XSS攻击过滤器

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量553 收藏 1
点赞数
分类专栏: 集成配置 文章标签: XSS过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sharpcool/article/details/70184324
版权 

import java.io.InputStream;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

public class XssRequestWrapper extends HttpServletRequestWrapper {

	public XssRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	private static Policy policy = null;

	static {
		// String path =
		// URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";
//		String path
//		 =XssRequestWrapper.class.getClassLoader().getResource("antisamy-config.xml").getFile();
		// System.out.println("policy_filepath:"+path);
		InputStream is = XssRequestWrapper.class.getClassLoader()
				.getResourceAsStream("antisamy-config.xml");
//		 if(path.startsWith("file")){
//		 path = path.substring(6);
//		 }
		try {
			policy = Policy.getInstance(is);
		} catch (PolicyException e) {
			e.printStackTrace();
		}
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public Map<String,String[]> getParameterMap(){
		Map<String,String[]> request_map = super.getParameterMap();
		Iterator iterator = request_map.entrySet().iterator();
		while(iterator.hasNext()){
			Map.Entry me = (Map.Entry)iterator.next();
			//System.out.println(me.getKey()+":");
			String[] values = (String[])me.getValue();
			for(int i = 0 ; i < values.length ; i++){
//				System.out.println(values[i]);
				values[i] = xssClean(values[i]);
			}
		}
		return request_map;
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public String getParameter(String name) {
		String v = super.getParameter(name);
		if (v == null)
			return null;
		return xssClean(v);
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public String[] getParameterValues(String name) {
		String[] v = super.getParameterValues(name);
		if (v == null || v.length == 0)
			return v;
		for (int i = 0; i < v.length; i++) {
			v[i] = xssClean(v[i]);
		}
		return v;
	}

	private String xssClean(String value) {
		AntiSamy antiSamy = new AntiSamy();
		try {
			// CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
			final CleanResults cr = antiSamy.scan(value, policy);
			// 安全的HTML输出
			// return cr.getCleanHTML();
//			String str = StringEscapeUtils.escapeHtml4(cr.getCleanHTML());
//			str.replaceAll((antiSamy.scan(" ", policy)).getCleanHTML(), "");
			String str = cr.getCleanHTML();
			return str;
		} catch (ScanException e) {
			e.printStackTrace();
		} catch (PolicyException e) {
			e.printStackTrace();
		}
		return value;
	}
}




import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {  
    
	@SuppressWarnings("unused")
	  private FilterConfig filterConfig;
	  public void destroy() {
	    this.filterConfig = null;
	  }
	  public void doFilter(ServletRequest request, ServletResponse response,
	      FilterChain chain) throws IOException, ServletException {
	    chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
	  }
	  public void init(FilterConfig filterConfig) throws ServletException {
	    this.filterConfig = filterConfig;
	  }	
      
      
}













坏小福
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
antisamy.jar
05-13
org.owasp.validator.html.AntiSamy;org.owasp.validator.html.Policy;
antisamy的jar包
03-21
xssFilter所需的jar包
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
asp-xss-filter:ASP-XSS-过滤器
06-30
asp-xss-filter This is classical ASP, not ASP.NET!!!! 这是经典ASP,不是ASP.NET!!!! Transplanted from (由项目移植) Although it is written by JScript, but can also be used in VBScript.(虽然它是由JScript写的,但是在VBScript里也可以正常调用。) Install In Windows, run build.vbs, then you will get 2 files in dist. Copy the file that you need to your projects, then include it. 在Windows下,双击build.vbs,然后你会在dist目录里得到两个文件。复制你需要的文件到你的项目内,引用即
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS攻击防御解决方案。
XSS跨站攻击解决办法--AntiSamy的配置及使用
flying_pig1989的博客
01-24 4124
XSS跨站攻击         跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1168
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
JAVA实现XML攻击——过滤恶意脚本
weixin_43303023的博客
06-21 216
package test01; import org.owasp.validator.html.AntiSamy; import org.owasp.validator.html.Policy; public class Demo1 { public static void main(String[] args) { // TODO Auto-generated method stub String temp="HelloWorld<img src='null' οnerrοr='ale
WEB解决跨站脚本攻击过滤器
riapgypm的专栏
11-07 4936
使用antisamy来过滤参数值,过滤到可疑的html及script标签, 过滤器XSSFilter源码如下; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import
xss (跨站脚本攻击) 解决方案之 antisamy
小戈的播客
05-18 2725
问题原因:对网站用户提交的数据(请求数据)未做处理。 XXS原理分析参考:http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接 解决方案:引入开源antisamy框架 解决过程: 1.导入依赖 maven依赖: dependencies>     dependency>     groupId>o
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
工作实战之xss攻击防范
zengliangxi的专栏
02-24 1054
跨站脚本攻击(全称Cross Site Scripting,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的,知其原理才能知道解决方法,但是如果过滤不全,也可能被绕过。
java.lang.AbstractMethodError: org.hibernate.validator.internal.engine.ConfigurationImpl.getDefaultP
jackllvv的博客
09-20 6187
问题 org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'requestMappingHandlerAdapter' defined in class path resource [org/springframework/web/servlet/config/annotati...
XSS攻击及AntiSamy防御
有一只柴犬的专栏
10-20 927
什么是xss xss:跨站脚本攻击(Cross Site Scripting),因为跟样式css混淆,所以习惯缩写为xss。通过一些方法注入恶意指令代码到网页,使其加载并执行攻击者恶意的网页程序。 xss类型 1、反射型xss:通过get或者post等方式,向服务端输入数据。如果服务端不进行处理(过滤,验证,编码等),直接将信息呈现出来,可能会造成反射型xss。 2、存储型xss:服务端对注入的恶意脚本没有经过验证存入数据库,每次调用数据库都会将其渲染在浏览器上。则可能为存储型xss。 AntiSamy防御
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1679
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamy上 xss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
过滤器防止xss攻击
yizhousai0662的博客
09-01 938
将参数中有关xss攻击的非法字符全部处理掉。
多图表实现员工满意度调查数据分析python
最新发布
04-22
员工满意度是指员工对于工作环境、待遇、职业发展和组织管理等方面的满意程度。它是衡量员工对工作的整体感受和情绪状态的重要指标。
springboot XSS过滤器代码实现
06-01
以下是一个简单的Spring Boot XSS过滤器的代码实现: 1. 创建一个名为XSSFilter的Java类,并实现javax.servlet.Filter接口。 ```java @Component public class XSSFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } // ... } ``` 2. 创建一个名为XSSRequestWrapper的Java类,该类继承HttpServletRequestWrapper类,并覆盖getParameter()方法以过滤请求参数中的HTML和JavaScript代码。 ```java public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = cleanXSS(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return cleanXSS(value); } private String cleanXSS(String value) { // 过滤HTML和JavaScript代码 return Jsoup.clean(value, Whitelist.basic()); } } ``` 在上面的示例中,使用了Jsoup库的clean方法来过滤HTML和JavaScript代码,并使用Whitelist.basic()方法配置了基本的白名单。 3. 将过滤器注册到Spring Boot应用程序中,并将其应用于需要防止XSS攻击的URL路径。 ```java @Configuration public class WebConfig implements WebMvcConfigurer { @Autowired private XSSFilter xssFilter; @Override public void addInterceptors(InterceptorRegistry registry) { registry.addInterceptor(xssFilter).addPathPatterns("/secure/*"); } } ``` 在上面的示例中,XSS过滤器被应用于/secure/*路径下的所有请求。您可以根据需要更改路径。 这是一个简单的XSS过滤器的实现,您可以根据自己的需求进行扩展和定制化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值