jfinal xss过滤以及url注入漏洞的问题

最新推荐文章于 2023-03-03 17:11:09 发布
最新推荐文章于 2023-03-03 17:11:09 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: java
原文链接:http://www.jfinal.com/share/281
版权

这里参考jfinal社区的xss处理方式这里简单记录一下。
1.首先:创建XssHandler 代码如下:

package com.gdszgl.common.handler;
import com.jfinal.handler.Handler;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.jsoup.helper.StringUtil;

import java.util.Date;
import java.util.regex.Pattern;

/**
 * 全局xss过滤
 * @author ren
 * @date 创建时间:2017年5月18日 下午1:45:37
 */
public class XssHandler extends Handler {

    // 排除的url,使用的target.startsWith匹配的
    private String excludePattern;

    /**
     * 忽略列表,使用正则
     * @param excludePattern
     */
    public XssHandler(String excludePattern) {
        System.out.println("进入xss拦截------------------------------"+new Date());
        this.excludePattern = excludePattern;
    }

    @Override
    public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) {

        java.util.regex.Pattern pattern = Pattern.compile(excludePattern);
        //带.表示非action请求,忽略(其实不太严谨,如果是伪静态,比如.html会被错误地排除);匹配excludePattern的,忽略
        if (target.indexOf(".") == -1 && !(!StringUtil.isBlank(excludePattern) && pattern.matcher(target).find() ) ){
            request = new XssHttpServletRequestWrapper(request);
        }
        //别忘了
        next.handle(target, request, response, isHandled);

    }

}

2.重写 HttpServletRequestWrapper用于配合XssHandler

package com.gdszgl.common.handler;

import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;

import javax.servlet.http.HttpServletRequest;
import java.text.CharacterIterator;
import java.text.StringCharacterIterator;
import java.util.HashMap;
import java.util.Map;

/**
 * 重写HttpServletRequestWrapper用于配合XssHandler
 * @author ren
 * @date 创建时间:2017年5月18日 下午1:49:26
 */
public class XssHttpServletRequestWrapper extends javax.servlet.http.HttpServletRequestWrapper{

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写并过滤getParameter方法
     */
    @Override
    public String getParameter(String name) {
        return getBasicHtmlandimage(super.getParameter(name));

    }

    /**
     * 重写并过滤getParameterValues方法
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (null == values){
            return null;
        }
        for (int i = 0; i < values.length; i++) {
            values[i] = getBasicHtmlandimage(values[i]);
        }
        return values;
    }

    /**
     * 重写并过滤getParameterMap方法
     */
    @Override
    public Map<String,String[]> getParameterMap() {
        @SuppressWarnings("unchecked")
        Map<String,String[]> paraMap = super.getParameterMap();
        // 对于paraMap为空的直接return
        if (null == paraMap || paraMap.isEmpty()) {
            return paraMap;
        }

        //super.getParameterMap()不允许任何修改,所以只能做深拷贝
        Map<String, String[]> paraMapCopy = new HashMap<String, String[]>();
        //实际上putAll只对基本类型深拷贝有效,如果是自定义类型,则要找其他办法
        paraMapCopy.putAll(paraMap);

        for (Map.Entry<String, String[]> entry : paraMapCopy.entrySet()) {
            String[] values     = entry.getValue();
            if (null == values) {
                continue;
            }
            String[] newValues  = new String[values.length];
            for (int i = 0; i < values.length; i++) {
                newValues[i] = getBasicHtmlandimage(values[i]);
            }
            entry.setValue(newValues);
        }
        return paraMapCopy;
    }

    private static String getBasicHtmlandimage(String html) {
        if (html == null)
            return null;

        html=Jsoup.clean(html, Whitelist.basicWithImages());
        //再次过滤
        return  html;
    }


   
}

3.最后在 _MainConfig 启动类中把handler 注册进去。

public void configHandler(Handlers me) {
    //添加xss 过滤(正则表达式:"/((\\%3C)|<)((\\%2F)|\\/)*[a-z0-9\\%]+((\\%3E)|>)/ix")
    me.add(new XssHandler("/((\\%3C)|<)((\\%2F)|\\/)*[a-z0-9\\%]+((\\%3E)|>)/ix"));
  }

