java 防止Xss、SQL注入攻击

最新推荐文章于 2024-06-29 03:26:13 发布
最新推荐文章于 2024-06-29 03:26:13 发布
阅读量1.4w 收藏 91
点赞数 33
分类专栏: xss java
“假装、她是个有灵魂的程序员”
本文链接:https://blog.csdn.net/u011663149/article/details/86528039
版权
java 同时被 2 个专栏收录
97 篇文章 2 订阅
订阅专栏
xss
1 篇文章 0 订阅
订阅专栏

前言:

1.XSS简介

跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。

  •  1.1.XSS攻击的危害

     1、盗取用户资料,比如:登录帐号、网银帐号等

     2、利用用户身份,读取、篡改、添加、删除企业敏感数据等

     3、盗窃企业重要的具有商业价值的资料

     4、非法转账

     5、强制发送电子邮件

     6、网站挂马

     7、控制受害者机器向其它网站发起攻击

  • 1.2.防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ,所以重点是要过滤用户提交的信息。

  •  将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了.
  •  只允许用户输入我们期望的数据。 例如:age用户年龄只允许用户输入数字,而数字之外的字符都过滤掉。
  •  对数据进行Html Encode 处理: 用户将数据提交上来的时候进行HTML编码,将相应的符号转换为实体名称再进行下一步的处理。
  •  过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < for <, > for >, &quot for
  •  过滤js事件的标签。例如 “οnclick=”, “onfocus” 等等。

 2.SQL注入简介

        SQL注入是比较常见的网络攻击方式之一,主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,实现无帐号登录,甚至篡改数据库。

  • 2.1SQL注入的危害

       1.数据库信息泄漏:数据库中存放的用户的隐私信息的泄露。

       2. 网页篡改:通过操作数据库对特定网页进行篡改。

       3. 数据库被恶意操作:数据库服务器被攻击

       4. 服务器被远程控制,被安装后门

       5. 删除和修改数据库信息

  • 2.2.防止SQL注入的方式

     通常情况下,SQL注入的位置包括:

    (1)表单提交,主要是POST请求,也包括GET请求;

    (2)URL参数提交,主要为GET请求参数;

    (3)Cookie参数提交;

    (4)HTTP请求头部的一些可修改的值,比如Referer、User_Agent等;

  • 2.3.防止SQL注入的解决方案

    (1)对用户的输入进行校验,使用正则表达式过滤传入的参数

   (2)使用参数化语句,不要拼接sql,也可以使用安全的存储过程

   (3)不要使用管理员权限的数据库连接,为每个应用使用权限有限的数据库连接

   (4)检查数据存储类型

   (5)重要的信息一定要加密

项目以SpringBoot项目为例的代码示例:

XssFilter:

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.List;

@Compent
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    private List<String> urlExclusion = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String servletPath = httpServletRequest.getServletPath();

        if (urlExclusion != null && urlExclusion.contains(servletPath)) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
        }
    }

    public List<String> getUrlExclusion() {
        return urlExclusion;
    }

    public void setUrlExclusion(List<String> urlExclusion) {
        this.urlExclusion = urlExclusion;
    }
}

XssHttpServletRequestWrapper:

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

        super(servletRequest);

    }

    public String[] getParameterValues(String parameter) {

        String[] values = super.getParameterValues(parameter);

        if (values == null) {

            return null;

        }

        int count = values.length;

        String[] encodedValues = new String[count];

        for (int i = 0; i < count; i++) {

            encodedValues[i] = cleanXSS(values[i]);

        }

        return encodedValues;

    }

    public String getParameter(String parameter) {

        String value = super.getParameter(parameter);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null)

            return null;

        return cleanXSS(value);

    }

    private String cleanXSS(String value) {

        //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

        value = value.replaceAll("'", "& #39;");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }


}

以上是其配置,在其拦截器或者过滤器对于某个请求进行Xss 和  Sql注入避免的操作:

