定义一个java全局过滤器,处理xss攻击

于 2024-06-14 14:10:31 发布
阅读量294 收藏 5
点赞数 5
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36083245/article/details/139680282
版权

在Java中编写一个XSS(跨站脚本攻击)过滤器通常涉及创建一个过滤器类,该类会拦截传入的请求和响应,并清理可能包含恶意脚本的内容。以下是一个简单的XSS过滤器类的示例,它使用了HttpServletRequestWrapper来覆盖getParameter方法,以便在获取请求参数时进行清理。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
public class XssFilter implements Filter {
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化代码(如果有)
    }
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }
    public void destroy() {
        // 销毁代码(如果有)
    }
    private static class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
        private Map<String, String[]> sanitizedParams = new HashMap<>();
        public XssHttpServletRequestWrapper(HttpServletRequest request) {
            super(request);
            // 复制参数映射,以便我们可以修改它们而不影响原始请求
            Map<String, String[]> parameterMap = request.getParameterMap();
            for (String key : parameterMap.keySet()) {
                String[] values = parameterMap.get(key);
                String[] sanitizedValues = new String[values.length];
                for (int i = 0; i < values.length; i++) {
                    sanitizedValues[i] = stripXss(values[i]);
                }
                sanitizedParams.put(key, sanitizedValues);
            }
        }
        @Override
        public String getParameter(String name) {
            String[] values = getParameterMap().get(name);
            if (values != null && values.length > 0) {
                return values[0];
            }
            return null;
        }
        @Override
        public String[] getParameterValues(String name) {
            return getParameterMap().get(name);
        }
        @Override
        public Map<String, String[]> getParameterMap() {
            return sanitizedParams;
        }
        private String stripXss(String value) {
            // 这里可以添加更多的XSS清理逻辑
            if (value != null) {
                // 清理掉潜在的恶意脚本
                value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
                value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
                value = value.replaceAll("'", "&#39;").replaceAll("eval\\((.*)\\)", "");
                value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
            }
            return value;
        }
    }
}

在上面的代码中,XssHttpServletRequestWrapper类覆盖了getParametergetParameterValuesgetParameterMap方法,以确保所有的输入参数都被清理掉潜在的XSS攻击代码。stripXss方法中,我们通过替换一些关键字符(如<>()')来清理字符串,以防止脚本注入。

请注意,这个过滤器只是一个基本的示例,实际的XSS防护可能需要更复杂的策略,包括但不限于使用更全面的清理库、配置HTTP头部以防止某些类型的XSS攻击(如Content Security Policy)等。此外,XSS防护应该是一个多层次的方法,包括客户端和服务器端的验证和清理。

