Java防止跨站点脚本编制(XSS)注入攻击

最新推荐文章于 2024-05-30 16:17:06 发布
最新推荐文章于 2024-05-30 16:17:06 发布
阅读量1.1k 收藏 4
点赞数
文章标签: 跨站点脚本编制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuai283565300/article/details/102571407
版权

过滤xss攻击源码

package com.assp.framework.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.wsx.assp.framework.util.XSSRequestWrapper;

public class ScriptFilter implements Filter {
	
	public void destroy() {
		
	}

	public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		String url = req.getServletPath(); 
		if("/sys/news/insertOrUpdateNews.shtml".equals(url) || "/sys/news/insertOrUpdateLockNews.shtml".equals(url) || "/sys/rgyRule/modifyRgyRule.shtml".equals(url) || "/sys/rgyRule/insertRgyRule.shtml".equals(url)){
			chain.doFilter(request , response); 
		}else{
			chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); 
		}
	}

	public void init(FilterConfig filterConfig) throws ServletException {
		
	}
	
}

 

package com.assp.framework.util;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {
	
	public XSSRequestWrapper(HttpServletRequest servletRequest) {  
        super(servletRequest);  
    }  
  
    @Override  
    public String[] getParameterValues(String parameter) {  
        String[] values = super.getParameterValues(parameter);  
  
        if (values == null) {  
            return null;  
        }  
  
        int count = values.length;  
        String[] encodedValues = new String[count];  
        for (int i = 0; i < count; i++) {  
            encodedValues[i] = stripXSS(values[i]);    
        }  
  
        return encodedValues;  
    }  
  
    @Override  
    public String getParameter(String parameter) {  
        String value = super.getParameter(parameter);  
  
        return stripXSS(value);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        String value = super.getHeader(name);  
        return stripXSS(value);  
    }  
  
    private String stripXSS(String value) {  
        if (value != null) {  
        	
            // Avoid null characters  
            value = value.replaceAll("", "");  
  
            // Avoid anything between script tags  
            value = filterXss(value,"<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
  
            // Avoid anything in a src='...' type of expression  
            value = filterXss(value,"src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  
            // Remove any lonesome </script> tag  
            value = filterXss(value,"</script>", Pattern.CASE_INSENSITIVE);  
            
            // Remove any lonesome <script ...> tag  
            value = filterXss(value,"<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  
            // Avoid eval(...) expressions  
            value = filterXss(value,"eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  
            // Avoid expression(...) expressions  
            value = filterXss(value,"expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  
            // Avoid javascript:... expressions  
            value = filterXss(value,"javascript:", Pattern.CASE_INSENSITIVE);  
  
            // Avoid vbscript:... expressions  
            value = filterXss(value,"vbscript:", Pattern.CASE_INSENSITIVE);  
  
            // Avoid onload= expressions  
            value = filterXss(value,"onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            
            // Avoid alert(...) expressions  
            value = filterXss(value,"alert\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            // Avoid <img ...> expressions  
            value = filterXss(value,"<img(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            // Avoid onMouseOver expressions  
            value = filterXss(value,"onMouseOver", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            
        }  
        return value;  
    }  
    
    /***
     * 循环匹配符合条件的特殊字符,如果存在则过滤为空。
     * <p>方法详述(简单方法可不必详述)。</p>
     * @param value
     * @param regex
     * @param flags
     * @return
     */
    private String filterXss(String value,String regex,int flags){
    	Pattern scriptPattern = Pattern.compile(regex, flags);  
    	Matcher matcher = scriptPattern.matcher(value); 
    	while (matcher.find()) {
    		System.out.println(value);
    		value = matcher.replaceAll("");
    		matcher = scriptPattern.matcher(value);
		}
    	return value;
    }
}

 

