filter防止xxs攻击

最新推荐文章于 2021-07-31 12:55:06 发布
最新推荐文章于 2021-07-31 12:55:06 发布
阅读量95 收藏
点赞数
文章标签: java javascript ViewUI
原文链接:http://www.cnblogs.com/xiufengchen/p/10404554.html
版权

什么是XSS攻击?

XSS攻击使用Javascript脚本注入进行攻击

例如在表单中注入: <script>location.href='http://www.itmayiedu.com'</script>

注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器

fromToXss.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    <form action="XssDemo" method="post">
        <input type="text" name="userName"> <input type="submit">
    </form>
</body>
</html>

XssDemo

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@WebServlet("/XssDemo")
public class XssDemo extends HttpServlet {

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String userName = req.getParameter("userName");
        req.setAttribute("userName", userName);
        req.getRequestDispatcher("showUserName.jsp").forward(req, resp);
    }
    

}

代码: showUserName.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>

</head>
<body>userName:${userName}

</body>
</html>

解决方案:

使用Fileter过滤器过滤器注入标签

XSSFilter

public class XssFiter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req);
        chain.doFilter(xssRequestWrapper, response);
    }

    public void destroy() {

    }

}

 

XssAndSqlHttpServletRequestWrapper

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;

/**
 * 防止XSS攻击
 */
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest request;
    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }
    @Override
    public String getParameter(String name) {
        String value = request.getParameter(name);
        System.out.println("name:" + name + "," + value);
        if (!StringUtils.isEmpty(value)) {
            // 转换Html
            value = StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }
}

 

转载于:https://www.cnblogs.com/xiufengchen/p/10404554.html

weixin_30319097
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
StringUtil 工具类 过滤作用
aescoty的专栏
02-19 467
package com.lzg.guestbook;public class StringUtil{    public static boolean validateNull(String args)    {        if ((args == null) || (args.length() == 0))        {            return
JS变异小技巧:使用JavaScript全局变量绕过XSS过滤器
systemino的博客
07-29 619
什么是JavaScript全局变量? JavaScript全局变量在函数外部声明或使用window对象声明,它可以通过任何函数访问。 假设你的目标Web应用程序容易受到映射到JavaScript字符串或JavaScript函数中的XSS的攻。 例如,下面的PHP脚本: echo"<script> varmessage='Hello".$_GET["name...
XssFilter 创建与配置
csdn565973850的博客
03-14 2758
XssFilter 创建与配置增加XssFilter过滤器创建XssFilter创建XssHttpServletRequestWrapper在web.xml增加过滤器 增加XssFilter过滤器 创建XssFilter package com.dongao.filter; import javax.servlet.*; import javax.servlet.http.HttpServlet...
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
所有需要的文件均在里面,超有所值
防范跨站脚本攻击XXS)的关键手段
weixin_30511107的博客
11-17 338
1:加强对提交信息和页面显示信息的过滤,让非法提交内容无处施展; 2:让存储在cookie中的sessionid无法被js读取到。 如今的xss 相比网上很多资料中,在技术上已经发生了很大变化。由于各大网站加强了对于js脚本、html标签等关键信息的过滤,单纯依靠植入javascript代码很难实施攻击。 PC端页面,一些视频类、页游网站存在大量的flash内嵌在页面中,可以尝试...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
JAVA WEB项目解决XSS攻击的办法
02-27 2901
记一次JAVA WEB项目解决XSS攻击的办法(亲测有效) Posted on2019-03-01 13:22zkongbai 阅读(4381) 评论(4)编辑收藏 什么是XSS攻击     简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.     为啥说这个,因为SpringMVC对于Xs...
基于Servlet的web应用如何防止XSS攻击
Cloud-Future的博客
07-31 1025
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何防止XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
ASP.NET MVC中防止XXS跳转
SuperLinmeng的博客
12-04 1795
public ActionResult Login(LogOnModel model, string returnUrl) { if (ModelState.IsValid) { RegisteredUser usr = RegisteredUserBLL.AuthenticateUse
防止xss攻击
x386277405的专栏
09-21 370
防止xxs攻击过滤,代码清单如下 package com.security; import java.io.IOException; import java.util.Arrays; import java.util.List; import java.util.Map; import javax.servlet.Filter; import javax.servle
java 防止sql xxs注入_【Java防止SQL注入问题 解决XSS攻击 (个人梳理)
weixin_35799294的博客
03-06 574
Java防止SQL注入问题 解决XSS攻击 (个人梳理)【Java防止SQL注入问题 解决XSS攻击 (个人梳理)文章目录前言sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是,SQL 数据库的操作是通过 SQL 语句来执行的,而无论是执行代 码还是数据项都必须写在 SQ...
Servlet Filter 技术防止XSS攻击的过滤器例子
lhever_的博客
03-01 1366
java servlet 的filter技术防止xss攻击的例子
【安全】P 4-22 xss filter过滤器
Z_David_Z的博客
02-21 208
目录0X01 htmlspecialchars()函数0X02 htmlentities()函数0X03 strip——tags()函数0X04 自定义xss filter 0X01 htmlspecialchars()函数 htmlspecialchars(string,flags,character-set,double_encode) 参考链接:http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp 0X02 htmlenti
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1520
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
防止icmp攻击华为命令
04-07
防止 ICMP 攻击主要有以下几种方式: 1. 设置 ACL:通过设置 ACL(Access Control List)规则,限制进入网络的 ICMP 数据包数量和类型,从而防止 ICMP 攻击。具体命令如下: acl number 3000 rule permit icmp ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值