猿脑2.0
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
java xss过滤器_JavaWeb实现XSS过滤器
weixin_34245171的博客
02-13 872
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentE...
JAVA--Xss过滤器(实体或List)
AndyJuseKing的博客
08-18 439
JAVAXss过滤器(实体或List) import org.apache.commons.lang.StringEscapeUtils; import java.lang.reflect.Field; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import java.util.ArrayList; import java.util.Arrays; import java.ut
java xss过滤器_防止常见XSS 过滤 SQL注入 JAVA过滤器filter
weixin_42520132的博客
02-16 164
value = scriptPattern.matcher(value).replaceAll("");// Remove any lonesometagscriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.ma...
防止XSS跨站脚本攻击Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6542
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
java防止xss攻击过滤器
meat_eating的博客
11-08 2993
java防止xss攻击
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2516
java防止XSS攻击
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4053
Springboot配置XSS过滤器XssFilter
代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全
今天是几号的博客
06-22 1797
如果服务器是正常关闭,则会执行destroy方法。概念:Web中的过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤……1. init:在服务器启动后,会创建Filter对象,然后调用init方法。查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本。2. doFilter:每一次请求被拦截资源时,会执行。Hibernate 配置文件:Hibernate.cfg.xml。配置文件获取框架名称及版本,利用漏洞库验证是否存在漏洞。
java 请求参数过滤拦截
03-10
在实际开发中,我们通常会创建一个全局过滤器类,配置在web.xml文件中,让其对所有请求生效。过滤器的执行顺序可以通过`<filter-mapping>`的`filter-name`和`url-pattern`来控制,也可以使用注解式配置(如Spring的`...
jsp用过滤器解决中文乱码问题的方法
01-20
总之,使用过滤器是解决Java Web应用中中文乱码问题的有效手段,尤其是当需要全局处理编码时。通过合理的配置和实现,过滤器可以确保数据在整个请求和响应流程中保持正确的编码,避免出现乱码问题。同时,过滤器机制...
App登陆java后台处理和用户权限验证
09-02
2. **创建自定义注解**:由于现有的URL没有特定的规律,我们无法直接使用过滤器或拦截器,因此可以定义一个名为`@UserAccess`的自定义注解。这个注解将用于标记那些需要进行权限验证的方法,使AOP能够识别并执行相应...
servlet高级应用过滤器、防盗链等一系列技术工具打包
08-25
可以创建一个全局的异常处理器,捕获未被捕获的异常,将其转化为友好的错误信息,并记录到日志文件中。 “权限管理”是任何企业级应用必不可少的部分,它涉及到用户角色、权限分配以及访问控制。通过Servlet过滤器...
过滤器与监听器
05-28
- 安全过滤器:阻止恶意请求,如XSS攻击。 **监听器(Listener)** 监听器是Java Servlet API的一部分,它监听特定事件的发生,如ServletContext、ServletRequest、HttpSession等对象的创建、销毁或属性更改事件...
56 代码审计-JAVA项目Filter过滤器XSS挖掘
最新发布
山兔的博客
12-19 1347
javaweb项目中,一般在运行的过程中会经过过滤器,才会到下面去,过滤器在你还没有信息返回的时候,就已经到了过滤器,就相当于前期已经将你相关请求的东西开始进行过滤了,过滤完之后,才会带到后面的数据处理中,所以过滤器是在漏洞或者攻击的过程中,会进行拦截的一个地方,这个地方过滤器写的比较严谨的话,会阻止大部分的攻击,也是我们后期判断漏洞是否真实存在,验证这个漏洞有效性的时候,就是要根据过滤器的规则进行分析,所以过滤器是非常重要的。Filter是JavaWeb中的过滤器,用于过滤URL请求。
java过滤器过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 572
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章中,其实已经讲到了。...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7708
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
java过滤器处理xss
11-21
以下是Java过滤器处理XSS攻击的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.*; public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWrapper requestWrapper = new MyHttpServletRequestWrapper((HttpServletRequest) servletRequest); HttpServletResponse response = (HttpServletResponse) servletResponse; filterChain.doFilter(requestWrapper, response); } @Override public void destroy() { } private class MyHttpServletRequestWrapper extends HttpServletRequestWrapper { public MyHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); if (value != null) { value = cleanXSS(value); } return value; } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values != null) { for (int i = 0; i < values.length; i++) { values[i] = cleanXSS(values[i]); } } return values; } @Override public Enumeration<String> getParameterNames() { List<String> names = Collections.list(super.getParameterNames()); return Collections.enumeration(names); } @Override public Map<String, String[]> getParameterMap() { Map<String, String[]> paramMap = super.getParameterMap(); Map<String, String[]> newParamMap = new HashMap<>(); for (String key : paramMap.keySet()) { String[] values = paramMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = cleanXSS(values[i]); } newParamMap.put(key, values); } return newParamMap; } private String cleanXSS(String value) { value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replaceAll("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("script", ""); return value; } } } ``` 该过滤器通过继承HttpServletRequestWrapper类,重写其中的getParameter()、getParameterValues()、getParameterNames()和getParameterMap()方法,对请求参数进行过滤,防止XSS攻击。其中,cleanXSS()方法用于过滤请求参数中的特殊字符和脚本代码。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值