XSS过滤器Filter实现全过程

最新推荐文章于 2024-05-15 09:43:16 发布
最新推荐文章于 2024-05-15 09:43:16 发布
阅读量1.1w 收藏 30
点赞数 3
分类专栏: Java 文章标签: spring filter xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38118138/article/details/118081903
版权

需求:
对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击
项目基础:
前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。
实现步骤:
一、实现XSSFilter类
二、实现XssHttpServletRequestWraper类
三、在web.xml注册过滤器

一、实现XssFilter

public class XssFilter implements Filter{
	//	为了解决multipart/form-data过滤器过滤之后controller接收不到数据的问题
	//如果没有用到,可以把相关内容删除去
	private MultipartResolver multipartResolver=null;

	@Override
	public void init(FilterConfig filterConfig) throws ServletException{
		//注入bean
		multipartResolver=(MultipartResolver)ApplicationContextUtils.getApplicationContext().getBean("multipartResolver",MultipartResolver.class);
	}
	
	@Override
	public void doFilter(ServletRequest request , ServletResponse response , FilterChain chain) 
			throws IOException , ServletException{
		String contentType=request.getContentType();
		if(contentType!=null && contentType.contains("multipart/form-data")){
			//form-data过滤
			MultipartHttpServletRequest multipartRequest=multipartResolver.resolveMultipart((HttpServletRequest) request);
			XssHttpServletRequestWraper xssRequest=new XssHttpServletRequestWraper(multipartRequest);
			chain.doFilter(xssRequest, response);
		}else{
			//普通过滤
			XssHttpServletRequestWraper xssRequest=new XssHttpServletRequestWraper((HttpServletRequest)request);
			chain.doFilter(xssRequest, response);
		}
	}
	
	@Override
	public void destroy(){
		
	}	
}

其中如果要对multipart/form-data 过滤,除了上述过滤器的内容外,还要编写ApplicationContextUtils.class,并在spring配置文件注册bean

ApplicationContextUtils.class内容为:

//对Spring容器进行各种上下文操作的工具类
public class ApplicationContextUtils implements ApplicationContextAware{
	
	private static ApplicationContext context;

	@Override
	public void setApplicationContext(ApplicationContext context) throws BeansException {
		ApplicationContextUtils.context = context;
	}
	
	public static ApplicationContext getApplicationContext(){
		return context;
	}
	//根据Bean名称获取Bean对象
	public static Object getBean(String beanName){
		return context.getBean(beanName);
	}
	
	public static Object getMassage(String key){
		return context.getMessage(key, null,Locale.getDefault());
	}
}

在ApplicationContext.xml注册内容为:

	<!-- =========================注册文件上传 -->
	<bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
		<!-- 文件上传大小限制 -->
		<property name="maxUploadSize">
			<value>104857600</value>
		</property>
		<property name="defaultEncoding">
			<value>UTF-8</value>
		</property>
	</bean>
	
	<bean id="applicationContextUtils" class="ApplicationContextUtils在项目存放的位置" lazy-init="false" />

二、实现XssHttpServletRequestWraper类

public class XssHttpServletRequestWraper extends HttpServletRequestWrapper{
	
	public XssHttpServletRequestWraper(HttpServletRequest servletRequest){
		super(servletRequest);
	}
	
	@Override
	public String getHeader(String name){
		return super.getHeader(name);
	}
	
	@Override
	public String getParameter(String name){
		String value = super.getParameter(name);
		return xssEncode(value);
	}
	
	//对以FormData形式提交,Content-Type:application/x-www-from-urlencoded参数过滤
	@Override
	public String[] getParameterValues(String name){
		String[] values=super.getParameterValues(name);
		if(values==null){
			return null;
		}
		int count=values.length;
		String[] encodeValues=new String[count];
		for(int i=0;i<count;i++){
			encodeValues[i]=xssEncode(values[i]);
		}
		return encodeValues;
	}
	
