springMVC通过Filter实现防止xss注入

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量368 收藏
点赞数
分类专栏: spring

跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。

原本是打算通过springMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。没办法就是要Filter来完成。简单来说就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防)。

    @WebFilter(filterName="xssMyfilter",urlPatterns="/*")   
    public class MyXssFilter implements Filter{  

        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  

        }  

        @Override  
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
                throws IOException, ServletException {  
            XsslHttpServletRequestWrapper xssRequest = new XsslHttpServletRequestWrapper((HttpServletRequest)request);  
            chain.doFilter(xssRequest , response);   
        }  

        @Override  
        public void destroy() {  

        }  

    }

XSS代码的过滤是在XsslHttpServletRequestWrapper中实现的,主要是覆盖实现了getParameter,getParameterValues,getHeader这几个方法,然后对获取的value值进行XSS处理。

    public class XsslHttpServletRequestWrapper extends HttpServletRequestWrapper {  

         HttpServletRequest xssRequest = null;    

        public XsslHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
            xssRequest = request;  
        }  


         @Override    
         public String getParameter(String name) {    
              String value = super.getParameter(replaceXSS(name));    
                if (value != null) {    
                    value = replaceXSS(value);    
                }    
                return value;    
         }    

         @Override  
        public String[] getParameterValues(String name) {  
             String[] values = super.getParameterValues(replaceXSS(name));  
             if(values != null && values.length > 0){  
                 for(int i =0; i< values.length ;i++){  
                     values[i] = replaceXSS(values[i]);  
                 }  
             }  
            return values;  
         }  

         @Override    
         public String getHeader(String name) {    

                String value = super.getHeader(replaceXSS(name));    
                if (value != null) {    
                    value = replaceXSS(value);    
                }    
                return value;    
            }   
         /** 
          * 去除待带script、src的语句,转义替换后的value值 
          */  
        public static String replaceXSS(String value) {  
            if (value != null) {  
                try{  
                    value = value.replace("+","%2B");   //'+' replace to '%2B'  
                    value = URLDecoder.decode(value, "utf-8");  
                }catch(UnsupportedEncodingException e){  
                }catch(IllegalArgumentException e){  
            }  

                // Avoid null characters  
                value = value.replaceAll("\0", "");  

                // Avoid anything between script tags  
                Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid anything in a src='...' type of e­xpression  
                scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Remove any lonesome </script> tag  
                scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Remove any lonesome <script ...> tag  
                scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid eval(...) e­xpressions  
                scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid e­xpression(...) e­xpressions  
                scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid javascript:... e­xpressions  
                scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  
                // Avoid alert:... e­xpressions  
                scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  
                // Avoid onload= e­xpressions  
                scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  
                scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);    
                value = scriptPattern.matcher(value).replaceAll("");  
            }             
            return filter(value);  
        }  

            /** 
             * 过滤特殊字符 
             */  
            public static String filter(String value) {  
                if (value == null) {  
                    return null;  
                }          
                StringBuffer result = new StringBuffer(value.length());  
                for (int i=0; i<value.length(); ++i) {  
                    switch (value.charAt(i)) {  
                        case '<':  
                            result.append("<");  
                            break;  
                        case '>':   
                            result.append(">");  
                            break;  
                        case '"':   
                            result.append(""");  
                            break;  
                        case '\'':   
                            result.append("'");  
                            break;  
                        case '%':   
                            result.append("%");  
                            break;  
                        case ';':   
                            result.append(";");  
                            break;  
                        case '(':   
                            result.append("(");  
                            break;  
                        case ')':   
                            result.append(")");  
                            break;  
                        case '&':   
                            result.append("&");  
                            break;  
                        case '+':  
                            result.append("+");  
                            break;  
                        default:  
                            result.append(value.charAt(i));  
                            break;  
                    }    
                }  
                return result.toString();  
            }  

