配置拦截器防xss和sql注入

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量6.4k 收藏 6
点赞数 1
分类专栏: 安全 文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013627689/article/details/78577721
版权
本文介绍了如何配置拦截器以防御XSS和SQL注入攻击。通过在web.xml中配置自定义的Filter类XssAndSqlFilter,以及继承HttpServletRequestWrapper来过滤用户提交的参数,实现请求参数的安全过滤,确保业务逻辑的安全性。
摘要由CSDN通过智能技术生成

关于xss和sql注入的介绍,可参考https://www.cnblogs.com/ITtangtang/p/3982297.html,里面有介绍。这里介绍项目中如何过滤用户提交的数据。

1. web.xml配置拦截器

自定义一个实现了Filter接口的类XssAndSqlFilter。这个类用来实现具体的参数替换逻辑。

<!-- 防XSS和sql注入漏洞       开始  -->
    <filter>  
        <filter-name>xssAndSqlFilter</filter-name>  
        <filter-class>com.lancy.web.filter.XssAndSqlFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>xssAndSqlFilter</filter-name>  
        <url-pattern>*</url-pattern>  
    </filter-mapping>
    <!-- 防XSS和sql注入漏洞       结束-->
2. 编写自定义拦截器类,实现Filter接口
package com.lancy.web.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.lancy.web.request.XssAndSqlHttpServletRequestWrapper;

/**  
 * @Title: XssAndSqlFilter.java
 * @Description: 防XSS和sql注入漏洞   filter
 * @date 2017年9月7日 下午6:59:23
 * @version V1.0  
 */
public class XssAndSqlFilter  implements Filter {
     

    @Override  
    public
最低0.47元/天 解锁文章
xianggugou
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringBoot Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9101
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6371
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringBoot中如何XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 742
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
SpringBoot XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3392
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSSSQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
止常见XSS 过滤 SQL注入 JAVA过滤器filter
rj0511的专栏
12-10 485
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交...
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4356
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
Java-如何XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7719
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java web Xsssql注入过滤器.zip
04-22
5. **单元测试和集成测试**:为了确保过滤器和SQL注入护的有效性,项目可能包含了一些测试用例,使用JUnit和Mockito等工具模拟请求和数据库交互,验证安全措施是否正常工作。 总之,这个项目提供了预XSSSQL...
sql盲注拦截器配置文件
11-20
总的来说,配置和部署SQL盲注和XSS攻击拦截器是保护Web应用程序免受安全威胁的重要措施。通过理解拦截器的工作原理,结合实际的配置文件和代码,我们可以构建起坚固的线,有效地止这些类型的攻击。
利用拦截器实现sql止注入
热门推荐
an341221的专栏
01-29 1万+
web.xml的代码: sqlInjectionFilter com.suning.mcms.web.auth.filter.SqlInjectionFilter sqlInjectionFilter *.do 拦截器的代码: package com.suning.mcms.web.
工作实战之xss攻击
zengliangxi的专栏
02-24 1106
跨站脚本攻击(全称Cross Site Scripting,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的,知其原理才能知道解决方法,但是如果过滤不全,也可能被绕过。
springmvc使用过滤器filter实现过滤XSSSQL脚本等功能
chenghuagui9785的博客
05-31 1107
springmvc使用过滤器filter实现过滤XSSSQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
springboot xsssql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1836
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
XSS漏洞注入,分类,御方法
Y22Lee的博客
04-06 3656
XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,仅次于SQL注入XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。由此可知,XSS属于客户端攻击,受害者最终是用户,但特别要注意的是网站管理人员也属于用户之一。
Java--Filter过滤器XSS SQL注入
JustinQin
11-17 2850
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
SpringBootXssSql注入攻击过滤器
meser88的博客
11-08 1030
package org.demo.monitor; import com.ctrip.framework.apollo.model.ConfigChangeEvent; import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener; import lombok.extern.slf4j.Slf4j; import org.springframework.context.EnvironmentAware; im.
从发现SQL注入到ssh连接
Jinmindong
02-20 367
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
过滤器和拦截器最根本区别
04-28
过滤器和拦截器都是用于对HTTP请求进行处理的工具,但是它们的实现方式和作用范围不同。 过滤器是在服务器接收请求之前进行处理的,可以对请求进行预处理,例如:字符编码转换、SQL注入XSS攻击等。过滤器的作用范围比较广,可以对所有请求进行处理。 拦截器是在请求到达Controller之前或者之后进行处理的,可以对请求进行拦截并进行后续处理,例如:权限校验、日志记录、统一异常处理等。拦截器的作用范围比较有限,只能拦截Controller层之前或之后的请求。 总的来说,过滤器和拦截器都是用于对HTTP请求进行处理的工具,但是它们的实现方式和作用范围不同,过滤器主要用于对请求进行预处理,而拦截器主要用于对请求进行拦截并进行后续处理。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值