java 防止 XSS 攻击的常用方法总结

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量779 收藏 1
点赞数
分类专栏: 安全 Spring 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010081710/article/details/44565553
版权

过滤器拦截所有的请求对特殊字符进行转义。

import java.io.IOException;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import java.util.Map.Entry;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ContentFilter implements Filter{

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse,
			FilterChain chain) throws IOException, ServletException {
		System.out.println("进入到过滤器方法中.....");
		HttpServletRequest request =(HttpServletRequest)servletrequest;
		HttpServletResponse response =(HttpServletResponse)servletresponse;
		 //设置请求编码格式
		response.setContentType("text/html");
		response.setCharacterEncoding("UTF-8");
		request.setCharacterEncoding("UTF-8");
	    chain.doFilter(new MyRequestWrapper((HttpServletRequest) request), response);
		
	}	

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}
}
MyRequestWrapper.java 

import java.util.HashMap;
import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class MyRequestWrapper extends HttpServletRequestWrapper
{

	/**
	 * 规范化后请求参数map
	 */
	private Map<String, String[]> sanitized;
	/**
	 * 原始请求参数map
	 */
	private Map<String, String[]> orig;
	
	@SuppressWarnings("unchecked")
	public MyRequestWrapper(HttpServletRequest req) 
	{
		super(req);
		orig = req.getParameterMap();	
		sanitized = getParameterMap();
	}		

	@Override
	public String getParameter(String name) 
	{		
		String[] vals = getParameterMap().get(name); 
		if (vals != null && vals.length > 0) 
			return vals[0];
		else        
			return null;        
	}


	@SuppressWarnings("unchecked")
	@Override
	public Map<String, String[]> getParameterMap() 
	{	
		if (sanitized==null)
			sanitized = sanitizeParamMap(orig);
		return sanitized;			

	}

	@Override
	public String[] getParameterValues(String name)
	{	
		return getParameterMap().get(name);
	}


	/**
	 * 规范请求参数
	 * @param raw
	 * @return
	 */
	private  Map<String, String[]> sanitizeParamMap(Map<String, String[]> raw) 
	{		
		Map<String, String[]> res = new HashMap<String, String[]>();
		if (raw==null)
			return res;
	
		for (String key : (Set<String>) raw.keySet())
		{			
			String[] rawVals = raw.get(key);
			String[] snzVals = new String[rawVals.length];
			for (int i=0; i < rawVals.length; i++) 
			{
				//第一种方法
				//snzVals[i] = xssEncode(rawVals[i]);
				
				//第二种方法 (org.apache.commons.lang)
				snzVals[i]=StringEscapeUtils.escapeHtml(rawVals[i]);
				
				//第三种方法( Spring 的优秀工具类盘点)
				//import org.springframework.web.util.HtmlUtils;
				// String str1 = HtmlUtils.htmlEscape(specialStr); ①转换为HTML转义字符表示
			}
			res.put(key, snzVals);
		}			
		return res;
	}
	
	/**
	 * 将特殊字符替换为全角
	 * @param s
	 * @return
	 */
	private  String xssEncode(String s) {
		if (s == null || s.isEmpty()) {
			return s;
		}
		StringBuilder sb = new StringBuilder();
		for (int i = 0; i < s.length(); i++) {
			char c = s.charAt(i);
			switch (c) {
			case '*':
				sb.append('0');// 全角大于号
				break;
			case '<':
				sb.append('1');// 全角小于号
				break;
			case '\'':
				sb.append('2');// 全角单引号
				break;
			case '\"':
				sb.append('“');// 全角双引号
				break;
			case '&':
				sb.append('&');// 全角&
				break;
			case '\\':
				sb.append('\');// 全角斜线
				break;
			case '/':
				sb.append('/');// 全角斜线
				break;
			case '#':
				sb.append('#');// 全角井号
				break;
			case '(':
				sb.append('(');// 全角(号
				break;
			case ')':
				sb.append(')');// 全角)号
				break;
			default:
				sb.append(c);
				break;
			}
		}
		return sb.toString();
	}
}
. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.

StringEscapeUtils同时也提供了防止sql、js攻击的方法。

爱吃鱼油
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaxss攻击_浅谈如何防御xss攻击
weixin_35025310的博客
02-21 833
笔前闲聊最近都在写一些防守型文章,是因为笔者在最近的学习当发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。认识xss首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
Java的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5113
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7689
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
java防止xss攻击(过滤器)
meat_eating的博客
11-08 2974
java防止xss攻击
Java实现XSS防御
宏微的博客
07-25 2万+
XSS概述跨站脚本攻击(Cross Site Scripting)
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
javarequest对象各种方法的使用实例分析
09-03
注意,处理用户输入时需要进行数据验证和安全检查,例如防止SQL注入和XSS攻击。此外,request对象还提供其他方法,如`getHeader(String name)`获取HTTP头信息,`getLocale()`获取客户端的首选语言,`getSession()`...
java常用代码方法
08-31
这个`StringUtil`类提供了`trim`方法用于去除字符串两侧的空白字符,`replaceAll`方法用于全局替换字符串的指定字符,以及`escapeHtml`方法用于转义HTML特殊字符,防止XSS攻击总结Java编程处理数据验证和...
基于JAVA的安全电子商务.zip
03-26
7. **防止SQL注入和XSS攻击**:Java的预编译语句和参数化查询能有效防止SQL注入攻击。同时,对输入数据进行过滤和转义,以及使用Content Security Policy(CSP)可抵御跨站脚本(XSS)攻击。 8. **Spring Security...
Java 防止XSS攻击
qq_40224726的博客
01-02 205
防止XSS 攻击集成springboot(详细) https://blog.csdn.net/bnxf_xv/article/details/89187126 确实很详细记录一下,以前也写过方式方法不太一样,但是道理相同
如何防止XSS攻击
m0_49521873的博客
05-23 6332
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3006
跨站脚本攻击XSS)可以让攻击者在受害者的浏览器执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
XSS如何防范
qq_45803050的博客
11-27 8098
XSS如何防范 题意分析 在 Web 安全领域XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击
java 防止xss攻击
笨鸟快飞的专栏
10-27 3438
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
Java防止xss攻击
VicCreator
03-29 3764
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml XssEscape www.ablanxue.com.filter.XssFilter XssEscape /*
java XSS攻击防护
酷毙了耶的博客
05-28 1万+
首先说一下什么是XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面。 白话解释 说白了xss攻击就是jq代码攻击,用户提交的数据是jq代码,前台拿到数据库查出的jq代码,浏览器会...
java XSS防御
12-22
4. 使用安全的模板引擎:如果在项目使用了模板引擎,确保选择一个安全的模板引擎,该引擎能够自动对输出进行编码,以防止XSS攻击。 5. 使用HTTP头部设置:在HTTP响应设置适当的Content-Security-Policy(CSP)...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值