ok ,完成。

@ren
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jfinal框架中防跨站脚本XSS攻击。
志全的博客
07-27 904
跨站脚本攻击(XSS) Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 问题解决: 对于Jfinal轻量级框架解决方式从框架根本从特殊字符转义入手。 1、处理器配置初始化 public void configHandler(Handlers me) { XssHandler xssHan...
jfinalxss漏洞的处理
huangbaokang的博客
12-11 765
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
Jfinal CMS命令注入漏洞
MoLeft's Blog
12-21 1725
如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化。来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可。登录后台,找到模板管理,后台默认账号密码admin/admin123456。在 kali 上运行该工具,启动 rmi 和 ldap 服务。替换payload中的rmi或ldap地址,然后保存到。测试中使用的JDK版本:JDK8u101。jfinal_cms版本:5.0.1。类的构造方法中实例化。
Jfinal cms前台评论XSS漏洞分析
weixin_30535043的博客
05-14 526
Jfinal cms采用Java语言开发,官方代码仓库为:https://gitee.com/jflyfox/jfinal_cms。 Jfinal cms前台评论处存在XSS漏洞,以v4.6版本为例,下面是简单的漏洞分析。 首先来看如何利用此漏洞。 第一步:填写payload 在新闻评论的地方填写如下payload:abcd<img src="/xswv.png" onerror="...
jfinal 1.8 事务不生效问题
a290450134的博客
06-15 945
本次使用事务方式:Db.tx(new IAtom() { public boolean run() throws SQLException { try { //用户基本信息 User.dao.insertInfo(basicInfoMap); //资产信息 Ohter.dao.insertInfo(otherMapList); ...
xss注入
shake863
01-16 151
先看看一个例子: [code="java"]http://localhost/php-1.php?key=%dd%22;alert(document.cookie);//[/code] 下面是php的代码: [code="java"] $key = $_GET['key']; echo ""; echo "var a = \"".addslashes($key)."\"&quo
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
JSP过滤器防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
防止xss和sql注入:JS特殊字符过滤正则
12-01
XSS(Cross-Site Scripting)和SQL注入是两种常见的网络安全威胁,主要针对Web应用程序。XSS攻击允许攻击者在用户浏览器中...对于XSS和SQL注入,除了编写过滤函数,还应结合使用多种防御策略,以提高应用程序的安全性。
代码审计.jfinal.XSS
qq_34012951的博客
03-03 144
detail 查看没有对xss特征进行过滤。1、搜索关键特征,查看是否有xss过滤器。更新修改功能没有对前端参数进行XSS过滤。2、没有全局过滤器,梳理所API.
WEB登录防sql注入 url注入 脚本注入
12-05
WEB登录防sql注入 url注入 脚本注入
JfinalXSS攻击
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 296
public class XssHandler extends BaseHandler { @Override public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) { if (!isFilter(target)) {...
基于jfinalXssHandler,统一处理xss脚本攻击
weixin_34227447的博客
08-10 402
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS注入攻击
qq_16860417的博客
07-11 2381
定义: XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“...
jfinal常见问题
夜晓星的博客
03-13 489
jfinal文档 controller层的的返回值: controller里的返回值定义都是void 如果是要跳转页面就使用 render("/XXX.html"); 如果是返回值就使用 renderJson(XXX); controller层接收参数: 接收XXX参数 getPara("XXX") 接收XXX参数,如果XXX为空就返回1 ge...
JFinal如何进行XSS攻击过滤
zzzgd_666的博客
05-17 3909
为啥要做XSS过滤? 比如一个文本框, 正常来说应该是输入普通文本,但是如果有it基础尤其是前端js比较熟悉的童鞋,就可以在这里面写js代码和html代码如下: 这还只是普通的代码, 如果可以他能写一个死循环一直弹窗,让你不得不去数据库更改这个数据. 我现在用到的是JBoot框架, 于是就需要用JFinal来解决这个问题 JBoot的web.xml文件中,配置过滤器 &lt;f...
JFinal 如何进行XSS过滤JFinal 的简单介绍到利用JFinal 的handler实现)
Oneask的博客
12-21 5644
JFinal 如何进行XSS过滤JFinal 的简单介绍到利用JFinal 的handler实现)
XSS漏洞解决方案之一:过滤
热门推荐
梦想起飞的地方.........
03-12 1万+
XSS漏洞解决方案之一:过滤器 一:web.xml文件  漏洞 --> xssFilter com.baidu.rigel.sandbox.core.filter.XSSFilter xssFilter /* xssFilter com.baidu
xss漏洞的原理以及如何验证存在xss漏洞
最新发布
05-12
XSS漏洞(Cross Site Scripting)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码到网页中,从而实现获取用户敏感信息或者控制用户账户的目的。 XSS漏洞的原理是,攻击者利用网页中未过滤或不完整过滤的用户输入,将恶意脚本代码注入到网页中。当用户访问这个网页时,浏览器会执行这些恶意脚本,从而达到攻击者预期的效果。 验证是否存在XSS漏洞可以通过以下几种方式: 1.手工测试:通过在网页中输入特定字符、标签、脚本等内容,观察是否能够在网页中展现出来。如果能够展现出来,则说明网页存在XSS漏洞。 2.使用在线工具:如XSStrike、XSS Hunter等工具,可以帮助检测网页是否存在XSS漏洞,并提供相应的修复建议。 3.使用浏览器插件:如XSS Validator、Tamper Data等插件,可以帮助检测网页中的输入是否存在可疑字符,并提供相应的修复建议。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值