	/*过滤策略:把特殊字符转为HTML实体编码,
	*这样存在数据库里较安全
	*返回给前端时会被js解析为正常字符,不影响查看*/
	public static String xssEncode(String str){
		if(str == null || str.isEmpty()){
			return str;
		}
		str = str.replaceAll(";", "&#59;");
		str = str.replaceAll("<", "&#60;").replaceAll(">", "&#62;");
		str = str.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
		str = str.replaceAll("'", "&#39;").replaceAll("\"", "&#34;");
		str = str.replaceAll("\\$", "&#36;");
		str = str.replaceAll("%", "&#37;");
		str = str.replaceAll("\\/", "&#47;").replaceAll("\\\\", "&#92;");
		str = str.replaceAll(":", "&#58;");
		str = str.replaceAll("\\?", "&#63;").replaceAll("@", "&#64;");
		str = str.replaceAll("\\^", "&#94;");
		return str;
	}
}

三、在web.xml注册过滤器:
最好放在字符过滤器之后

<filter>
	<filter-name>XssFilter</filter-name>
	<filter-class>XssFilter在项目存放的位置</filter-class>
</filter>
<filter-mapping>
	<filter-name>XssFilter</filter-name>
	<url-partten>/*<url-partten>
	<dispatcher>REQUEST</dispatcher>
</filter-mapping>

自此,过滤器的实现和配置就完成了。前端输入
<script>alert("1");</script>
后,后台会解析为&#60;script&#62;alert&#40;&#34;1&#34;&#41;&#59;&#60;&#47;script&#62;
并存入数据库,而在前端显示时又会显示为原来的字符,且不会执行js语句。

楼主在返回给前端时发现,如果是html(str)显示,则能显示原来字符。如果是val(str)返回给文本框的话,则并不会把HTML实体字符解析为正常字符。所以需要我们写个解析函数。具体的也很简单,在此就不贴代码了。

