防XSS攻击

最新推荐文章于 2022-12-19 00:12:00 发布
最新推荐文章于 2022-12-19 00:12:00 发布
阅读量171 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42026855/article/details/88049012
版权

1. 编写过滤器filter

import java.io.IOException;
import java.util.List;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter
{
    
    /**
     * 配置
     */
    FilterConfig filterConfig = null;
    
    /**
     * 例外URL
     */
    private List<String> urlExclusion = null;
    
    /**
     * 初始化配置
     * @param filterConfig 配置
     * @throws ServletException Servlet异常
     */
    public void init(FilterConfig filterConfig) throws ServletException
    {
        this.filterConfig = filterConfig;
    }
    
    /**
     * 使配置失效
     * @see javax.servlet.Filter#destroy()
     */
    public void destroy()
    {
        this.filterConfig = null;
    }
    
    /**
     * filter 过滤逻辑
     * @param request 请求
     * @param response 请求
     * @param chain chain
     * @throws IOException IO异常  
     * @throws ServletException Servlet异常
     */
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException
    {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String servletPath = httpServletRequest.getServletPath();
        if (urlExclusion != null && urlExclusion.contains(servletPath))
        {
            chain.doFilter(request, response);
        }
        else
        {
            chain.doFilter(
                    new XssHttpServletRequestWrapper(
                            (HttpServletRequest) request),
                    response);
        }
    }
    
    public List<String> getUrlExclusion()
    {
        return urlExclusion;
    }
    
    public void setUrlExclusion(List<String> urlExclusion)
    {
        this.urlExclusion = urlExclusion;
    }
}

2. 自定义ServletRequest

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper
{
    /**
     * 初始化
     * @param servletRequest 请求
     */
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest)
    {
        
        super(servletRequest);
        
    }
    
    /**
     * 获取请求里面的参数
     * @param parameter 请求名
     * @return String[]
     */
    @Override
    public String[] getParameterValues(String parameter)
    {
        
        String[] values = super.getParameterValues(parameter);
        
        if (values == null)
        {
            
            return null;
            
        }
        
        int count = values.length;
        
        String[] encodedValues = new String[count];
        
        for (int i = 0; i < count; i++)
        {
            
            encodedValues[i] = cleanXSS(values[i]);
            
        }
        
        return encodedValues;
        
    }
    
    /**
     * 得到参数值  
     * @param parameter 参数名称
     * @return String
     */
    @Override
    public String getParameter(String parameter)
    {
        
        String value = super.getParameter(parameter);
        
        if (value == null)
        {
            
            return null;
            
        }
        
        return cleanXSS(value);
        
    }
    
    /**
     * 得到请求头的值  
     * @param name 参数名称
     * @return String
     */
    @Override
    public String getHeader(String name)
    {
        
        String value = super.getHeader(name);
        
        if (value == null)
            
            return null;
        
        return cleanXSS(value);
        
    }
    
    @Override
    @SuppressWarnings("unchecked")
    public Map<String, String[]> getParameterMap()
    {

       //因getParameterMap()返回的Map对象是不能修改的,需要初始化一个新的Map接收
        Map<String, String[]> paramMap = new HashMap<String, String[]>(
                super.getParameterMap());
        
        for (Iterator iterator = paramMap.entrySet().iterator(); iterator
                .hasNext();)
        {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator
                    .next();
            String[] values = entry.getValue();
            for (int i = 0; i < values.length; i++)
            {
                if (values[i] instanceof String)
                {
                    values[i] = cleanXSS(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }
    
    /**
     * 替换特殊字符
     * @param value 值
     * @return String
     */
    private String cleanXSS(String value)
    {
        //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }
    
}

3. 配置拦截规则

/**
     * xssFilter注册
     * @return FilterRegistrationBean
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistration()
    {
        XssFilter xssFilter = new XssFilter();
        //配置例外

        xssFilter.setUrlExclusion(
                Arrays.asList("/notice/update", "/notice/add"));
        FilterRegistrationBean registration = new FilterRegistrationBean(
                xssFilter);
        registration.addUrlPatterns("/*");
        return registration;
    }

 

