全局处理请求参数,防止HTML和XSS攻击

最新推荐文章于 2024-08-14 18:01:26 发布
最新推荐文章于 2024-08-14 18:01:26 发布
阅读量427 收藏
点赞数 15
分类专栏: 面试 文章标签: html xss java springboot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54059439/article/details/139206567
版权
  1. 创建一个过滤器
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化配置
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        XSSRequestWrapper xssRequestWrapper = new XSSRequestWrapper(httpRequest);
        chain.doFilter(xssRequestWrapper, response);
    }

    @Override
    public void destroy() {
        // 资源清理
    }
}
  1. 创建一个请求包装类
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.text.StringEscapeUtils;

import java.util.HashMap;
import java.util.Map;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = sanitize(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return sanitize(value);
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map = super.getParameterMap();
        Map<String, String[]> sanitizedMap = new HashMap<>();

        for (Map.Entry<String, String[]> entry : map.entrySet()) {
            String[] values = entry.getValue();
            int count = values.length;
            String[] sanitizedValues = new String[count];
            for (int i = 0; i < count; i++) {
                sanitizedValues[i] = sanitize(values[i]);
            }
            sanitizedMap.put(entry.getKey(), sanitizedValues);
        }
        return sanitizedMap;
    }

    private String sanitize(String input) {
        return StringEscapeUtils.escapeHtml4(input);
    }
}
  1. 注册过滤器
    web.xml中注册过滤器,或在Spring Boot中使用配置类注册过滤器。

web.xml

<filter>
    <filter-name>xssFilter</filter-name>
    <filter-class>com.example.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

在Spring Boot中

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean<XSSFilter> xssFilterRegistrationBean() {
        FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new XSSFilter());
        registrationBean.addUrlPatterns("/*");
        return registrationBean;
    }
}

以上代码实现了一个基本的XSS防护过滤器,它会对所有进入的请求参数进行HTML转义,从而防止HTML和XSS攻击。

小语咒
关注
  • 15
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
java接口防止XSS攻击的常用方法总结
热门推荐
分享传递价值
08-16 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻...
spring boot 2.x解决反射性xss
虫二
07-22 1863
spring boot 2.x解决反射性xss
Web Api全局Xss攻击
weixin_30266885的博客
07-25 843
本文转载自https://www.cnblogs.com/ruanyifeng/p/4739807.html。对第二种过滤方法的代码进行了一些修改和注释,记录一下免得以后忘了。已经测试过,应该可以直接复制到项目中直接使用了。 通过了解Web Api的pipeline机制(管道机制),发现可以在两个地方进行参数的过滤 重写DelegatingHandler的SendAsync方法进行过...
PHP中Http协议post请求参数
12-19
在PHP中,HTTP协议的POST请求参数主要用于向服务器发送数据,这种请求方式通常用于提交表单数据、上传文件等场景,因为POST...在实际应用中,还需要注意安全性问题,比如防止SQL注入XSS攻击等,确保数据的安全传输。
JSP使用过滤器防止Xss漏洞
10-17
Java Web应用中,Servlet过滤器提供了一种在请求到达目标Servlet之前对其进行拦截和处理的方式。我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
Flash XSS漏洞挖掘1
08-03
Flash XSS的危害与传统的Web XSS类似,主要包括:跨站脚本攻击、跨站请求伪造和内容欺骗。这些漏洞可能导致用户数据泄露、恶意代码执行和网站功能被滥用。 2. 漏洞分析需求 在进行分析之前,我们需要准备相应的...
Vue中的高频内置指令:v-text、v-html、v-cloak、v-once、v-pre
PleaSure乐事的博客
08-11 940
Vue——v-text、v-html、v-cloak、v-once、v-pre指令
前端(HTML + CSS)小兔鲜儿项目(仿)
li3123537691的博客
08-09 679
这是一个简单的商城网站,代码部分为HTML + CSS 和少量JS代码。
【网络安全学习】XSS跨站脚本漏洞01:基础介绍
Zane的博客
08-14 586
XSS跨站脚本漏洞基础介绍
javaweb)请求响应postman
2301_79144798的博客
08-08 528
1.Tomcat又称为servlet容器前端浏览器发起请求携带http请求数据,web服务器负责请求协议的解析,Tomcat接收请求数据,并对请求数据进行解析。Tomcat将解析后所有的信息封装到一个对象当中:HttpServletRequest(请求对象)---应用程序从中获取请求数据。HttpServletResponse--通过这个对象设置要响应的数据 --响应信息给浏览器浏览器--服务器::BS架构(通过浏览器能访问到的网站:京东 淘宝 天猫 唯品会都是BS架构)
SpringBoot快速入门(手动创建)
m0_74124657的博客
08-11 499
代码如下//引导类项目的入口//注解添加导入进来你可以浏览器中查看自己编写的代码,看是否正确localhost:你命名的端口号(默认是8080。后面你也可以在配置文件修改)
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 533
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
集合(1)
supercool7的博客
08-12 796
表示不同的类型集合,Collection、Map、List、Set、Queue、Deque等,以及辅助性质的接口Iterator、LinkIterator、Comparator、Comparable这些接口是为迭代和比较元素而准备。对接口的具体实现,主要常用的有:ArrayList、LinkedList、HashMap、HashSet、TreeMap等等。理解Java集合体系可以从三个层次:最上层的接口、中间的抽象类、最后的实现类。是所有集合框架的根接口,包含了对集合进行基本操作的方法。
构造方法,JavaBean,对象内存图,基础数据类型和引用数据类型
最新发布
qq_63126439的博客
08-14 208
栈内存处理完数据之后会退出,指向推内存的箭头都会消失,当没有人指向他的时候,堆内存中的数据也会被移除。带参构造方法和无参数构造方法,两者方法名相同,但参数不同,这叫做构造方法的重载。方法区,新增元空间,把原来的方法区的多种功能进行了拆分。创造对象的时候,虚拟机会自动调用构造方法,作用是给成员变量进行初始化的。只要是看见new就会在堆内存创建新的空间,两个空间是独立的,互不影响。基础数据类型,在变量当中存储真实的数据值,和其他空间没有任何关系。使用其他空间的数值,自己的空间存储的是地址值。
安卓Android & JAVA校招/实习面试合集:多线程、强软弱虚引用、进程、内存管理、Activity、Fragment......
qq_41915623的博客
08-10 512
安卓Android、java面试资料合集:内存管理、多线程、进程、强软弱虚应用、Activity
Java:继承,this,super
m0_75257168的博客
08-10 410
可以同名,但参数列表不能相同(有参无参构造)
PHP安全开发:范存储型XSS漏洞策略
以下是一些防止存储型XSS攻击的策略: 1. **数据过滤和转义**:在将用户输入存储到数据库之前,应使用函数如`htmlspecialchars()`对敏感数据进行转义,确保特殊字符如`、`>`、`"`等不会被解释为HTML标签。 2. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值