Xss防攻击

最新推荐文章于 2024-01-30 17:04:51 发布
最新推荐文章于 2024-01-30 17:04:51 发布
阅读量90 收藏
点赞数
分类专栏: 代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013536313/article/details/103528710
版权

xss攻击就是jq或html代码攻击,用户提交的数据是jq或html代码,
前台拿到数据库中查出的jq或html代码,浏览器会直接解析执行

 重写request.getParamter()方法,在controller获取参数之前进行jq代码转换,
 也就是将 <Script>所有标签代码进行替换,
 在这里要注意,HttpServletRequest是个接口, 
 它的实现类是HttpServletRequestWrapper,所以只需要继承HttpServletRequestWrapper, 
 重写request.getParamter方法,
 在通过过滤器将原本的HttpServeltRequest替换为自定义的HttpServeltRequest

XssHttpServletRequestWrapper

package cn.ce.ebiz.framework.front.xss;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper{


    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }


    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null || values.length < 1) {
            return values;
        }

        int length = values.length;
        String[] encodedValues = new String[length];

        for (int i = 0; i < length; i++) {
            String value = values[i];
            if (value == null || value.length() < 1) {
                continue;
            }

            encodedValues[i] = encodeXSS(value);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String name) {
        String value =  super.getParameter(name);
        if (value == null || value.length() < 1 ) {
            return value;
        }
        return encodeXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null || value.length() < 1) {
            return value;
        }

        return encodeXSS(value);
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        return super.getParameterMap();
//        Map<String, String[]> map = super.getParameterMap();
//        if (map == null || map.isEmpty()) {
//            return map;
//        }
//
//        Map<String, String[]> result = new HashMap<>();
//        for (Map.Entry<String, String[]> entry : map.entrySet()) {
//            //只处理value
//            String key = entry.getKey();
//            if (key == null || key.length() < 1) {
//                continue;
//            }
//
//            String[] values = getParameterValues(key);
//            result.put(key, values);
//        }
//
//        return result;
    }

    private String encodeXSS(String value) {
        if (value == null || value.length() < 1) {
            return value;
        }
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");