NoPictureSayGeJb
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java站点脚本编制解决方案_阿里云ECS地域整站容灾操作指南
weixin_34363294的博客
12-11 261
一、 概述混合云容灾服务(HDR)是阿里云提供的低成本高性能业务连续性保障的服务,可以为企业内部关键应用,互联网应用,乃至Hadoop大数据集群提供容灾服务。其中的连续复制型(CDR)基于磁盘数据连续复制技术,可以为企业关键业务提供低至秒级RPO,分钟级RTO的容灾服务,极大缩短业务宕机时间,减少数据丢失损失。其一键演练,全链路监控,自动化运维等功能更是解决了传统容灾服务操作难,验证难,维护难的问...
站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
java 站点脚本编制,Java防止站点脚本的最佳实践
weixin_29268331的博客
02-16 142
I have gone through the OWASP top ten vulnerabilities and found that Cross-Site Scripting is the one we have to take notes. There was few way recommended solutions. One has stated that Do not use "bla...
脚本XSS)综合指南
最新发布
白帽子凯哥聊黑客
05-30 1441
动态 Web 应用程序基于三个支柱:定义其完整结构的 HTML,描述其外观的 CSS,以及添加强大功能(如警报、滚动效果和下拉菜单)的 JavaScript。因此,JavaScript 是 Internet 上的基本编程语言,被认为是最流行的脚本语言之一,因为大约 93% 的网站都由 Javascript 提供支持。这是由于它的一些功能,例如:容易学习。它有助于构建交互式WEB应用程序。是唯一可以被浏览器解释的编程语言,即浏览器运行它,而不是显示它。它是灵活的,它能够与 HTML 代码“混合”。
XSS脚本攻击Java开发中防范的方法
01-09
XSS脚本攻击Java开发中防范的方法
站点脚本(xss)_站点脚本XSS)和预防
最佳 Java 编程
06-03 231
站点脚本(xss) 如OWASP网站(https://www.owasp.org/index.php/Cross-site_Scripting_(XSS))所述,站点脚本XSS攻击的变种几乎是无限的。 在这里,我建议使用基于Servlet筛选器的解决方案来清理HTTP请求。 攻击 让我们看看XSS攻击如何表现出来。 附件是一个过于简化的portlet,它显示了一个场景,该...
解析如何防止XSS脚本攻击
01-31
这些规则适用于所有不同类别的XSS脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
xss站点脚本编制漏洞/antisamy策略过滤
09-07
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Java防止xss攻击附相关文件下载
08-25
XSS脚本攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意代码,影响其他用户的浏览器。以下是一些关于Java防止XSS攻击的关键知识点: 1. **使用Filter拦截器**: 在Java Web...
anti-xss:AntiAntiXSS | 通过PHP防止站点脚本XSS
05-02
:Japanese_secret_button: 反XSS站点脚本XSS)是一种通常... 阅读此文本-> XSS站点脚本)预防备忘单测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装composer require voku/anti-xss 用法:
站点脚本编制 解决方案( IBM)
收集盒 Book box
11-21 3992
站点脚本编制 修订建议 一般 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符
说说脚本
09-15
说说脚本
站点脚本编写综合教程
aboutmn的博客
08-28 1013
第一部分:概述 什么是XSS站点脚本XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
常用解决脚本XSS) 和 代码注入思路
budongfengqing的博客
08-09 755
常用解决脚本和代码注入思路
站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
AppScan扫描安全问题解决实录-站点脚本编制
yaovirus的专栏
05-15 1796
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
站点脚本编制
Angelo Lee's Blog
03-14 1875
站点脚本编制攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。 这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是
java站点脚本编制_脚本编制漏洞
weixin_39957318的博客
02-26 275
我在jsp页面传人一个参数到后台,便于后台代码标记,根据这个标记进行执行不同的方法,然后把这个标记返回到页面;这个标记就要进行验证,放在被***;如:解决办法:jsp:if(status == 0){ //待支付$("#tab_0").load("/detailsOfFunds.do?details&type="+status+"& direction="+$("...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值