Java程序抵御xss攻击

最新推荐文章于 2024-05-16 06:55:36 发布
最新推荐文章于 2024-05-16 06:55:36 发布
阅读量438 收藏 4
点赞数 1
分类专栏: 后端学习笔记 文章标签: java filter xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42537565/article/details/118466832
版权

Java程序抵御xss攻击

原理:将前端请求的所有数据,进行转义后再存入数据库

1.导入hutool-all包

<!--    数据转义,防止xss攻击-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.7.2</version>
        </dependency>

2.配置XssHttpServletRequestWrapper

/**
 * @description 对request请求的数据进行转义,防止xss攻击
 * @create 2021/7/4 10:05 上午
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写getParameter方法,用HtmlUtil转义后再返回
     */
    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.filter(value);
        }
        return value;
    }

    /**
     * 重写getParameterValues方法,
     * 遍历每一个值,用HtmlUtil转义后再返回
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    /**
     * 重写getParameterMap方法,
     * 拿到所有的k-v键值对,用LinkedHashMap接收,
     * key不变,value用HtmlUtil转义后再返回
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    /**
     * 重写getHeader方法,用HtmlUtil转义后再返回
     */
    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        /**
         * 拿到数据流,通过StringBuffer拼接,
         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全
         */
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        /**
         * 将拿到的map,转移后存到另一个map中
         */
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

3.配置XssFilter


/**
 * 拦截所有的请求,对所有请求转义
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * 将获取到的数据,进行转义后再放行
     * @param servletRequest 请求
     * @param servletResponse 响应
     * @param filterChain 拦截链
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

4. 在启动类上面加上@ServletComponentScan

是小秋吖
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Java 反序列化攻击
m0_62571837的博客
01-21 434
漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5111
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java基础(37)XSS攻击、SQL注入攻击、CSRF攻击
qq_43012298的博客
05-16 834
XSS(Cross-Site Scripting)攻击是指攻击者在目标网站上注入恶意的客户端脚本,当其他用户浏览该网站时,嵌入在网页中的这段脚本会被执行,从而达到攻击的目的,如盗取用户信息、劫持用户会话等。
Java XSS:例子和预防
allway2的博客
07-24 3403
成熟的框架(例如Spring)通常具有安全功能,如果使用得当,可以保护您的应用免受最常见类型的攻击。对于我们的第一个示例,我们将展示可以通过查询参数完成的基本XSS攻击。在简要解释了XSS是什么以及为什么它会对您的应用程序的安全构成如此危险的威胁后,我们这样做了。对于某些类型的数据,使用“允许列表”方法可能是有意义的,其中您有一个可以接受的有效数据列表,而其他所有数据都被拒绝。我们示例中的视图有一个故意的错误,以允许未转义的内容按原样显示。他们只受攻击者的独创性和您的应用程序的漏洞的约束。...
Java解决XSS攻击方式
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
Java代码审计之XSS攻击
tpaer的博客
12-07 1560
以代码实例复现Java中的XSS攻击,并给出修复建议。
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
针对XSS攻击的防范是Web开发中不可或缺的一环。 antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。...
基于JAVA的安全电子商务.zip
03-26
1. **Java平台的稳定性与跨平台性**:Java运行在Java虚拟机(JVM)上,使得Java程序能够在多种操作系统上运行,如Windows、Linux、Mac OS等。这种跨平台能力对于电子商务系统至关重要,因为它可以确保平台无关性,...
基于JAVA的安全电子商务(论文)
最新发布
05-18
Java的预编译语句(PreparedStatement)可以有效防止SQL注入,而对输入数据的正确验证和编码则能抵御XSS攻击。 六、Spring Security框架 Spring Security是Java生态系统中广泛使用的安全框架,它提供了一套全面的...
Java安全性编程实例.zip_java入门
09-24
学习如何使用预编译语句防止SQL注入,利用验证码和HTTP头验证抵御XSS和CSRF攻击,能显著增强应用程序的安全性。 文件"Java安全性编程实例.doc"很可能是包含具体代码示例和详细解释的学习材料,它将帮助初学者将理论...
Driller:循序渐进的学习和黑客攻击
06-04
Driller可能是一个使用Java实现的框架,用于测试Web应用程序的漏洞,如SQL注入或跨站脚本(XSS)等。 【文件名称列表】:Driller-master “Driller-master”很可能是一个源代码仓库的主分支,通常在Git等版本控制...
Java --XSS攻击原理及防御
tryheart的博客
09-05 2486
xss 攻击过程 跨站脚本攻击(Cross Site Scripting), 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 xss 的危害 XSS攻击的危害 这些危害包括但不局限于∶盗取管理员或普通用户cookie、session ; 读取、篡改、添加、删除敏感数据; 网站挂马; 非法转账; 控制受害者机器向其它网站发起攻击 xss 的三种类型 反射型XSS: 只是简单地把用户输入的数据反射给浏览器,黑
Java - 什么是XSS攻击?什么是SQL注入攻击?什么是CSRF攻击?
热门推荐
了解➔熟悉➔掌握➔精通
03-21 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请点击http://www.captainbed.net - XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。跨站脚本攻击有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论...
SpringBoot集成Hutool防止XSS攻击实现
Wcybaonier
04-14 821
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override@Override//先进行转义在把请求返回@Override。
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1447
SpringBoot集成Hutool、mica防止XSS攻击实现
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1075
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
实战项目如何抵御即跨站脚本(XSS)攻击
一生烟雨的博客
12-04 1421
实战项目如何抵御即跨站脚本(XSS)攻击
web安全之XSS攻击原理及防范
weixin_43964148的博客
06-22 2718
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nHwrCkXL-1592795850369)(https://static01.imgkr.com/temp/e31bf9555c2e44eeb535ca5ad63dda63.png)] 一:什么是XSS攻击XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面
CSP是如何抵御XSS攻击
05-23
具体地,CSP可以通过以下方式来抵御XSS攻击: 1. 限制可信来源:CSP可以限制页面中可以加载的资源来源,只允许从指定的域名加载资源。这样可以减少恶意脚本的注入和执行。 2. 禁止内联脚本:CSP可以禁止在HTML中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值