JSON劫持解决

最新推荐文章于 2021-06-22 14:46:43 发布
最新推荐文章于 2021-06-22 14:46:43 发布
阅读量199 收藏
点赞数
分类专栏: 代码 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38618691/article/details/114360904
版权 
public class MyFilter implements Filter {


    private Logger logger = LoggerFactory.getLogger(MyFilter.class);


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        String rawReferer = req.getHeader("referer");
        boolean legal = false;
        if (StringUtils.isBlank(rawReferer)) {
            legal = true;
        } else {
            try {
                URL url = new URL(rawReferer);
                String clientIp = req.getRemoteAddr();
                String referIp = url.getHost();
                String localIp = req.getLocalAddr();

                if (StringUtils.equals(clientIp, referIp)) {
                    legal = true;
                }
                if (StringUtils.equals("localhost", referIp) || StringUtils.equals("127.0.0.1", referIp) || StringUtils.equals(localIp, referIp)) {
                    legal = true;
                }
            } catch (MalformedURLException e) {
                e.printStackTrace();
            }
        }

        if (!legal) {
            logger.warn(" illegal referer: {}", rawReferer);
            resp.sendError(HttpServletResponse.SC_FORBIDDEN);
        } else {
            chain.doFilter(request, response);
        }

    }

    @Override
    public void destroy() {

    }
}
珠光
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JSON劫持漏洞
W404129262的博客
07-15 869
项目在运行当中被安全部扫描扫描得到了JSON漏洞。一开始想着是把JSON包提高包的等级,但是还是没有解决JSON劫持的问题,安全部扫描后得到了一系列的修复漏洞方式,先把背景和对方提供的解决方案发出来。 这是关于漏洞背景方面 采用JSON文本的数据交互方式由于可以天然的在浏览器中使用,所以随着ajax和web业务的发展得到了广大的发展,各种大型网站都开始使用,包括Yahoo,Google,Tencent,Baidu等等。 但是如果这种交互的方式用来传递敏感的数据,并且传输的时候没有做太多...
Java防止Xss注入json_每日一题(java篇) 如何防止xss注入
weixin_39587113的博客
11-20 316
1、XssAndSqlHttpServletRequestWrapper 类: import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssAndSqlHttpSer...
web渗透测试----16、JSON注入
七天
06-22 3404
文章目录一、JSON简介二、JSON注入三、JSON注入的防御 一、JSON简介 1、简介 JSON是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成。它是基于Javascript的一个子集,JSON采用完全独立于语言的文本格式,但是也使用类似于C语言家族的习惯(C、C#、C++、JavaJavascript、Perl、Python等都可以使用JSON),这些特性使JSON成为理想的数据交换语言。 JSON可以将Javascript中的对象转换为字符串,然后在函数、网络之间传递这个字
JAVA防止SQL注入攻击类的源代码
04-26
JAVA防止SQL注入攻击类的源代码(包含网页版和程序代码两部分)
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 944
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
详解JSONJSONP劫持以及解决方法
10-17
主要介绍了详解JSONJSONP劫持以及解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JSON 对象未定义错误的解决方法
10-21
下面小编就为大家带来一篇JSON 对象未定义错误的解决方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解JSON劫持技术_数据劫持
12-12
详解JSON劫持技术 了解JSON劫持技术的不多,包括json劫持,JSONP劫持,以及如何防御JSON劫持JSONP劫持
PHP的Json中文处理解决方案
12-18
解决中文的一种方法就是先将中文转换为另一种编码格式,然后再使用json_encode(),最后再用解码把json串进行解码。还有一种方式就在php新版本中得到了解决,在下面的代码为展示。 以下为代码示例 <?php head
扯谈web安全之JSON
热门推荐
横云断岭的专栏
05-29 3万+
前言 JSONJavaScript Object Notation),可以说是事实的浏览器,服务器交换数据的标准了。目测其它的格式如XML,或者其它自定义的格式会越来越少。 为什么JSON这么流行? 和JavaScript无缝对接是一个原因。 还有一个重要原因是可以比较轻松的实现跨域。如果是XML,或者其它专有格式,则很难实现跨域,要通过flash之类来实现。 任何一种数据格式,如
java防止脚本注入,通过拦截器实现
混魔MJM的博客
08-20 3873
1:利用action过滤 package com.tsou.comm.servlet; import java.util.Enumeration; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Ht
JAVA防止JS html 注入
wscrf的博客
03-27 2987
[java] view plain copy public class HtmlEncode {              public static String htmlEncode(String string) {          if(null == s...
java对象转成JSON字符串,避免 $ref
D的专栏
08-05 9633
如果使用Hibernate, 查询出重复的数据或者使用类似下面的数据 User s = new User(); s.setAccount("2121"); List list = new ArrayList(); list.add(s); list.add(s); System.out.println(JSON.toJSONString(list)); 运行结果是: [{"ac
利用StringEscapeUtils对字符串进行各种转义与反转义(Java
iteye_6274的博客
02-03 7497
apache工具包common-lang中有一个很有用的处理字符串的工具类,其中之一就是StringEscapeUtils,这个工具类是在2.3版本以上加上的去的,利用它能很方便的进行html,xml,java等的转义与反转义,而且还能对关键字符串进行处理预防SQL注入,不过好像common-lang3.0以后我看着好像没这个处理SQL语句的方法了,想用的话前提时引入对应的jar包,以下为它的部...
JSON防止被攻击的地方
u012916291的博客
04-25 1319
JAVA发送json格式http请求(POST,GET)
小橋夜雪的博客
09-05 2万+
代码如下: HttpRequest.java文件 package httptest;   import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.net.URL; impo...
使用安全json parser防止json注入
cnbird's blog
01-29 5610
今天在网上瞎逛又看到了一个不错的东西。 有些程序员如果没有很好的在javascript中解析json数据,往往会直接eval把json转成js对象,这时候如果json的数据中包含了被注入的恶意数据,则可能导致代码注入的问题。 正确的做法是分割出json里包含的特殊字符,然后再解析为对象 http://json.org/json2.js 中是通过正则来完成的。 // We s
json如何解决上述问题
最新发布
06-07
对于 JSON 数据,通常使用 UTF-8 编码来进行传输和存储。如果你遇到类似的 UnicodeDecodeError 错误,很有可能是 JSON 数据中包含了非 UTF-8 编码的字符。在 Python 中,你可以使用 `json.loads()` 函数来解析 JSON 数据,并在解析的过程中指定正确的编码方式。例如,如果你从文件中读取 JSON 数据,并且该文件使用 GBK 编码,则可以使用以下代码: ```python import json with open('data.json', 'r', encoding='gbk') as f: data = json.load(f, encoding='gbk') ``` 在这个例子中,我们使用 `json.load()` 函数来解析 JSON 数据,并将编码方式设置为 GBK。这样,即使 JSON 数据中包含了非 UTF-8 编码的字符,也可以正确地解析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值