为了应对 Xss 跨站脚本攻击,新增 XssFilter 统一处理实践

最新推荐文章于 2024-05-29 16:00:24 发布
最新推荐文章于 2024-05-29 16:00:24 发布
阅读量377 收藏
点赞数
分类专栏: java OA 文章标签: 应用软件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starzxf/article/details/102972612
版权
java 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
OA
2 篇文章 0 订阅
订阅专栏

问题背景:

1、早期的软件产品,使用 spring mvc 

2、jsp form 表单中要传附件,同时有 input 字段要提交,因此表单 encType 必须是 multipart/form-data, action="POST"

问题:

1、按照流转很广的方式 ,新建 XssFilterServletRequestWrapper extends HttpServletRequestWrapper, XssFilter 中 dofilter 方法中  HttpServletRequest req = (HttpServletRequest) request; 对  ServletRequest 参数进行强制类型转换,然后 

XssFilterServletRequestWrapper wrapper = new XssFilterServletRequestWrapper(req);
chain.doFilter(wrapper, response);

结果, XssFilterServletRequestWrapper 中的  getParameter  getParameterValues 方法中取不到表单中的 参数值

原因: multipart/form-data 提交到 servlet 的数据格式不是 key/value 格式,是流的格式,所以 getParameter  取不到值

解决: 

1、可以用smartupload 解析 form 提交的流数据

2、高级一点的,用 spring 造好的轮子 MultipartHttpServletRequest 接口来处理,MultipartHttpServletRequest 继续了  javax.servlet.http.HttpServletRequest 接口 和 org.springframework.web.multipart.MultipartRequest 接口,关键代码如下:

 HttpServletRequest req = (HttpServletRequest) request;

MultipartHttpServletRequest multiReq = multipartResolver.resolveMultipart(req);

XssFilterServletRequestWrapper wrapper = new XssFilterServletRequestWrapper(multiReq);

chain.doFilter(wrapper, response);

starzxf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
项目中如何对XSS统一处理
BASK2312的博客
03-29 263
则当用户打开页面时,就会弹出一个警告框,而这个警告框可以被恶意脚本所替代,例如读取cookies或者其他敏感信息等操作。XSS攻击是指攻击者利用网站中的漏洞,向页面中注入恶意脚本,从而获取用户的信息或者控制用户的计算机。某一些字段可能是需要支持富文本的,比如公告栏里的内容之类的。通过在参数中的字段上加上类似@Xss的注解,来表示这个字段是不允许输入XSS脚本的。举一个通俗的例子,早期使用JSP页面渲染页面的项目,如果将用户名改成。这是笔者关于Xss的全局统一处理的实现,如有不足欢迎大家评论指正。
统一处理用户提交的参数,防XSS攻击与SQL注入
qq_20094173的博客
05-25 599
package com.sf.membs.context; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletReque
Java Xss漏洞拦截
最新发布
chenqqabcdchenqqabcd的专栏
05-29 337
xss ,Java,filter
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 596
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4338
上传文件流防XSS
Spring MVC过滤form表单为"multipart/form-data"时遇到问题
A_Runner的博客
11-20 3555
“风不定,人初静,明月落红应满径” 起因 最初因为这样,我们系统被送去检测漏洞,发现了XSS攻击的漏洞。如下图: 在产品描述的地方写上一些JS脚本,我们系统的过滤器不会过滤掉这些脚本。于是,开始了下面的寻找真相过程。 寻找真相 首先,上图中的form表中属性为:<form id="XXX" method="post" enctype="multipart/form-data"
xss跨站脚本攻击-运维安全详细笔记
06-30
为了防御xss跨站脚本攻击,Web开发者需要采取以下措施: * 对用户提交的代码进行转义处理和过滤 * 使用输出编码 * 使用Content Security Policy(CSP)来限制网站的脚本执行 * 对网站的输入进行验证和过滤 * 使用...
XSS跨站脚本攻击剖析与防御.pdf
05-16
XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做...
XSS跨站脚本攻击
01-27
跨站脚本攻击XSS)是Web应用程序中常见的安全问题,主要源于开发人员未对用户提交的数据进行充分的过滤和转义。攻击者利用这一弱点,能够在网页中注入恶意脚本,使得其他用户在访问该页面时执行这些脚本,从而导致...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
XSS 存储漏洞修复
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
从HTTP的multipart/form-data分析看C#后台 HttpWebRequest文件上传
csnewdn的专栏
07-18 2018
在web请求中ContentType一直没有过多关注,也知道ContentType设置为application/x-www-from-urlencoded或multipart/form-data 后和接口层后台获取参数值有重要关系。但都没有稍深入研究,这次研究了一番,记录于此! 首先为何常见的web前端文件上传使用的是multipart/form-data 而非x-www-from-urlenc...
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 5022
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3921
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击。
Xss漏洞修复,表单的multiple导致无法进入拦截器,对表单进行拦截
qq_33243148的博客
03-28 653
package com.test.commom.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import ...
web前端网络安全:详解浏览器跨域访问的几种办法!
致力于C语言C++知识分享!
06-11 603
摘要:本文讨论web前端安全问题以及应对措施,浏览器同源策略以及对资源跨域访问的几种解决方案 今天说一说和前端相关的Web安全问题和开发过程中经常遇到的跨域问题。 1.1 XSS 基本原理 XSS (Cross-Site Scripting),跨站脚本攻击通过在用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。 攻击手段 攻击者往Web页面里插入恶意网页脚本代码,当用户浏览该页面时,嵌入Web页面里面的脚本代码会被执行,从而达到攻击者盗取用户信息或其他侵犯用户安...
项目里安全扫描出漏洞的各种解决方案(host攻击 跨站脚本攻击以及sql注入 重放攻击)
qq_42303467的博客
09-24 878
1 不安全的HTTP方法 检测到未禁用 OPTIONS 等 HTTP 方法 解决方式: 1.在web.xml中增加 <security-constraint> <web-resource-collection> <web-resource-name>dmsbSec</web-resource-name> <url-pattern>/*</url-pattern> <http-method>PUT<
全网完美地解决Content type ‘multipart/form-data;boundary=----------0467042;charset=UTF-8‘ not supported)的问题
热门推荐
念兮为美
12-09 3万+
全网完美解决Content type 'multipart/form-data;boundary=--------------------------036764477110441760467042;charset=UTF-8' not supported
PHP和Apache环境中部署xsslabs XSS跨站脚本攻击靶场教程
xsslabs是一个XSS跨站脚本攻击靶场工具,旨在帮助开发者和安全人员学习和检测XSS攻击。XSS攻击是一种常见的Web应用程序漏洞,攻击者可以通过inject恶意脚本来盗取用户cookie、劫持用户会话、修改页面内容等。 **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值