xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题

最新推荐文章于 2024-03-22 13:48:27 发布
最新推荐文章于 2024-03-22 13:48:27 发布
阅读量976 收藏 1
点赞数
文章标签: xss攻击字符过滤器 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28839601/article/details/114518589
版权

在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。

第一步:自定义filter过滤器.

public class XSSFilter extends OncePerRequestFilter {private String exclude = null; //不需要过滤的路径集合

private Pattern pattern = null; //匹配不需要过滤路径的正则表达式

public void setExclude(String exclude) {this.exclude = exclude;

pattern = Pattern.compile(getRegStr(exclude));

}

/**XSS过滤

*/

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)throws ServletException, IOException {

String requestURI = request.getRequestURI();

request.setCharacterEncoding("UTF-8");//设置字符编码

response.setCharacterEncoding("UTF-8");response.setContentType("text/html;charset=UTF-8");

if(StringUtils.isNotBlank(requestURI))

requestURI = requestURI.replace(request.getContextPath(),"");

if(pattern.matcher(requestURI).matches())

filterChain.doFilter(request, response);

else{

EscapeScriptwrapper escapeScriptwrapper = new EscapeScriptwrapper(request);

filterChain.doFilter(escapeScriptwrapper, response);

}

}

/**不需要过滤得路径集合的字符串格式化成一系列的正则规则

@param str 不需要过滤的路径集合

@return 正则表达式规则

*/

private String getRegStr(String str){if(StringUtils.isNotBlank(str)){

String[] excludes = str.split(";"); //以分号进行分割

int length = excludes.length;for(int i=0;i

String tmpExclude = excludes[i];

//对点、反斜杠和星号进行转义

tmpExclude = tmpExclude.replace("", "").replace(".", ".")

.replace("*", ".*");

tmpExclude = "^" + tmpExclude + "$";

excludes[i] = tmpExclude;

}

return StringUtils.join(excludes, "|");

}

return str;

}

}

第二步:进行转义

转义规则可以自定义实现,通过正则表达或者转义符都能实现,也可通过StringEscapeUtils实现jar方法提供的过滤规则,具体实现过程可以上官网观看文档说明。

public class EscapeScriptwrapper extends HttpServletRequestWrapper {private Map parameterMap; //所有参数的Map集合

public EscapeScriptwrapper(HttpServletRequest request) {super(request);

parameterMap = request.getParameterMap();

}

/**获取所有参数名

@return 返回所有参数名

*/

@Override

public Enumeration getParameterNames() {Vector vector = new Vector(parameterMap.keySet());

return vector.elements();

}

/**获取指定参数名的值,如果有重复的参数名,则返回第一个的值

*@param name 指定参数名

@return 指定参数名的值

*/

@Override

public String getParameter(String name) {String[] results = parameterMap.get(name);

if(results == null || results.length <= 0)

return null;

else{

return escapeXSS(results[0]);

}

}

/**获取指定参数名的所有值的数组,如:checkbox的所有数据

接收数组变量 ,如checkobx类型

*/

@Override

public String[] getParameterValues(String name) {String[] results = parameterMap.get(name);

if(results == null || results.length <= 0)

return null;

else{

int length = results.length;

for(int i=0;i

results[i] = escapeXSS(results[i]);

}

return results;

}

}

/**过滤字符串中的js、xml、sql

解码:StringEscapeUtils.unescapeXml(value)

StringEscapeUtils.escapeJavaScript(value) StringEscapeUtils.escapeSql(value) */ private String escapeXSS(String value){if (value == null || value.isEmpty()) {

return value;

}

value = StringEscapeUtils.escapeXml(value);

value = StringEscapeUtils.escapeJavaScript(value);

value = StringEscapeUtils.escapeSql(value);

value = value.replaceAll("

value = value.replaceAll(">", ">");

value = value.replaceAll("'", "'");

value = value.replaceAll(";", "﹔");

value = value.replaceAll("&", "&");

value = value.replaceAll("%", "﹪");

value = value.replaceAll("#", "#");

value = value.replaceAll("sleep", " ");

value = value.replaceAll("select", "select");// "c"→"ᴄ"

value = value.replaceAll("prompt", " ");value = value.replaceAll("truncate", "trunᴄate");// "c"→"ᴄ"

value = value.replaceAll("exec", "exeᴄ");// "c"→"ᴄ"

value = value.replaceAll("join", "jᴏin");// "o"→"ᴏ"

value = value.replaceAll("union", "uniᴏn");// "o"→"ᴏ"

value = value.replaceAll("drop", "drᴏp");// "o"→"ᴏ"

value = value.replaceAll("count", "cᴏunt");// "o"→"ᴏ"

value = value.replaceAll("insert", "ins℮rt");// "e"→"℮"

value = value.replaceAll("update", "updat℮");// "e"→"℮"

value = value.replaceAll("delete", "delet℮");// "e"→"℮"