GetRequest:

​
/**
     * 获取包装防Xss Sql注入的 HttpServletRequest
     * @return request
     */
    public static HttpServletRequest getRequest() {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
        return new WafRequestWrapper(request);
    }

​

WafRequestWrapper:

public class WafRequestWrapper extends HttpServletRequestWrapper {

	private boolean filterXSS = true;

	private boolean filterSQL = true;


	public WafRequestWrapper(HttpServletRequest request, boolean filterXSS, boolean filterSQL) {
		super(request);
		this.filterXSS = filterXSS;
		this.filterSQL = filterSQL;
	}


	public WafRequestWrapper(HttpServletRequest request) {
		this(request, true, true);
	}


	/**
	 * @Description 数组参数过滤
	 * @param parameter
	 * 				过滤参数
	 * @return
	 */
	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if ( values == null ) {
			return null;
		}

		int count = values.length;
		String[] encodedValues = new String[count];
		for ( int i = 0 ; i < count ; i++ ) {
			encodedValues[i] = filterParamString(values[i]);
		}

		return encodedValues;
	}

	@Override
	@SuppressWarnings({ "rawtypes", "unchecked" })
	public Map getParameterMap() {
		Map<String, String[]> primary = super.getParameterMap();
		Map<String, String[]> result = new HashMap<String, String[]>(primary.size());
		for ( Map.Entry<String, String[]> entry : primary.entrySet() ) {
			result.put(entry.getKey(), filterEntryString(entry.getValue()));
		}
		return result;

	}
	
	protected String[] filterEntryString(String[] rawValue) {
		for ( int i = 0 ; i < rawValue.length ; i++ ) {
			rawValue[i] = filterParamString(rawValue[i]);
		}
		return rawValue;
	}

	/**
	 * @Description 参数过滤
	 * @param parameter
	 * 				过滤参数
	 * @return
	 */
	@Override
	public String getParameter(String parameter) {
		return filterParamString(super.getParameter(parameter));
	}


	/**
	 * @Description 请求头过滤 
	 * @param name
	 * 				过滤内容
	 * @return
	 */
	@Override
	public String getHeader(String name) {
		return filterParamString(super.getHeader(name));
	}


	/**
	 * @Description Cookie内容过滤
	 * @return
	 */
	@Override
	public Cookie[] getCookies() {
		Cookie[] existingCookies = super.getCookies();
		if (existingCookies != null) {
			for (int i = 0 ; i < existingCookies.length ; ++i) {
				Cookie cookie = existingCookies[i];
				cookie.setValue(filterParamString(cookie.getValue()));
			}
		}
		return existingCookies;
	}

	/**
	 * @Description 过滤字符串内容
	 * @param rawValue
	 * 				待处理内容
	 * @return
	 */
	protected String filterParamString(String rawValue) {
		if (null == rawValue) {
			return null;
		}
		String tmpStr = rawValue;
		if (this.filterXSS) {
			tmpStr = stripXSS(rawValue);
		}
		if (this.filterSQL) {
			tmpStr = stripSqlInjection(tmpStr);
		}
		return tmpStr;
	}
	
	/**
	 * @Description 过滤XSS脚本内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripXSS(String value) {
		String rlt = null;

		if (null != value) {
			// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
			// avoid encoded attacks.
			// value = ESAPI.encoder().canonicalize(value);

			// Avoid null characters
			rlt = value.replaceAll("", "");

			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid anything in a src='...' type of expression
			/*scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");*/

			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid eval(...) expressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid expression(...) expressions
			scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid javascript:... expressions
			scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid vbscript:... expressions
			scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
			rlt = scriptPattern.matcher(rlt).replaceAll("");

