XSS跨站脚本过滤器

最新推荐文章于 2024-06-18 16:09:14 发布
最新推荐文章于 2024-06-18 16:09:14 发布
阅读量1.2k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanyuanshi/article/details/79963439
版权

1.在web.xml中配置过滤器:拦截所有的请求--项目中使用通过安全扫描

<filter>
<filter-name>XssFilter</filter-name>
<filter-class>com.sunrise.grid.utils.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>


2、过滤器具体的实现代码如下(实现类):-------------------

package com.sunrise.grid.utils;


import java.io.IOException;


import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;


import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;


//全局XSS过滤器
public class XssFilter extends OncePerRequestFilter {


private CommonsMultipartResolver multipartResolver = new CommonsMultipartResolver();


@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
String contentType = request.getContentType();//获取请求的content-type
if (contentType != null && contentType.startsWith("multipart/")) {//文件上传请求 *特殊请求
request = multipartResolver.resolveMultipart(request);
}
filterChain.doFilter(new XssRequestWrapper(request), response);
}


}



3、拦截器的具体处理代码方式(拦截器处理类):--------------------------------------------------

package com.sunrise.grid.utils;


import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;


import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


import org.springframework.web.util.HtmlUtils;


//全局XSS过滤器
public class XssRequestWrapper extends HttpServletRequestWrapper {



public XssRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}


@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = stripXSS(values[i]);
}
return encodedValues;
}


@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return stripXSS(value);
}


@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return stripXSS(value);
}


@Override
@SuppressWarnings("unchecked")
public Map<String, String[]> getParameterMap() {
HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
paramMap = (HashMap<String, String[]>) paramMap.clone();
for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext();) {
Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
String[] values = entry.getValue();
for (int i = 0; i < values.length; i++) {
if (values[i] instanceof String) {
values[i] = stripXSS(values[i]);
}
}
entry.setValue(values);
}
return paramMap;
}


private String stripXSS(String value) {
if (value != null) {
//value = StringEscapeUtils.escapeHtml(value); 
//value = StringEscapeUtils.escapeJavaScript(value); 
//value = StringEscapeUtils.escapeSql(value); 
value = HtmlUtils.htmlEscape(value);
//value = JavaScriptUtils.javaScriptEscape(value);//这个会把http地址处理掉,暂时不加。如果要加这个需要在com.dzqd.jaf.jdbc.utils.BeanProcessor.parseObject的208行处加unjavaScriptEscape
}
return value;
}


}


wanyuanshi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java过滤跨站脚本攻击_SpringBoot过滤XSS脚本攻击
weixin_33900916的博客
02-24 311
前排提醒源码在最后XSS攻击是什么XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web客户将代码植入到提供给其它客户使用的页面中。简而言之,就是作恶客户通过表单提交少量前台代码,假如不做解决的话,这些前台代码将会在展现的时候被浏览器执行。如何避免...
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 930
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
防止XSS跨站脚本攻击:Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
Xss漏洞常见绕过过滤攻击场景
chaottop的博客
05-04 1821
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
xss跨站脚本过滤
u011697091的博客
03-05 2579
自定义XssRequestWrapper集成HttpServletRequestWrapper package com.workflow.base.filter; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.http.HttpServletRequest; import javax.servlet.
XSS跨站脚本攻击及防护
weixin_62707591的博客
06-18 3216
XSS又叫CSS),即跨站脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。
XSS跨站脚本
weixin_59872639的博客
02-22 2293
XSS简介 XSS被称为跨站脚本攻击(Cross-site scripting),由于和CSS(CascadingStyle Sheets) 重名,所以改为XSSXSS主要基于javascript语言完成恶意的攻击行为,因为javascript可以非常灵活的操作html、css和浏览器。 XSS就是指通过利用网页开发时留下的漏洞(由于Web应用程序对用户的输入过滤不足),巧妙的将恶意代码注入到网页中,使用户浏览器加载并执行攻击者制造的恶意代码,以达到攻击的效果。这些恶意代码通常是JavaScri
XSS跨站脚本漏洞
weixin_53279333的博客
08-23 360
原理 :指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响 的 HTML 代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。通过在用户端注入恶意的可执行脚本,若服务器对用户的输入不进行 处理或处理不严,则浏览器就会直接执行用户注入的脚本
XSS 跨站脚本攻击
猫老板的豆
06-04 635
简介 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 在处理输入时,以
XSS跨站脚本攻击
q
06-18 836
使用网站上的本身有的swf文件进行反编译,常见的可触发xss的危险函数有:getURL,navigateToURL,ExternalInterface.call,htmlText,loadMovie等等。持续化的XSS攻击方式,将恶意代码存储于服务器,当其他用户再次访问时触发,造成XSS攻击。页面本身没有变化,但由于DOM环境被恶意修改,有客户端代码被包含进了页面并执行。通过修改原始的客户端代码,受害者浏览器的DOM环境改变,导致有效载荷的执行。使用pdf编辑器,打开属性,添加动作,选择执行js语句。
xss跨站脚本攻击与预防
11-04
开发者可以在接收用户数据时调用这些过滤器,以防止未经验证的脚本被执行。不过,仅仅依赖这样的工具可能还不够,因为攻击手段不断进化,所以配合其他防御策略一起使用更为保险。 综上所述,了解XSS攻击的原理、...
XSS跨站脚本攻击课件
11-24
XSS跨站脚本攻击】详解 XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意...
xss跨站脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
JSP使用过滤器防止Xss漏洞
10-17
这样,即使用户输入了恶意脚本过滤器也能在数据到达业务逻辑层之前进行清洗,从而避免XSS攻击。 以下是对`XssFilter`和`XssHttpServletRequestWrapper`的简要分析: 1. `XssFilter`初始化和销毁方法(`init()` 和...
XSS跨站脚本gj剖析与防御(完整版) pdf
12-03
XSS跨站脚本gj剖析与防御》是一份详尽探讨网络安全中XSS(Cross-Site Scripting)攻击的资源,对于理解和防范这种常见网络威胁至关重要。XSS攻击是一种利用网站用户输入来注入恶意脚本的手段,这些脚本能够在受害...
图像识别roid-maste笔记
08-03
图像识别roid-maste笔记
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
08-03
有监督学习神经网络的回归拟合——基于matlab红外光谱的汽油辛烷值预测.zip
C++实战篇:STL-容器
最新发布
08-03
C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器 C++实战篇:STL-容器
Web安全训练营:XSS过滤器绕过实战解析
"本资源主要探讨了XSS跨站脚本过滤器绕过的方法,包括本地环境的搭建、XSS payload测试以及利用自动化工具进行探测,并提到了关注最新的HTML特性来寻找潜在的攻击向量。" 在网络安全领域,XSS攻击是一种常见的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值