Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper

最新推荐文章于 2024-07-31 12:18:55 发布
最新推荐文章于 2024-07-31 12:18:55 发布
阅读量2.5k 收藏 64
点赞数 11
分类专栏: 架构师 网站架构 java工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010460625/article/details/109007910
版权

前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。

package com.yl.filter;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.springframework.beans.factory.parsing.ReaderEventListener;


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    boolean isUpData = false;//判断是否是上传 上传忽略
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        String contentType = servletRequest.getContentType ();
        if (null != contentType)
            isUpData =contentType.startsWith ("multipart");
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values==null)  {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 获取request的属性时,做xss过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (null != value && value instanceof String) {
            value = cleanXSS((String) value);
        }
        return value;
    }

    @Override
    public String getHeader(String name) {

        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private  static  String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }


    @Override
    public ServletInputStream getInputStream () throws IOException {
        if (isUpData){
            return super.getInputStream ();
        }else{

            final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    return bais.read();
                }

                public boolean isFinished() {
                    return false;
                }

                public boolean isReady() {
                    return false;
                }

                public void setReadListener(ReaderEventListener readListener) { }
            };
      }

    }
    public   String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader (servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  cleanXSS(sb.toString ());
    }
}

 注意: 标注有上传的地方一定要注意,不能省略掉,否则上传就会有问题,我们当初处理xss攻击时候,忘记管上传了,结果后期在上线阶段上传文件不起作用。

总结:

主要是使用Java Web的过滤器,将所有的request请求参数修改(主要是把存在xss风险的标签转义,如:<script></script>),在转义时我没有自己实现替换与转义,是直接使用的spring自带的HtmlUtils类的htmlEscape方法转义的,方便很多

 

 

 

本人录制了一下智慧消防物联网方面的课程,希望对大家有帮助,需要的可以点击。

立即点击学习 :智慧消防解决方案 

hanchufeng2020
关注
专栏目录
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1585
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 512
为什么80%的码农都做不了架构师?>>> ...
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
五分钟带你了解XSS攻击
最新发布
ORANGE_3iING的博客
07-31 911
跨站脚本攻击XSS) 是一种,它允许攻击者。此代码由用户执行,让攻击者并冒充用户。如果 Web 应用程序没有采用足够的,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信的,因此允许其访问任何 Cookie、会话令牌或其他特定于站点的敏感信息,或者让恶意脚本重写 HTML 内容。
java xss过滤器_JavaWeb实现XSS过滤器
weixin_34245171的博客
02-13 883
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentE...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
Web开发中,XSS(Cross Site Scripting)攻击是一种常见的安全漏洞,它允许攻击者在用户的浏览器上执行恶意脚本。JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
Java编写Filter实现防止XSS攻击
Charygus的博客
08-23 1276
什么是XSS攻击 XSS攻击 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。(摘自百度百科) SQL注入: SQL注入指的是发生在Web应用对后台数据...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2633
java防止XSS攻击
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7777
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
java xssfilter_java 防止xss攻击 通过filter的方法 | 学步园
weixin_39775428的博客
02-16 330
http://breezylee.iteye.com/blog/2063615注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致HttpServletRequestWrapper里取不到表单里的内容关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/...
配置过滤器filter对跨站脚本攻击XSS实现拦截
Welcom to zougangx's blog
11-21 7664
1.web.xml中配置filter [html] view plain copy filter>       filter-name>XssFilterfilter-name>       filter-class>com.wk.util.XssFilterfilter-class>   filter>   filter-mapping
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hanchufeng2020

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值