java xss转义_java后台怎么对ajax请求的内容进行xss转义?

最新推荐文章于 2024-08-16 16:01:58 发布
最新推荐文章于 2024-08-16 16:01:58 发布
阅读量1.4w 收藏 1
点赞数 2
文章标签: java xss转义
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28957519/article/details/114199890
版权

找了几个java后台拦截xss的代码,大致都是下面这样

package com.ibm.web.beans;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

super(servletRequest);

}

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values==null) {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i < count; i++) {

encodedValues[i] = cleanXSS(values[i]);

}

return encodedValues;

}

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

if (value == null) {

return null;

}

return cleanXSS(value);

}

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null)

return null;

return cleanXSS(value);

}

private String cleanXSS(String value) {

//You'll need to remove the spaces from the html entities below

value = value.replaceAll("", "& gt;");

value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

value = value.replaceAll("'", "& #39;");

value = value.replaceAll("eval\\((.*)\\)", "");

value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value = value.replaceAll("script", "");

return value;

}

}

这里只对param做了转义,请问如何对ajax的json请求进行转义?

前台代码

$.ajaxSetup({

contentType: 'application/json'

});

var obj = {"name" : "'", "code" : "

$.post("/submit", JSON.stringify(obj), function (result, status) {

alert('ok');

}, "json");

后台代码

@RequestMapping(value = "/submit", method = RequestMethod.POST)

public void submit(@RequestBody Student student) {

System.out.println(student.getName());

System.out.println(student.getCode());

}

这里对ajax提交的json代码就没有做转义,我用的是spring,请问该如何对ajax请求转义,是使用aop对set方法拦截,还是修改HttpMessageConverter在json转为java对象时转义,还是其他方式?

sarahrnagy
关注
java%3c%3e如何转义_如何让前端更安全?——XSS 攻击和防御详解
weixin_42362491的博客
02-28 1260
最近深入了解了一下XSS攻击。以前总肤浅的认为XSS防御仅仅只是输入过滤可能造成的XSS而已。然而这池子水深的很呐。1,XSS的类型总体来说,XSS分三类,存储型XSS、反射型XSS、DOM-XSS。1.1、存储型XSS数据库中存有的存在XSS攻击的数据,返回给客户端。若数据未经过任何转义。被浏览器渲染。就可能导致XSS攻击;1.2、反射型XSS将用户输入的存在XSS攻击的数据,发送给后台后台并...
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 407
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
JAVA中的数据流DataInputStream
最新发布
qa3629723的博客
08-16 2649
DataInputStream类是Java.io包中的一个重要类,它用于从输入流中读取基本数据类型(如int、float、long等)和字符串。本文将详细介绍DataInputStream类的用法、特点以及在实际应用中的示例,并给出代码及运行结果。主要功能 DataInputStream类主要用于读取基本数据类型和字符串,它提供了一系列读取方法,使得从输入流中读取数据变得简单高效。DataInputStream类是Java中用于读取基本数据类型和字符串的过滤流,它简化了从输入流中读取数据的操作。
java xss转换html5,jsp - Java 5 HTML escaping To Prevent XSS - Stack Overflow
weixin_36296063的博客
06-04 102
I have to say I rather disagree with the accepted answer of apparently escaping on output to prevent XSS.I believe the better approach is to sanitize on input which can easily be achieved with an aspe...
java ajax是什么东东_Ajax是什么意思,它是在做什么用的?
weixin_34199764的博客
02-26 2万+
ajax简介AJAX全称“Asynchronous JavaScript and XML”(异步JavaScript和XML),是指一种创建交互式网页应用的网页开发技术。它有机地包含了以下几种技术: 基于web标准(standards-based presentation)XHTML+CSS的表示; 使用 DOM(Document Object Model)进行动态显示及交互; 使用 XML 和 ...
java ajax运行原理,java ajax运行原理
weixin_42299391的博客
08-05 4549
java ajax运行原理[2021-02-08 20:00:52]简介:php去除nbsp的方法:首先创建一个PHP代码示例文件;然后通过“preg_replace("/(\s|\&nbsp\;| |\xc2\xa0)/", " ", strip_tags($val));”方法去除所有nbsp即可。推荐:《PHP视频教JAVA中应用AJAX的中文乱码的解决办法:1、ajax提交时采用...
jsp防止xss转义方法
huyuminNo1的专栏
08-19 2118
输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。 比如:在输入框,输入姓名“张三confirm(123)” 如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞。 xss漏洞很好预防,只要转码就行了。 预防方式,只要输出时做处理: (1)jtsl:&lt;c:out value="${name}" ...
后端如何转义html,js脚本,防止xss攻击
qq_30503389的博客
04-19 748
具体来说,escapedString变量中包含了HTML转义字符编码,如"
Java Web 安全之XSS
Lyn12030706的专栏
01-26 424
概念 跨站脚本攻击(Cross Site Scripting),简称XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 原理 攻击者在客户端以程序的形式作为数据提交。 危害 获取页面数据 获取Cookies 劫持前端逻辑 发送请求 偷取网站任意数据 偷取用户资料 偷取
Ajax hacking with XSS(转)
02-25 1004
为 什么在Ajax hacking中使用XSS?它与传统的XSS又有什么区别?它们各有怎么样的利弊端?大型网站的所 谓XSS漏洞是否为鸡肋?下面我们一起来详细分析下。  Ajax hacking  Ajax hacking这个名词最先出现在Billy Hoffman的一篇名为《AJAX dangers》报告中,他把samy 和yamanner这种攻击形式定义为AJAX hacking。而在
“Required request body is missing”异常,要注意看看是不是下面这个问题
热门推荐
weixin_61016066的博客
06-08 4万+
Required request body is missing 异常报错??看看是不是这个地方出了问题!
javaajax的用法
xzr882123的博客
12-12 4万+
//方式一:使用post请求的方式,不通过url传参,采用data传参 $.ajax({ url:"userAction_findMangerByDeptId",//访问的地址 type:"post", data:{"传递到后台的参数名":参数}, dataType:'text',//后台返回的数据
JAVA转义字符
晨韵风的博客
07-03 333
转移字符对应的英文是escape character  (escape还有转义的意思) 字母前面加上捺斜线"\"来表示常见的那些不能显示的ASCII字符.称为转义字符.如\0,\t,\n等,就称为转义字符,因为后面的字符,都不是它本来的ASCII字符意思了。 所有的转义字符和所对应的意义: 转义字符 意义 ASCII码值(十进制) \
XSS小技巧
积累,在于坚持
01-20 1012
1、在DOM Based XSS时,可以使用//来注释不需要的符号 2、通过\转义双引号,当返回页面为GBK/GB2312时,“%cl\”两个字符组合在一起,会成为一个Unicode字符。可利用此编码规则进行XSS攻击 3、有些产生XSS的地方有变量长度的限制,可以用以下方式绕过: 利用事件把XSS Payload写到别处,再通过简短的代码加载这段payload(最常用的是将代码放在
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1522
防止xss存储型攻击
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
- **输入验证和转义**:对用户提交的数据进行严格的验证,避免特殊字符,并对输出的内容进行转义,确保不会执行任何JavaScript代码。 - **内容安全策略(Content Security Policy,CSP)**:设置CSP可以限制浏览器仅...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
java 防止xss攻击
笨鸟快飞的专栏
10-27 3467
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
关于springboot中 处理XSS转义
weixin_34291004的博客
05-12 2013
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值