 

qq_42026855
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 1900
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
Springboot使用CrosXssFilter止sql注入xss攻击cros跨域等
程序员小明1024
12-19 954
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
Xss攻击
weixin_42533856的博客
02-13 305
原理:通过过滤request请求的url进行处理。 1,编写xssFilter类, public class XssFilter implements Filter { FilterConfig filterConfig = null; private List<String> urlExclusion = null; public void in...
XssFilter 创建与配置
csdn565973850的博客
03-14 2762
XssFilter 创建与配置增加XssFilter过滤器创建XssFilter创建XssHttpServletRequestWrapper在web.xml增加过滤器 增加XssFilter过滤器 创建XssFilter package com.dongao.filter; import javax.servlet.*; import javax.servlet.http.HttpServlet...
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5469
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
java 预XSS攻击
08-23
XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入到网页中,进而影响用户的安全。本文将深入探讨如何在Java后端进行预XSS攻击的策略。 1. **理解XSS类型**: - **存储...
xss攻击,过滤标签.js
04-01
xss攻击,过滤标签.js
JAVA----参数过滤器XssFilter,实现:XSS,去掉参数左右空格
Damys
05-06 754
XssFilter 过滤器 public class XssFilter implements Filter { public boolean enabled = false; // 过滤开关 public List<String> excludes = new ArrayList<>(); // 排除url @Override public void init(FilterConfig filterCon
基础算法10:过滤器(Filter)对指定路径不进行过滤
strawbingo的专栏
01-24 9392
https://www.zifangsky.cn/647.html 基础算法10:过滤器(Filter)对指定路径不进行过滤 (1)在web.xml中配置这样一个过滤器: 12345678910111213141516                xssFilter        cn.zifangsky.filter.XSSFilter              
Java Filter过滤xss注入非法参数的方法
strawbingo的专栏
01-17 1万+
http://blog.csdn.net/feng_an_qi/article/details/45666813 Java Filter过滤xss注入非法参数的方法 web.xml: [html] view plain copy filter>          filter-name>XSSFilerfilter-name>        
XSS攻击解决方案之一(过滤器)
willie_chen的专栏
08-23 4651
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
Guns 技术文档 v5.1
热门推荐
qq_37194624的博客
12-28 2万+
@stylefeng 2018-10-17 10:22 字数 27433 阅读 4795 Guns 技术文档 v5.1 stylefeng技术文档   Guns 技术文档 v5.1 1. 序言 1.1 文档简介 1.2 Guns教程 1.3 获取帮助 2. 使用手册 2.1 下载项目 2.2 导入项目 2.2.1 eclipse导入 ...
跨域 springboot2.1 拦截器跨域 ajax请求例子
hanpenghu的博客
03-31 1151
/** * Copyright 2018-2020 stylefeng & fengshuonan (https://gitee.com/stylefeng) * <p> * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file excep...
配置过滤器filter对跨站脚本攻击XSS实现拦截
08-06 5126
filter的原理图见上博原理图 1.web.xml中配置filter XssFilter com.wk.util.XssFilter XssFilter /* 2.编写相应的filter的java类 package com.wk.util; import java.io.IOException; import javax.servlet
guns+富文本wangediter出现转义字符解决方案
aa2034887的博客
02-16 717
在 com.stylefeng.guns.config.web 下面的 WebConfig 类下面的 xssFilterRegistration 添加上请求路径,搞定!! /** * xssFilter注册 */ @Bean public FilterRegistrationBean xssFilterRegistr...
Roses given, fragrance in hand
青苔小榭
06-13 5166
When we are students,  all around us are students. We advocate civilization , LeiFeng is our role model.  Most of our time,  we only contact with the students around.  The campus is a pure place, it
【Spring】过滤器、拦截器、监听器各自的实现方式
qq_34416331的博客
07-23 238
123
uniapp预 XSS 攻击
最新发布
04-28
Uniapp预XSS攻击的方法有以下几种: 1. 对用户输入数据进行过滤和转义,比如使用encodeURIComponent()函数对URL参数进行编码,使用innerHTML()函数对HTML标签进行过滤。 2. 对于需要用户输入HTML代码的场景,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值