value = value.replaceAll("script", "sᴄript");// "c"→"ᴄ"

value = value.replaceAll("cookie", "cᴏᴏkie");// "o"→"ᴏ"

value = value.replaceAll("iframe", "ifram℮");// "e"→"℮"

value = value.replaceAll("onmouseover", "onmouseov℮r");// "e"→"℮"

value = value.replaceAll("onmousemove", "onmousemov℮");// "e"→"℮"*/

return value;}

}

第三步:配置web.xml文件

xss

cn.com.gzqinghui.sysmgr.xss.XSSFilter

exclude

true

xss

/*

REQUEST

FORWARD

注:配置顺序必须在监听器listener后,servlet前,顺便不对可能会出现不生效的情况。

鬼游
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java xss 正则表达式_java 防止 XSS 攻击的常用方法总结.
weixin_42515380的博客
02-24 2312
java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几...
预防XSS攻击SQL注入XssFilter
07-23
对于脚本攻击,黑客界共识是:脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
java过滤器,防止XSS、SQL
01-08
java过滤器XSS : 脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
pikachu靶场第十一关——XSS脚本)之xss过滤(附代码审计)
最新发布
yzasts的博客
03-22 417
例如,模式 `a.*b` 会匹配以 `a` 开头,以 `b` 结尾的最长的字符串,即使 `a` 和 `b` 之间有其他字符。等同于cmd,shell扫描一遍命令行,发现了( c m d ) 结 构 , 便 将 (cmd)结构,便将(cmd)结构,便将(cmd)中的cmd执行一次,得到其标准输出,再将此输出放到原来命令。,这是为了为匹配被尖括号包围的单词"script",但(.*)意味着它会匹配任何位于"s"、"c"、"r"、"i"、"p"和"t"字母之间的字符,而后被替换为空格,以达到破坏标签结构的作用。
java拦截器实现防止SQL注入xss攻击拦截
WWXA
08-22 1万+
一、SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 二、SQL注入攻击的总体思路 1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 3.针对不通的服务器和数据库特点进行SQL注入攻击 三、SQL注入攻击实例 比如在一个登录界面,要求输...
防止xsssql注入:JS特殊字符过滤正则
10-27
防止xsssql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2433
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),脚本攻击XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
java XSS漏洞过滤
xieedeni的博客
01-30 6199
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
<(\S*?)[^>]*>.*?|<.*? />正则过滤Xss
滕青山博客
01-02 2261
正则是用来匹配一串字符串的 < 不变,就是< \S 非空白符 * 重复任意次 ? 懒人原则,如果有多种匹配,取最短的那种 [^>]* 取任意次不是>的其它任意字符 > 就是>,不变 .*? 除换行符外任意字符(.)匹配任意次(*),但是是懒人原则(?) | 或,|两边有任一匹配就可以,先匹配左边表达式,没有再匹配右边 <.*?/> 其它都是按原样匹配,.*?上面有 <(\S*?)[^>]*>.*?用于匹配 <scirpt>...
java 过滤器filtersql注入的实现代码
09-01
为了防止这种攻击,开发者通常会使用过滤器Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax...
PHP Filter过滤器全面解析
10-21
这些数据可能包含错误或恶意内容,因此,对输入进行验证和过滤至关重要,以防止诸如SQL注入脚本(XSS)等安全漏洞。PHP Filter过滤器提供了一种结构化的机制,用于确保数据符合预定义的规则和格式,从而降低潜在...
php中filter_input函数用法分析
10-25
不正确地处理用户输入是许多Web应用程序安全问题的根源,如SQL注入脚本攻击(XSS)。使用`filter_input`可以有效地预防这类问题,但不能完全依赖它。应结合其他安全措施,如使用预编译的SQL语句(PDO或mysqli的...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
SQL注入漏洞-Java 解决方法(一)过滤器
Zxdwr520的博客
07-30 3019
这个是常见的漏洞了,相信大家都不会陌生,直接上解决该漏洞的代码 package com.ifan.soft.filter; import java.io.IOException; import java.text.SimpleDateFormat; import java.util.Date; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; impor.
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4591
前言 名词解释 XSS攻击全称脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
彻底解决Spring MVC XSS注入问题
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
数据结构(C描述)笔记---哈夫曼编码
33233的博客
10-16 307
编码 给每一个对象标记一个二进制位串来表示一组对象。 例如:ASCII,指令系统 编码分类 等长编码:表示一组对象的二进制位串的长度相等。 不等长编码:表示一组对象的二进制位串的长度不相等。 前缀编码 前缀编码:一组编码中任一编码都不是其它任何一个编码的前缀。(保证解码时不会有多种可能性) 例题加代码 我们假设给每个字母分配权值:a:45,b:13,c:12,D:16,e:9,f:5,首先按照它们的权值进行构造哈夫曼树 将所有权值左分支改为0,右分支改为1. 就是前缀。 源文件 #include&lt
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSSSQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值