Jfinal处理XSS漏洞

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量2k 收藏 1
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013808315/article/details/80081852
版权

创建BaseController继承Jfinal自带的Controller,并供所有业务controller继承。

BaseController中重写Controller的getPara(String)方法

/**
     * 重写getpara,处理XSS漏洞
     */
	@Override
	public String getPara(String name) {
		// TODO Auto-generated method stub
		String result=super.getPara(name);
		if(result!=null) {
			
			if(!result.equals(Jsoup.clean(result, Whitelist.none()))) {
				throw new MyException("参数存在非法标签,请核对!");
			}
		}
		return result;
	}
其中Whitelist配置中,relaxed专注于script相关的脚本共计,none抵制所有html代码,其余配置根据需要查看Whitelist文档
cool无状态
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JfinalXSS攻击
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 296
public class XssHandler extends BaseHandler { @Override public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) { if (!isFilter(target)) {...
jfinalxss漏洞处理
huangbaokang的博客
12-11 765
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
Jfinal CMS命令注入漏洞
MoLeft's Blog
12-21 1725
如果后台存在任何文件上传漏洞,则可以将此文件替换为包含payload的文件,以触发 fastjson 反序列化。来解析文件内容,这里的文件内容是可控的,只需将文件内容替换为payload即可。登录后台,找到模板管理,后台默认账号密码admin/admin123456。在 kali 上运行该工具,启动 rmi 和 ldap 服务。替换payload中的rmi或ldap地址,然后保存到。测试中使用的JDK版本:JDK8u101。jfinal_cms版本:5.0.1。类的构造方法中实例化。
java 中JFinal getModel方法和数据库使用出现问题解决办法
weixin_30920597的博客
11-24 213
JFinal getModel方法(从页面表单中获取Model对象)+数据库存储问题 一、getmodel方法 1.在JConfig配置类中的数据库映射(存储到数据库时需要此配置) public void configPlugin(Plugins me) { C3p0Plugin cp = null; try { cp = new C3p0Plugin( ...
Jfinal cms前台评论XSS漏洞分析
weixin_30535043的博客
05-14 526
Jfinal cms采用Java语言开发,官方代码仓库为:https://gitee.com/jflyfox/jfinal_cms。 Jfinal cms前台评论处存在XSS漏洞,以v4.6版本为例,下面是简单的漏洞分析。 首先来看如何利用此漏洞。 第一步:填写payload 在新闻评论的地方填写如下payload:abcd<img src="/xswv.png" onerror="...
jfinal框架中防跨站脚本XSS攻击。
志全的博客
07-27 904
跨站脚本攻击(XSS) Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 问题解决: 对于Jfinal轻量级框架解决方式从框架根本从特殊字符转义入手。 1、处理器配置初始化 public void configHandler(Handlers me) { XssHandler xssHan...
jfinal-2.2-all
01-25
JFinal 2.2 全集:深度解析与应用指南》 JFinal 是一个基于 Java 的高效、轻量级的 MVC 框架,它以其简洁的 API 设计、高性能和易于上手的特点,深受广大开发者的喜爱。本文将深入探讨 JFinal 2.2 版本的核心特性...
XSSFilter源码
06-03
XSSFilter源码处理漏洞
jfinal文档
08-09
JFinal文档3.3》是针对Java开发者的一份详细指南,主要介绍了一个高效、轻量级的Java Web开发框架——JFinalJFinal由郭柯宇创立,它以其简洁的API设计、高效的性能和易用性在Java Web开发领域受到了广泛的关注。...
springboot和JFinal的集成
04-04
在项目中,可以定义JFinal的Controller类,这些类会处理HTTP请求,并通过Db和Record进行数据库操作。由于Spring Boot和JFinal都遵循了 MVC 模式,所以Controller可以很容易地与Spring Boot的Restful风格相结合,提供...
JfinalDemo
09-19
对于Jfinal项目,开发者可以通过Jfinal提供的Db工具类进行数据库操作,如连接、执行SQL、事务处理等。 2. API:API文档或者接口定义是项目的重要组成部分,它详细描述了项目的对外服务,包括HTTP请求的URL、HTTP...
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1261
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
jfinal 检测到目标URL存在http host头攻击漏洞的解决方法
qq_41182238的博客
04-30 629
记录编写handler 来对此漏洞进行修复 编写handler 来对此漏洞进行修复 注:JFinal的 Handler是 AOP + 责任链 模式的一个变种,JFinal对action及interceptor处理自身也是一个Handler名叫ActionHandler,可见其功能之强大。平时开发的时候一般不需要使用,当Action与Interceptor还不够用的时候可以考虑Handler上场。另...
JFinal如何进行XSS攻击过滤
zzzgd_666的博客
05-17 3909
为啥要做XSS过滤? 比如一个文本框, 正常来说应该是输入普通文本,但是如果有it基础尤其是前端js比较熟悉的童鞋,就可以在这里面写js代码和html代码如下: 这还只是普通的代码, 如果可以他能写一个死循环一直弹窗,让你不得不去数据库更改这个数据. 我现在用到的是JBoot框架, 于是就需要用JFinal来解决这个问题 JBoot的web.xml文件中,配置过滤器 &lt;f...
JFinal 如何进行XSS过滤(JFinal 的简单介绍到利用JFinal 的handler实现)
Oneask的博客
12-21 5644
JFinal 如何进行XSS过滤(JFinal 的简单介绍到利用JFinal 的handler实现)
JFinal-layuiv1.4.2 来袭,XSS,CSRF防御,程序器
hdx柿子的博客
04-02 707
感谢参考原文-http://bjbsair.com/2020-04-01/tech-info/18436.html 前言 JFinal-layui 极速开发企业应用管理系统,是以 JFinal+layui 为核心的企业应用项目架构,利用 JFinal 的特性与 layui 完美结合,达到快速启动项目的目的。让开发更简单高效,即使你不会前端layui,也能轻松掌握使用。 JFinal-layui v...
Spring Boot Log4j2漏洞修复指南 (Log4J2 Vulnerability and Spring Boot)
★【World Of Moshow 郑锴】★
12-14 1万+
###一句话总结issue###如果你使用的是 Log4j 1.x、Logback 或者其他日志框架,这次就可以幸免于难。如果你使用Spring Boot`默认日志`,也是没有问题的,因为默认是`Commons Logging`。 ###一句话solution###升级springboot到最新`v2.5.8`和`v2.6.2`以及后续版本,确保安全;如果单独依赖了log4j2日志,请强制使用最新版本`v2.17.1`。
jfinal-3.3-manual.pdf
11-18
JFinal独特的Db+Record模式使得数据库操作更加便捷,同时还支持分页、事务处理、缓存管理、多数据库支持以及表关联操作等高级特性。 这个手册详尽地阐述了JFinal框架的主要特性和使用方法,对于想要学习或正在使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值