    }

转载:https://blog.csdn.net/qq924862077/article/details/62053577

wangyuanjun008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击的预防措施
qq_45335911的博客
09-07 6404
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
SpringMVC精品资源--整合JWT,spring,springMVC实现基于token验证.zip
02-18
通过这个资源,开发者可以学习如何在SpringMVC应用中实现出高效且安全的基于JWT的身份验证系统,提升Web应用的安全性和用户体验。教程可能包括代码示例、配置文件详解、问题排查等内容,帮助开发者深入理解Spring、...
预防xss攻击
KeepCoding
12-26 815
常见的xss攻击有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。另外一种是持久型,攻击者提交含有恶意脚本的请求并被应用保存在了数据库中。 虽然xss攻击相对来说是一种比较老的攻击手段,但是却又在不断的变化出新的攻击方式,因此对它的防范也是较复杂的,但是主要的防御手段有如下两种。 消毒 xss一般利用恶意脚本来攻击,所以输入的内容一般用户是较少使用的,所以
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
java ssm框架xss 过滤
weixin_43844607的博客
11-20 489
后台部分: web.xml <!-- xss过滤 --> <filter> <display-name>IllegalCharacterFilter</display-name> <filter-name>IllegalCharacterFilter</filter-name> <filter-cla...
如何预防 XSS 攻击
春风化雨
12-17 5481
1、XSS 攻击 XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。 原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。 2、预防策略 预防 XSS 的核心:对输入的数据做必要的过滤处理。 ...
如何预防xss攻击
yihanzhi的博客
03-08 996
xss攻击 预防xss攻击的最简最常用方法是将一些特殊字符转为字符实体。 5个特殊字符:【&gt;】 、【&lt;】、【&amp;】、【"】、【 ’ 】 字符和字符实体对应关系见下表 常用字符实体 参考网址:http://www.w3school.com.cn/html/html_entities.asp ...
springmvc+mybatis登录注册及文件上传
11-10
在本项目中,我们主要探讨的是如何将Spring MVC与MyBatis框架整合,...在实际开发中,还需要考虑安全性(如防止SQL注入XSS攻击)和性能优化(如使用缓存、合理的数据库设计)等问题,以确保应用的稳定性和用户体验。
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
可以通过配置`ObjectMapper`来实现,例如: ```java ObjectMapper objectMapper = new ObjectMapper(); objectMapper.configure(JsonGenerator.Feature.ESCAPE_NON_ASCII, true); objectMapper.configure...
DWR整合Spring MVC
11-07
- 考虑安全因素,不要将敏感方法暴露给前端,防止XSS和CSRF攻击。 - 使用DWR的缓存机制,提高性能。 - 在实际项目中,可能需要自定义DWR的行为,如错误处理、权限控制等,这时可以编写自定义的Filter或扩展DWR的核心...
毕设课设-java拍卖系统ssm架构竞拍系统.zip
09-27
此外,还需要注意安全性问题,比如防止SQL注入XSS攻击等。 通过这个项目,学习者可以实践到如何将Java后端与前端、数据库紧密集成,实现一个完整的Web应用程序,并对SSM框架有深入的理解。同时,这也有助于提升...
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
如何防止XSS攻击?
半夏_2021的博客
05-05 6361
如何防止XSS攻击?
XSS攻击与防范方法
m0_58474008的博客
05-16 1279
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击者攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
前端安全系列(一):如何防止XSS攻击?
Innocence_0的博客
02-15 1447
前端安全系列(一):如何防止XSS攻击?
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1654
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3571
springboot项目防止XSS攻击和sql注入
SpringBoot中防止跨站脚本(XSS注入攻击
Sunshine_zjh的博客
06-20 3245
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
springmvc将jar包的bean实现注入
03-24
Spring MVC通过依赖注入(DI)和控制反转(IOC)的机制来实现jar包的bean实现注入。具体实现方式包括使用注解、XML配置文件等多个方法。需要注意的是,Spring MVC框架在注入时会根据不同的情况选择不同的注入方式,比如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值