【xss】java 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击

已于 2024-07-11 17:45:31 修改
阅读量749 收藏 13
点赞数 13
文章标签: xss java spring
于 2024-07-11 17:44:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35320491/article/details/140358098
版权

 配置 web.xml

<filter>
    <filter-name>xssFilter</filter-name>
    <filter-class>com.wj.apps.base.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

XssFilter类创建

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {

    private static final Log log = LogFactory.getLog(XssFilter.class);

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化过滤器,如果有需要的话
        log.info("XssFilter Begin");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        log.info("XssFilter doFilter Start");
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        // 创建一个包装了原始请求的HttpServletRequestWrapper
        // 这里可以添加XSS过滤逻辑
        HttpServletRequest wrappedRequest = new XssHttpServletRequestWrapper(httpRequest);
        // 继续过滤链
        chain.doFilter(wrappedRequest, response);
        log.info("XssFilter doFilter End");
    }

    @Override
    public void destroy() {
        // 销毁过滤器,如果有需要的话
        log.info("XssFilter Destroyed");
    }
}

实现方法

XssHttpServletRequestWrapper类创建

import cn.hutool.http.HTMLFilter;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang.StringUtils;
import org.apache.http.HttpHeaders;
import org.springframework.http.MediaType;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest;

    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    //html过滤
    private final static HTMLFilter htmlFilter = new HTMLFilter();

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        //非json类型,直接返回
        if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))) {
            return super.getInputStream();
        }
        String json = IOUtils.toString(super.getInputStream(), "utf-8");
        //为空,直接返回
        if (StringUtils.isBlank(json)) {
            return super.getInputStream();
        }

        //xss过滤
        json = xssFilter(json);
        final ByteArrayInputStream bis = new ByteArrayInputStream(json.getBytes("utf-8"));
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return true;
            }
            @Override
            public boolean isReady() {
                return true;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return bis.read();
            }
        };
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssFilter(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssFilter(value);
        }
        return value;
    }

    /**
     * 对数组参数进行特殊字符过滤
     * @param name
     * @return
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] parameters = super.getParameterValues(name);
        if (parameters == null || parameters.length == 0) {
            return null;
        }
        for (int i = 0; i < parameters.length; i++) {
            parameters[i] = xssFilter(parameters[i]);
        }
        return parameters;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map = new LinkedHashMap<>();
        Map<String, String[]> parameters = super.getParameterMap();
        for (String key : parameters.keySet()) {
            String[] values = parameters.get(key);
            for (int i = 0; i < values.length; i++) {
                values[i] = xssFilter(values[i]);
            }
            map.put(key, values);
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssFilter(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssFilter(value);
        }
        return value;
    }

    private String xssFilter(String input) {
        return htmlFilter.filter(input);
    }

    /**
     * 获取原始request
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest request) {
        if (request instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) request).getOrgRequest();
        }
        return request;
    }
}

用到的包

javax.servlet-api-3.1.0.jar

hutool-http-4.6.17.jar

qq_35320491
关注
  • 13
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java xss漏洞修复_XSS漏洞修复方案 - zhang2xiang的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_33209661的博客
02-24 794
基本概念及解决办法比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义1、增加过滤器XssFilter.javapublic class XssFilter implements Filter {FilterConfig filterConfig = null;private List urlExclusion = nu...
XSS跨站脚本攻击漏洞修复方法
06-18
**XSS跨站脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看,来自数据库、网络服务器和其他来源的数据往往也是不可信的,也就是说,这些数据可能没有完全通过验证。应该始终对不可信数据保持警惕,将其视为包含攻击,这意味着在发送不可信数据之前,应该采取措
JAVA代码审计-XSS漏洞分析
shelter1234567的博客
10-23 1125
XSS漏洞,可不仅仅是弹窗这么简单,本篇先讲一讲触发该漏洞的形式,换一期讲一讲XSS的危害究竟有多大!
Java代码漏洞检测-常见漏洞修复建议
最新发布
dzqxwzoe的博客
05-29 1533
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1283
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 9855
本文将介绍几种在Java中处理XSS跨站脚本漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2534
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
跨站脚本漏洞 java_XSS跨站脚本漏洞讲解及防护
weixin_39622905的博客
02-25 445
何为“xss跨站脚本攻击”?百度百科是这么说的:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。百度百科同学解释的很好,不过小白表示还是...
Java解决XSS攻击方式
热门推荐
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5310
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS跨站脚本跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
XSS漏洞和sql注入解决方案
04-17
XSS漏洞和sql注入解决方案 傻瓜试文档,拷贝就可以了,通用版本
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
XSS跨站脚本攻击在Java开发中防范的方法
01-09
### XSS跨站脚本攻击在Java开发中的防范方法 #### XSS攻击原理与分类 XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
XSS跨站脚本攻击
01-27
跨站脚本攻击(XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值