小佩丫
关注
  • 3
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2664
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
xssprotect防止XSS攻击源码
08-27
首先,XSSProtect通常会采用过滤器Filter)机制,这是Java Web开发中的一个核心概念。过滤器可以在请求被实际处理之前或之后执行一些预处理或后处理操作,例如身份验证、数据过滤等。在防止XSS攻击的情况下,过滤...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
高效且安全的XSS过滤器:Secure XSS Filters
最新发布
gitblog_00035的博客
05-15 281
高效且安全的XSS过滤器:Secure XSS Filters 项目地址:https://gitcode.com/YahooArchive/xss-filters 在网络安全日益重要的今天,防止跨站脚本(XSS)攻击是每个Web开发者不容忽视的任务。这就是我们推荐使用Secure XSS Filters的原因,这是一个由Yahoo开发的JavaScript库,旨在提供更安全、快速并符合标准的输出过...
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 369
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
WEB攻防-XSS跨站&CSP策略&HttpOnly属性&Filter过滤器&标签闭合&事件触发
siu~
09-13 279
1、XSS跨站-安全防御-CSP策略 2、XSS跨站-安全防御-HttpOnly 3、XSS跨站-安全防御-XSSFilter
字符串工具类
weixin_45520089的博客
10-16 373
import org.apache.commons.lang.text.StrBuilder; import java.util.Collection; import java.util.Map; /** * 字符串工具类 * * @author reagan */ public class StringUtils { /** 空字符串 */ private stat...
XssFilter防止脚本注入,防止xss攻击
javaloveiphone的专栏
12-10 9385
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml(“fff”)方法。 其中,输入时的过滤是用一个filter实现实现过程: 在we
XSS过滤器的配置解析
m0_37027631的博客
12-13 4212
XSS过滤器的配置解析 http://pan.baidu.com/s/1eSgIwMI(百度云代码下载链接) 知识点拓展:在myeclipse或者eclipse中src或者WebRoot(myeclipse中)/WebContent(eclipse中)中的文件的路径是项目的根路径 1、src下(或者任意路径下)创建XSSFilter文件夹,里面创建五个类(详细代码去上边百度云链接地址中下载)
使用filter解决xss攻击
fangleijiang的专栏
06-25 9236
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
springBoot开发技术】拦截过滤器,Restful服务详细介绍
a23452的博客
06-28 975
SpringBootSpringBoot开发技术 — 过滤器、拦截器、SpringBoot事件实际开发中:比如统计在线的用户,敏感词过滤或者基于URL进行访问控制;这些需求的共同点就是—每个接口请求的时候都会进行该类操作SpringBoot中使用过滤器实现Filter接口即可,重写doFilter接口【和Servlet时代相同】服务发现机制: SpringBoot要能够发现,使用主类的注解:@ServletComponentScan主类过滤器其实就是之前的Servlet规范中的概念,具体的功能实现是Tom
前端开源库-xss-filters
08-29
前端开源库-xss-filtersXSS过滤器,安全的XSS过滤器-足够的输出过滤来防止XSS
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
JSP-Filter的简单练习
03-01
`Filter`在JSP中扮演着过滤器的角色,它可以监控多个`Servlet`或`JSP`页面,对请求和响应进行预处理或后处理。Filter的工作流程遵循以下步骤: 1. **初始化**: 当Web应用程序启动时,服务器会创建Filter实例并调用`...
java开发常见漏洞及处理说明收集.pdf
11-04
在Java Web开发中,可以通过在`web.xml`配置文件中定义过滤器(如AntiSqlInjectionFilterXssFilter)来实现上述防御策略。这些过滤器会在每个请求之前运行,对输入进行检查和处理,提供全局级别的安全防护。 总结...
Premission-Study:权限管理学习代码
05-14
- **过滤器Filter)**:Shiro通过一系列可配置的过滤器实现安全控制,如 anon(匿名访问)、authc(身份验证)、roles(角色检查)等。 2. **Shiro与Spring集成** - **Spring AOP整合**:Shiro可以与Spring的...
JavaWeb 完整的新闻项目
06-08
9. **过滤器Filter)与监听器(Listener)**:在JavaWeb中,过滤器可以对请求和响应进行拦截处理,如字符编码转换、权限验证等;监听器则可以监听Web应用中特定事件,如session的创建、销毁等。 10. **Ajax异步...
springboot文件上传
热门推荐
Starbright.的博客
04-11 2万+
/</</</</其中后端处理文件上传的请求地址为/uploadFile,请求方法为POST。在文件上传时需要设置form表单的enctype属性为“multipart/form-data”。
XSS 防御方法总结
weixin_33932129的博客
08-03 2772
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
springboot XSS过滤器代码实现
06-01
以下是一个简单的Spring Boot XSS过滤器的代码实现: 1. 创建一个名为XSSFilter的Java类,并实现javax.servlet.Filter接口。 ```java @Component public class XSSFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } // ... } ``` 2. 创建一个名为XSSRequestWrapper的Java类,该类继承HttpServletRequestWrapper类,并覆盖getParameter()方法以过滤请求参数中的HTML和JavaScript代码。 ```java public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return cleanXSS(value); } private String cleanXSS(String value) { // 过滤掉HTML和JavaScript代码 return Jsoup.clean(value, Whitelist.basic()); } } ``` 在上面的示例中,使用了Jsoup库的clean方法来过滤HTML和JavaScript代码,并使用Whitelist.basic()方法配置了基本的白名单。 3. 将过滤器注册到Spring Boot应用程序中,并将其应用于需要防止XSS攻击的URL路径。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private XSSFilter xssFilter; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(xssFilter).addPathPatterns("/secure/*"); } } ``` 在上面的示例中,XSS过滤器被应用于/secure/*路径下的所有请求。您可以根据需要更改路径。 这是一个简单的XSS过滤器实现,您可以根据自己的需求进行扩展和定制化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值