滤器防止XSS攻击

最新推荐文章于 2024-05-28 22:24:55 发布
最新推荐文章于 2024-05-28 22:24:55 发布
阅读量987 收藏 1
点赞数
文章标签: web安全

xss是钓鱼网站常用的方式,具体就是在提交的表单中加入脚本,数据在回显时浏览器执行了脚本,

具体的脚本可以是获取cookie,或者跳转至钓鱼网站;

解决方法,通过过滤器,将<>转义

新建filter实现类;

package com.group.local.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @author: zph
 * @data: 2018/10/22 21:00
 */
public class FilterXss implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        XssHttpServerRequest xssHttpServerRequest = new XssHttpServerRequest(req);
        filterChain.doFilter(xssHttpServerRequest,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

装饰器模式改变request值

package com.group.local.filter;

import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @author: zph
 * @data: 2018/10/22 21:03
 */
public class XssHttpServerRequest extends HttpServletRequestWrapper {

    private HttpServletRequest request;

    public XssHttpServerRequest(HttpServletRequest request) {
        super(request);
        this.request=request;
    }

    @Override
    public String getParameter(String name) {
        String value=request.getParameter(name);
        if(StringUtils.isNotEmpty(value)){
            //
            value=StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }
}

web.xml中增加过滤

<filter>
        <filter-name>FilterXss</filter-name>
        <filter-class>com.group.local.filter.FilterXss</filter-class>
</filter>
<filter-mapping>
        <filter-name>FilterXss</filter-name>
        <url-pattern>/*</url-pattern>
</filter-mapping>

 

张盼盼无敌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
使用过滤器防御XSS攻击
Leon_Jinhai_Sun的博客
10-23 490
import org.apache.commons.lang.StringEscapeUtils; public class Test001 { public static void main(String[] args) { String name = "<script>"; System.out.println(StringEscapeUtils.escapeHtm...
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 496
为什么80%的码农都做不了架构师?>>> ...
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
热门推荐
hithedy的专栏
02-03 2万+
1、首先配置web.xml,添加如下配置信息: xssAndSqlFilter com.cup.cms.web.framework.filter.XssAndSqlFilter xssAndSqlFilter * 2、编写过滤器   /** * */ package com.cup.cms.web.framework.filter; import java.io.I
Java Web使用过滤器防止Xss攻击,解决Xss漏洞
【大BUG】的博客
11-11 1万+
web.xml添加过滤器 &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.quickly.exception.common.filter.XssFilter&lt;/filter-class&gt; ...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1037
将参数中有关xss攻击的非法字符全部处理掉。
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
java过滤器防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
过滤xss攻击
沈明沅
06-22 178
/********** Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数 start *****************/ if (!function_exists('string_remove_xss')) { function string_remove_xss($html) { preg_match_all("/\<([^\<]+)\>/is", $html, $ms); $searchs[] = '<';.
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2272
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
配置过滤器filter对跨站脚本攻击XSS实现拦截
weixin_33878457的博客
10-12 181
1.web.xml中配置filter [html]view plaincopy <filter> <filter-name></filter-name> <filter-class></filter-class> </filter> <filter-mapping> &l...
XSS攻击解决方案之一(过滤器
willie_chen的专栏
08-23 4635
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
黑龙江等保测评:强化网络安全的北方防线
2301_79527080的博客
05-28 308
二、黑龙江等保测评的实践探索1. 法规政策引领:黑龙江省积极响应国家网络安全法律法规要求,出台了一系列地方性政策文件,明确了等保测评的实施标准和要求,为全省范围内的等保工作提供了法律依据和指导。2. 强化合规意识:等保测评的实施增强了组织和个人的网络安全合规意识,推动了网络安全法律法规的落实,形成了良好的网络安全文化氛围。3. 促进产业发展:等保测评需求带动了网络安全服务市场的繁荣,促进了本土网络安全企业的成长,同时也吸引了国内外先进技术和服务的引进,为黑龙江乃至东北地区的数字经济转型提供了安全保障。
网络安全行为可控定义以及表现内容简述
行云管家
05-28 246
在数字化快速发展的今天,网络安全已成为国家和企业不可或缺的防线。据统计,网络攻击事件频发,给全球经济带来了巨大损失。因此,确保网络安全行为可控显得尤为重要。今天我们来聊聊网络安全行为可控定义以及表现内容。
四、通信和网络安全—局域网|广域网|远程连接和攻击技术(CISSP)
最新发布
afei001
05-28 333
四、通信和网络安全—局域网|广域网|远程连接和攻击技术(CISSP)
<网络安全VIP>第一篇《工业互联网安全
Else 的博客
05-28 394
工业互联网的网络是基础,平台是核心,安全是保障。信息化会提高工业化的生产效率,但信息化本身具备两面性。一方面它可以让信息交互更加顺畅,共享更加快捷;但另一方面是带来相应的安全威胁。
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值