java url注入链接_java请求URL带参之防XSS攻击

最新推荐文章于 2023-03-19 15:46:12 发布
最新推荐文章于 2023-03-19 15:46:12 发布
阅读量572 收藏
点赞数
文章标签: java url注入链接
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29213655/article/details/114211412
版权

packagecom.isoftstone.ifa.web.base.filter;importjava.util.regex.Pattern;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importorg.apache.commons.lang.StringUtils;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {private static final Logger logger =LoggerFactory

.getLogger(XssHttpServletRequestWrapper.class);publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);

}/*** 对数组参数进行特殊字符过滤*/@OverridepublicString[] getParameterValues(String name) {

String[] values= super.getParameterValues(name);if (values != null) {int length =values.length;

String[] escapseValues= newString[length];for (int i = 0; i < length; i++) {

escapseValues[i]=escapeHtml4(values[i]);

}returnescapseValues;

}return super.getParameterValues(name);

}

@OverridepublicString getQueryString() {return escapeHtml4(super.getQueryString());

}/*** 对参数中特殊字符进行过滤*/@OverridepublicString getParameter(String name) {return escapeHtml4(super.getParameter(name));

}/*** 对请求头部进行特殊字符过滤*/@OverridepublicString getHeader(String name) {return escapeHtml4(super.getHeader(name));

}public staticString escapeHtml4(String value) {if(StringUtils.isNotBlank(value)) {//避免script 标签

Pattern scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//避免src形式的表达式

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");

scriptPattern= Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//删除单个的 标签

scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//删除单个的

scriptPattern = Pattern.compile("

value= scriptPattern.matcher(value).replaceAll("");//避免 eval(...) 形式表达式

scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//避免 e­xpression(...) 表达式

scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//避免 javascript: 表达式

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//避免 vbscript:表达式

scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//避免 οnlοad= 表达式

scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//避免 οnmοuseοver= 表达式

scriptPattern = Pattern.compile("onmouseover(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//避免 οnfοcus= 表达式

scriptPattern = Pattern.compile("onfocus(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//避免 οnerrοr= 表达式

scriptPattern = Pattern.compile("onerror(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//移除特殊标签

value = value.replaceAll("<", "<").replaceAll(">", ">");

}returnvalue;

}public static voidmain(String[] args) {

String value= "&receiveCellphone=13888888888&receiveEmail=ssssss%40qq.com\"/>&";

System.out.println("===:"+escapeHtml4(value));

}

}

陈振玥
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
Web安全之XSS攻击与防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击注入JS代码)。诱使受害者打开受到攻击的服务器URL。受害者在Web浏览器中打开URL,恶意脚本执行。(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:存储型XSS和反射型的XSS差
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的朋友可以参考下
检查网址URL中字符串类型及个数(ASP防注入)
06-13
用于防范ASP非法注入 '一个用于检查网址URL中字符串类型及个数的函数,Write By Msdiy. '调用效果 response.Write CheckQstring("id,int,0||title,string,10",true,true,true) '具体用法如下 '参数1: Qstrings 例如 "newsid,int,0||newstitle,string,10" '参数1: Qstrings 通过 "||" 和 "," 两次拆分,分别获取每一个查询参数 名称,类型(int,string两种),最大长度(0为不限制); '参数2: Qcount 检查参数个数就否一致,boolean型; '参数3: inSql SQL注入检查,boolean型; '参数4: allSame URL中必段包含查询参数名称一致性检查,boolean型。
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
通过url后面的参数进行sql注入
李书明(石家庄)的专栏
01-23 7797
通过url后面的参数进行sql注入,也是攻击者经常使用 伎俩,主要是利用了程序员使用了root帐户连接数据库和动态拼接sql指令的弊端。 看下面的例子 如果程序使用以下的代码实现上面的功能,无疑给攻击者开放了大门。 连接数据库:conn.php <?php $mysqli = new mysqli('localhost','root','root','demo'); i...
图解HTTP 十一、Web的攻击技术
ziggy7的博客
12-01 270
针对Web的攻击技术  互联网的攻击大多是冲着Web站点来的。 HTTP不具备必要的安全功能  HTTP在安全性方面较为劣势。 在客户端可篡改请求   针对Web应用的攻击模式 ●主动攻击:攻击者直接访问Web应用,把攻击代码传入。需要攻击者能够访问那些资源。如SQL注入和OS命令注入攻击。 ●被动攻击:是指利用圈套策略执行攻击代码的攻击模式。在被动攻击过程,攻击者不直接对目标Web应用访问发起攻击。 其余见 https://blog.csdn.net/u010150046/article/detai
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3178
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
前端安全:CSRF、XSS该怎么防御?
椰卤工程师的个人博客
11-12 2275
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
使用配置文件注入URL
qq_39979373的博客
10-25 2390
创建一个resources.properties配置文件,将需要用到的URL放在里面#商品的url ITEM_URL=http://localhost:8081/item/ #调用商品描述的url ITEM_DESC_URL=http://localhost:8081/itemDesc/ #调用商品规格的url ITEM_PARAM_URL:http://localhost:8081/itemPar
springboot——(2)URL配置、依赖注入、Get/Post传参、热部署
qifengsunny的博客
08-20 6970
创建一个springboot工程,添加@RestController注解及控制器函数后,即实现了基本的http请求的响应,可参考我的博文创建工程并做好简单的配置。https://mp.csdn.net/postedit/81870492 下面做一些简单的实践学习,主要包括:修改http请求的端口路径,从配置文件中注入属性(其实就是模拟一下获取后台数据),解析http请求参数并给予反馈,热部署避...
SpringBoot属性注入的方式
xingxing12323的博客
03-07 358
Springboot项目的创建 引入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.6....
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7602
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
前端预防XSS攻击全攻略
前端小师姐迪迪_的博客
02-23 2198
前端如何预防XSS攻击XSS攻击做了哪些坏事?
SQL注入
qq_62803993的博客
01-08 1184
Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
java链接_JAVA中三种URL连接方法
weixin_42601608的博客
02-12 2569
Java的网络类可以让你通过网络或者远程连接来实现应用。而且,这个平台现在已经可以对国际互联网以及URL资源进行访问了。JavaURL类可以让访问网络资源就像是访问你本地的文件夹一样方便快捷。我们通过使用JavaURL类就可以经由URL完成读取和修改数据的操作。通过一个URL连接,我们就可以确定资源的位置,比如网络文件、网络页面以及网络应用程序等。其中包含了许多的语法元素。从URL得到的数据可...
java xss 注入攻击
05-27
Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值