java第三课-如何防御XSS攻击与防止抓包篡改数据

最新推荐文章于 2024-05-11 05:59:33 发布
最新推荐文章于 2024-05-11 05:59:33 发布
阅读量2.2k 收藏 2
点赞数 2
分类专栏: java架构师成长之路 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shixiezhilong/article/details/108190482
版权

  这次学习的是接口方面的安全问题,对于日常工作比较契合,首先是XSS攻击和接口参数篡改,常见的是在问题提交中加入HTML的代码或者脚本进行操作。抓包和篡改主要是通过抓包工具fiddler对接口参数进行请求拦截和参数篡改。

  对于XSS攻击的防御有很多种,这种算是比较容易的。

  1.   前端对提交的文本内容可以进行过滤以及转义。
  2.   后端通过拦截器或过滤器对请求参数进行标签转义或直接使用框架提供的API(StringEscapeUtils.escapeHtml4(value))进行过滤。

   抓包和篡改的话一般也有几种常用的方法防御:

  1.   请求参数的加密,通过非对称加密RSA,客户端使用公钥加密,服务端使用私钥解密。
  2.   请求参数增加签名字段,通过MD5对参数拼接之后在最后加密秘钥进行MD5然后再请求。服务端获取参数后对参数进行加密校验签名。MD5是不可逆的,网上的MD5解密都是属于暴力破解,属于大量收集明文加密后的字符串,然后进行比对破解。所以对于MD5的加密一般复杂一点比较好。
  3. 对请求接口增加白名单和黑名单,甚至可以对某些短时间频繁请求的IP进行限制等等。
梓龙的博客
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java语言实现抓包
06-12
本程序可以抓取ip,arp,tcp,udp,icmp协议的包,同时可以检测上网网速,上网流量,抓包数等等
前后端分离后API交互如何保证数据安全性?
Java后端技术
06-08 4万+
作者:尹吉欢来源:微信公众号-猿天地一、前言前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是...
2024年最全如何解决APP抓包问题【网络安全】_app 防止抓包,2024年最新当上项目经理才知道
最新发布
2401_84544914的博客
05-11 1158
以上两种方法都是仅依靠了系统校验证书的方式进行抓包,APP在整个请求HTTPS的请求过程时还并未进行证书校验,和在普通的浏览器中访问并无区别,只是要将想要被信任的证书放入系统证书路径内。
API接口如何防止参数被篡改和重放攻击?
码猿技术专栏
01-29 2762
点击上方☝码猿技术专栏轻松关注,设为星标!及时获取有趣有料的技术作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
基于java的网络抓包方法
热门推荐
09-22 5万+
一、实验内容描述本实验是用java实现的网络抓包程序,在windows环境下安装winpcap4.0和jpcap6.0后,下载eclipse和jigloo插件(一种在eclipse底下作图形化开发的工具),将其安装好,然后就可以进行java的网络抓包图形化开发了。二、原理与关键技术2.1 网络抓包技术原理网络层上有各种各样的数据包,它们以不同的帧格式在网络层上进行传输,但是在传输时
java抓包_iapp防止抓包代码
weixin_32226023的博客
02-26 2132
用iapp制作互赞软件的时候经常被别人抓包api导致亏损,利用以下代码即可防止抓包,加入载事件即可。代码如下:s zt = falsejava(nis,null,"java.net.NetworkInterface.getNetworkInterfaces")f(nis != null){java(list,null,"java.util.Collections.list","java.util....
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
Web安全之XSS攻击防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
今天小编就为大家分享一篇关于PHP如何防止XSS攻击XSS攻击原理的讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
防止XSS攻击xssProtect用到的jar包
11-04
这个主题中提到的三个jar包——antlr-3.0.1.jar、antlr-runtime-3.0.1.jar和xssProtect-0.1.jar,都是与防止XSS攻击相关的组件。 首先,`antlr-3.0.1.jar`是ANTLR(ANother Tool for Language Recognition)的一个...
Java抓包程序实现(附说明文档)
04-27
压缩包内包含了Java抓包用到到两个重要的软件,winpcap和jpcap,可以直接安装使用,本人亲测,windows 7环境下完美运行,JDK用的是1.7,需要配置下jpcap.dll到JDK的bin目录下。 另外还包含了一个Java程序(参考了网上的代码),Eclipse项目,已导入相关类库,可以直接导入Eclipse运行。包括两个主函数,不带界面的com.neu.jpcap.test.Main和带UI的com.ui.test.JFrameMain,均可以直接运行。
禁止抓包教程
m0_74902849的博客
03-10 427
tw("发现抓包应用,请卸载再使用本软件")
如何防止别人用抓包工具篡改接口参数?
weixin_30642029的博客
08-01 2315
1,案例 1 分钱买带电脑。购买电脑,在调用支付接口之前,利用类似Fiddler等抓包工具,定位到支付接口,将参数(金额)修改为0.01元。结果是:电脑购买成功,一个月之后成功入狱。 2,怎么避免让别人用抓包工具修改参数呢? 基于token 方式隐藏参数。 3,代码实现 @RestController public class PayController...
java实现http/https抓包拦截
水中加点糖
11-11 1万+
最近在调试一个项目时常常需要对接口进行抓包查看,接口位于微信的公众号内,目前每次调试时都是用的 fiddler进行抓包查看的。但每次打开fiddler去查看对应的接口并找到对应的参数感觉还是有点复杂,正好今天是周末,打算自己来研究下它的原理并自己通过java来写一个(之所以知道java可以实现这个功能是因为著名的web安全检测工具 burpsuite就是用java写的) 分析 在使用f...
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2261
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
java aes加密_springboot.X手册:防抓包?快速实现API接口数据加密
weixin_39540023的博客
12-02 194
本文同名博客老炮说Java:https://www.laopaojava.com/,每天更新Spring/SpringMvc/SpringBoot/实战项目等文章资料顺便再给大家推荐一套SpringCloud微服务教程,方便学习:SpringCloud微服务电商项目教程 - 老炮说Java-程序员编程资料和编程经验分享平台​www.laopaojava.com教程主要包含下面内容:有没有遇到这样子...
前后端API交互如何保证数据安全性?
weixin_34009794的博客
06-04 7202
前言 前后端分离的开发方式,我们以接口为标准来进行推动,定义好接口,各自开发自己的功能,最后进行联调整合。无论是开发原生的APP还是webapp还是PC端的软件,只要是前后端分离的模式,就避免不了调用后端提供的接口来进行业务交互。 网页或者app,只要抓下包就可以清楚的知道这个请求获取到的数据,这样的接口对爬虫工程师来说是一种福音,要抓你的数据简直轻而易举。 数据的安全性非常重要,特别是用户相关的...
防止数据抓包窃取
weixin_44969136的博客
09-20 1385
简述:当用户登录时,恶意gj者可以用抓包工具可以拿到用户提交的表单信息,可以获取用户的账号密码,进而可以恶意访问网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值