        return value;
    }

}
飞扬53
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS脚本攻击御(Antisamy)(上)
Vi_error.nextval
01-11 1728
XSS脚本攻击御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击御Antisamy上 xss攻击的简单解释 通过开源项目AntisamyXss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
XSSXSS漏洞详细指南
最新发布
大河之犬的博客
05-06 1564
跨站脚本攻击(Cross-Site Scripting,XSS)是一种常见的网络安全漏洞,攻击者通过在网页上注入恶意脚本代码,从而在用户的浏览器上执行恶意操作。这些脚本可以是 JavaScript、HTML 或其他网页脚本语言。一旦用户在受感染的网页上进行交互,如点击链接或填写表单,恶意脚本就会在用户浏览器上执行,从而导致多种安全问题,包括但不限于:XSS 漏洞通常出现在没有充分验证用户输入的地方,比如网站的搜索框、评论区、表单提交等。预 XSS 攻击的方法包括对用户输入进行严格过滤和转义,使用安全的开发
XSS:漏洞的检测与
我乐了的博客
01-30 1655
如果在官方修复前,那个 XSS 漏洞已经被恶意利用了,那即使已经通过输入检查方法修复了,被插入的恶意代码仍会存在,这可以认为是修复不彻底的表现。PhantomJS:已停止维护。DOM XSS 的扫描相比常规 XSS 要难一些,主要是针对 JS 代码的分析,如果只是简单的正则匹配,就很容易误报漏报。不同的语言有不同的特性,在源码审计时需要采取不同的检测点,但有一个共同的思路,那就是。有时我们也会反着来:先查看一些危险的输出函数,再回溯它的参数传递,判断是否有未经过滤的用户输入数据,若有就代表可能存在漏洞。
安全测试之xss漏洞的检测与
HSS919的博客
03-13 4758
手工检测重点要考虑数据输入的地方,且需要清楚输入的数据输出到什么地方。在检测的开始,可以输入一些敏感字符,比如“、()”等,提交后查看网页源代码的变化以发现输入被输出到什么地方,且可以发现相关敏感字符是否被过滤。手工检测结果相对准确,但效率较低。
跨站脚本攻击 (XSS)和SQL注入漏洞php排查解决方案
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
09-12 1707
漏刻有时采用PHP-MVC结构,在参数传递过程中,已做参数过滤。在实际进行脚本攻击的时候会使用。
XSS攻击实现
05-09
XSS(Cross Site Scripting)攻击是网络安全领域中常见的攻击方式之一,攻击者通过注入恶意脚本,使得用户在访问网站时执行这些脚本,从而窃取用户信息或破坏网站功能。XSS攻击是保障Web应用安全的重要环节。...
php_XSS攻击插件
05-29
"php_XSS攻击插件"便是这样一种工具,它专为PHP环境设计,旨在确保从HTML编辑器或文本域获取的JS传值不包含潜在的XSS攻击代码。 **HTMLPurifier库的介绍** 在提供的压缩包中,我们看到一个名为`htmlpurifier`的...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
xss御之php利用httponlyxss攻击
10-26
XSS攻击,全称跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞。攻击者通过在网页中嵌入恶意脚本代码,当用户浏览这些页面时,恶意脚本会在用户的浏览器中执行,导致攻击者可以获取用户的信息、...
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
跨站脚本攻击(XSS)FAQ
aome1470的博客
11-13 285
原作者charlee、原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明。 该文章简单地介绍了XSS的基础知识及其危害和预方法。Web开发人员的必读。译自 http://www.cgisecurity.com/articles/xss-faq.shtml。 简介 现在的网站包含大量的动态内容以提高用户体验,比过去要复杂...
XSS攻击的解决方法
weixin_33877092的博客
02-28 798
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
XSS漏洞检测手段
Kevin's Blog
05-05 8592
文章目录一、手工注入检测1.1 Cheat Sheet二、自动化工具检测2.1 BurpSuite之XSS Validator2.1.1 运行原理2.1.2 插件安装2.1.3 phantomjs安装2.1.4 下载xss.js2.1.5 配置XSS Validator2.1.6 配置Intruder模块2.1.7 XSS漏洞检测2.1.8 工具优缺点2.2 神器之XSSer2.2.1 工具介绍 ...
XSS攻击详解
热门推荐
m0_55854679的博客
02-22 3万+
XSS文章 文章目录什么是XSSXSS能做什么XSS业务场景XSS类型如何检测XSSXSS核心 —— 同源策略注意:XSS语句XSS御方法XSS检测方法 —— XSS平台反射型XSS练习存储型XSS练习 什么是XSS 跨站脚本攻击(前端注入) 注入攻击的本质,是把用户输入的数据当做前端代码执行。 设置cookie操纵浏览器: 这里有两个关键条件: 第一个是用户能够控制输入; 第二个是原本程序要执行的代码,拼接了用户输入的数据。 SQL注入拼接的是操作数据库的SQL语句。XSS拼接的是网页的HTML代码
跨站脚本攻击(XSS)及范措施
oscar999的专栏
04-22 4029
á 有两种表示方式: U+00C1 U+0041 U+0301 Unicode标准定义了四种范化形式: D: NFD 典型分解 KD: NFKD 规范分解,规范组成 C: NFC 兼容性分解 KC: NFKC 兼容性分解,规范组成 NF - normalization-type NO_DECOMPOSITION: 不分解, 不对字符串做任何范化 matplotlib ...
DateUtil日期操作
Ayan的博客
04-10 673
package cn.ce.ebiz.framework.util.common.date; import org.apache.commons.lang3.StringUtils; import java.text.ParseException; import java.text.SimpleDateFormat; import java.util.Calendar; import jav...
HttpClient调用
Ayan的博客
11-20 536
package cn.ce.ebiz.manager.util; import java.io.IOException; import java.io.UnsupportedEncodingException; import java.net.URI; import java.nio.charset.Charset; import java.util.ArrayList; import java...
JsonParseTools(json操作)
Ayan的博客
04-10 375
package cn.ce.ebiz.framework.util.common; import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.core.type.TypeReference; import com.fasterxml.jackson.databind.Object...
查询分类所包含的个数
Ayan的博客
05-27 291
查询分类所包含的文件数,子类如果没有叶子节点查询的是本机所包含的文件数,如果有叶子节点,查询本级和所有叶子节点包含文件数总和。 /service-companyfile-provider/src/main/java/cn/ce/ebiz/companyfile/service/impl/CompanyfileCategoryServiceImpl.java @Override public ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值