			// Avoid onload= expressions
			scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE
					| Pattern.MULTILINE | Pattern.DOTALL);
			rlt = scriptPattern.matcher(rlt).replaceAll("");
		}
		
		return rlt;
	}

	/**
	 * @Description 过滤SQL注入内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripSqlInjection(String value) {
		return (null == value) ? null : value.replaceAll("('.+--)|(--)|(%7C)", ""); //value.replaceAll("('.+--)|(--)|(\\|)|(%7C)", "");
	}

	/**
	 * @Description 过滤SQL/XSS注入内容
	 * @param value
	 * 				待处理内容
	 * @return
	 */
	public static String stripSqlXSS(String value) {
		return stripXSS(stripSqlInjection(value));
	}

}

之前的csdn找不回来了,决定重新注册一个。望支持~~~

「已注销」
关注
  • 33
    点赞
  • 91
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
Java防止SQL注入问题 解决XSS攻击 (个人梳理)
博桑根本提不起劲的博客
01-20 468
Java防止SQL注入问题 解决XSS攻击 (个人梳理) 【Java防止SQL注入问题 解决XSS攻击 (个人梳理) 文章目录【Java防止SQL注入问题 解决XSS攻击 (个人梳理)前言一、sql注入案例之一(拼接sql)二、避免被sql注入1.不要用拼接sql的形式XSS攻击总结版权声明最后 写给读此文章的你 前言 sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是
防止xsssql注入:JS特殊字符过滤正则
10-27
在网络安全领域,XSS(Cross-Site Scripting)和SQL注入是两种常见的攻击方式,对网站的安全性构成严重威胁。本文将详细介绍如何通过JavaScript特殊字符过滤正则表达式来防范这两种攻击。 首先,理解XSS攻击XSS...
java清除xss漏洞关键字
拼命小孩的成长专栏
09-13 366
java清除xss漏洞关键字
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
java 消除xss的方法
最新发布
weixin_37067088的博客
06-29 27
消除XSS攻击的方法 1. 整体流程 为了消除XSS攻击,我们需要采取以下步骤: 步骤 操作 1 过滤用户输入的数据,防止恶意脚本的注入 2 对特殊字符进行转义,使其无法执行 3 使用安全的输出方式展示数据,如使用JSTL库中的<c:out>标签 2. 具体操作 步骤一:过滤用户输入...
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7709
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5153
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
Java项目防止SQL注入的方式总结
睡竹的博客
03-02 9554
Java项目防止SQL注入的方式总结 springboot配置请求过滤器防止SQL注入 nginx防止SQL注入 mybatis防止SQL注入
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
防止SQL注入XSS攻击Filter
06-03
### 防止SQL注入XSS攻击Filter详解 #### 一、背景介绍 在现代Web应用开发过程中,确保应用程序安全至关重要。其中两大常见的安全威胁是SQL注入与跨站脚本(Cross Site Scripting,简称XSS攻击。这两种攻击方式...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
SpringBoot 解决跨站脚本漏洞(XSS)问题
ideal-lingyun
06-25 2762
SpringBoot 解决跨站脚本漏洞(XSS)问题
项目安全问题及解决方法-----xss处理
adru的博客
02-02 1358
XSS 问题的根源在于,原本是让用户传入或输入正常数据的地方,被黑客替换为了 JavaScript 脚本,页面没有经过转义直接显示了这个数据,然后脚本就被 执行了。更严重的是,脚本没有经过转义就保存到了数据库中,随后页面加载数据的时候,数据中混入的脚本又当做代码执行了。黑客可以利用这个漏洞 来盗取敏感数据,诱骗用户访问钓鱼网站等。
Java防止XSS攻击
u010786200的博客
12-24 6003
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
php clean xss
wiscourper的博客
06-18 1068
<?php class XSS { /** * @desc 过滤数据 * * @param $data string|array 输入数据 * @param $low bool 是否采用更为严格的过滤 * * @return 返回过滤的数据 */ public function clean_...
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 9917
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
java 防止xsssql注入
gentle!!
02-07 1036
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值