xss、sql注入及csrf防御

最新推荐文章于 2024-07-13 11:08:13 发布
最新推荐文章于 2024-07-13 11:08:13 发布
阅读量388 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36173194/article/details/89244971
版权
本文简要介绍了xss、sql注入和csrf三种常见的前端安全问题及其防御措施。xss攻击可通过输入过滤防御,sql注入需对恶意SQL命令进行特殊字符过滤。对于csrf,仅做referer检测不足以防止漏洞,应结合token校验。文中提到了创建过滤器进行请求白名单管理、特殊字符转义,以及如何在web.xml中配置拦截器,以实现请求检测和安全防护。
摘要由CSDN通过智能技术生成

简单总结一下:

xss:跨站脚本攻击,通过前端input将js脚本注入到后台

sql注入:将恶意的sql命令注入到后台数据库引擎执行

csrf:跨站请求伪造,以用户身份在攻击页面对目标网站发起伪造用户操作的请求

其中xss和sql注入可以通过拦截请求并进行特殊字符过滤来防御,而csrf需要进行referer检测和token校验进行防御,如果只做了referer检测,在实际的第三方机构检测中,csrf漏洞还是存在的,所以需要进行token校验,token校验在这里不做过多说明,只进行referer检测。

首先创建一个过滤器:

package com.net.web.filter;

import java.io.IOException;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.Iterator;

import javax.servlet.Filter;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.net.pva.sysconfig.AppConfig;
import com.net.web.common.UserTools;
import com.net.web.utils.XssFilterHttpServletRequestWrapper;



/**  
 * @Title XssAndSqlFilter.java
 * @Description 防XSS、sql注入和CSRF漏洞   filter
 * @author 2Dark
 */
public class XssAndSqlFilter  implements Filter {  
	
	//获取请求url白名单
	public static final String CSRF_WHITE_URL = AppConfig.get("csrf.white.url");
	//获取sql注入拦截接口白名单(这些接口传递敏感参数时不会进行拦截,直接放行)
	public static final String SQL_WHITE_API = AppConfig.get("sql.white.api");
	protected FilterConfig filterConfig = null;
	protected boolean ignore = true; 

    @Override  
    public void destroy() {  
        // TODO Auto-generated method stub  

    }  

    @Override  
    public void init(FilterConfig arg0) throws ServletException {  
        // TODO Auto-generated method stub 
    	this.filterConfig = arg0; 
    	//this.inj_str = filterConfig.getInitParameter("keywords");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            javax.servlet.FilterChain chain) throws IOException,
            ServletException {
    	
    	HttpServletRequest req = (HttpServletRequest)request;  
    	HttpServletResponse res = (HttpServletResponse)response;
    	
    	//请求头检测
        Enumeration<String> enumParams = req.getHeaderNames();
        while (enumParams.hasMoreElements()) {
            String headName = enumParams.nextElement();
            headName = headName.toLowerCase();
            String headValue = req.getHeader(headName);
			headValue = headValue.toLowerCase();
			
			if (headName.equals("referer")) {
                if (isCSRFAttack(headValue)) {
                    return;
                }
            }
        }
    
//    	//
最低0.47元/天 解锁文章
静雄桑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP中防止SQL注入攻击和XSS攻击的两个简单方法
12-17
mysql_real_escape_string() 所以得SQL语句如果有类似这样的写法:”select * from cdr where src =”.$userId; 都要改成 $userId=mysql_real_escape_string($userId) 所有有打印的语句如echo,print等 在打印前都要使用htmlentities() 进行过滤,这样可以防止Xss,注意中文要写出htmlentities($name,ENT_NOQUOTES,GB2312) 。 您可能感兴趣的文章:php中防止SQL注入的最佳解决方法php防止
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 7016
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_36036029的博客
02-26 190
Java Web使用过滤器防止Xss攻击,解决Xss漏洞发布时间:2018-11-11 10:41,浏览次数:286, 标签:JavaWebXssweb.xml添加过滤器 xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter *过滤器代码package com.quickly.exception.common.filter...
为解决存储型xsssql注入漏洞,创建对应的全局过滤器
apple_pingwan的博客
01-13 2734
为解决存储型xsssql注入漏洞,创建对应的全局过滤器。
springboot防止XSS攻击&&SQL防注入
qq_41798504的博客
04-14 1119
SpringBoot下通过过滤器实现对Xss攻击和Sql注入
PHP开发中常见的安全问题详解和解决方法(如Sql注入CSRFXss、CC等)
12-19
这篇文章主要探讨了几个关键的安全问题,包括SQL注入XSS跨站脚本攻击、CSRF跨站请求伪造、防盗链以及防止CC攻击,并提供了解决这些问题的方法。 1. **PHP安全配置**: - **关闭PHP错误显示**:在`php.ini`中设置...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
360提供的php防sql注入代码修改类
05-02
这个类可能提供了对HTTP请求的检查,检测潜在的XSSCSRF风险,并给出相应的防御措施。 三、使用方法与实践 阅读`readme.md`文件,通常会详细解释如何引入和使用这个防注入类,包括类的初始化、方法调用以及如何在...
SQL注入和跨站点脚本
04-08
SQL注入和跨站点脚本(XSS)是两种常见的网络安全威胁,主要针对基于Web的应用程序。这篇文章将深入探讨这两种攻击方式,以及如何在C#环境中防止它们。 **SQL注入** SQL注入是一种攻击手段,攻击者通过输入恶意的...
360通用asp防护代码(防sql注入)
09-29
SQL注入是一种常见的网络安全威胁,攻击者通过输入恶意的SQL语句来操纵数据库,获取、修改或删除敏感信息。360通用ASP防护代码旨在解决这个问题,防止SQL注入和跨站攻击,提高网站的安全性。 SQL注入防护主要涉及...
七、抵御即跨站脚本(XSS)攻击
weixin_39309918的博客
10-20 1781
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
使用Filter防止XSS攻击
逆行者的博客
01-14 8885
什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 例如在表单中注入: &lt;script&gt;location.href='http://www.itmayiedu.com'&lt;/script&gt; 注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器 解决方案? 使用Fileter过滤器过滤注入标签(将表单中的代码转义成HTML代码)...
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5832
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
56 代码审计-JAVA项目Filter过滤器及XSS挖掘
山兔的博客
12-19 1354
在javaweb项目中,一般在运行的过程中会经过过滤器,才会到下面去,过滤器在你还没有信息返回的时候,就已经到了过滤器,就相当于前期已经将你相关请求的东西开始进行过滤了,过滤完之后,才会带到后面的数据处理中,所以过滤器是在漏洞或者攻击的过程中,会进行拦截的一个地方,这个地方过滤器写的比较严谨的话,会阻止大部分的攻击,也是我们后期判断漏洞是否真实存在,验证这个漏洞有效性的时候,就是要根据过滤器的规则进行分析,所以过滤器是非常重要的。Filter是JavaWeb中的过滤器,用于过滤URL请求。
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
Spring Boot实战:多层面防御XSS攻击的详细步骤
最新发布
kiingking的博客
07-13 305
在Spring Boot中防止XSS(跨站脚本)攻击通常涉及几个关键步骤,包括使用注解、创建过滤器以及配置安全策略。
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2601
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSSXSS分为以下两种类型
xss攻击的防御
lmsfv的博客
05-11 341
身为服务器的开发者,我们时无法相信用户输入的任何东西的。比如:金额不能从前端传过来,使用会失效的token等。当然,用户除了会传入一些假数据,也会传入一些假的脚本,比较出名的就是xss攻击 网上有很多说解决xss攻击的方法,有很多都是和前端有关,而实际上,在后台这最后一个防御当中,是最为重要的。 在mall4j这个项目里面,使用了一个过滤器 XssFilter public class XssFilter implements Filter { Logger logger = LoggerFacto
防止XssSQL注入攻击-Java
weixin_34242658的博客
06-04 230
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐...
sql注入 xss攻击和csrf攻击的区别
06-13
SQL注入XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值