java防止跨站脚本攻击_java后台防止XSS的脚本攻击

最新推荐文章于 2023-03-01 18:13:27 发布
最新推荐文章于 2023-03-01 18:13:27 发布
阅读量385 收藏
点赞数
文章标签: java防止跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34184847/article/details/114220396
版权

package com.ideatech.common.util;

import java.util.regex.Pattern;

//具体过滤关键字符

public class XSSUtil {

private static Pattern[] patterns = new Pattern[]{

// Script fragments

Pattern.compile("", Pattern.CASE_INSENSITIVE),

// src='...'

Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// lonely script tags

Pattern.compile("", Pattern.CASE_INSENSITIVE),

Pattern.compile("

// eval(...)

Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// expression(...)

Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

// javascript:...

Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE),

// vbscript:...

Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE),

// onload(...)=...

Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

//现场安全测试增加校验

Pattern.compile("alert(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile("<", Pattern.MULTILINE | Pattern.DOTALL),

Pattern.compile(">", Pattern.MULTILINE | Pattern.DOTALL)

};

public static String stripXSS(String value){

if (value != null) {

// TODO ESAPI library

// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to

// avoid encoded attacks.

// value = ESAPI.encoder().canonicalize(value);

// Avoid null characters

value = value.replaceAll("\0", "");

// Remove all sections that match a pattern

for (Pattern scriptPattern : patterns){

value = scriptPattern.matcher(value).replaceAll("");

}

}

return value;

}

public static void main(String[] args) {

System.out.println("11"+ XSSUtil.stripXSS("0"));

// System.out.println(XSSUtil.stripXSS("0"));

}

}

package com.ideatech.ams.exception;

import com.ideatech.common.util.XSSUtil;

import lombok.extern.slf4j.Slf4j;

import org.springframework.stereotype.Component;

import org.springframework.web.bind.WebDataBinder;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.InitBinder;

import java.beans.PropertyEditorSupport;

//每一个请求进入控制层之前会先进行字符过滤

@ControllerAdvice

@Component

@Slf4j

public class GlobalBindingInitializer {

@InitBinder

protected void initBinder(WebDataBinder binder) {

// String类型转换,将所有传递进来的String进行HTML编码,防止XSS攻击

binder.registerCustomEditor(String.class, new PropertyEditorSupport() {

@Override

public void setAsText(String text) {

if(text != null){

String cleanText = XSSUtil.stripXSS(text);

if(!cleanText.equals(text)){

log.info("xss clean, before[{}], after[{}]",text,cleanText);

text = cleanText;

}

}

setValue(text);

}

@Override

public String getAsText() {

Object value = getValue();

return value != null ? value.toString() : "";

}

});

}

}

原文地址:https://www.cnblogs.com/renjiaqi/p/11634421.html

漂流·甘草
关注
[网络安全自学篇] 七十八.XSS跨站脚本攻击案例分享及总结(二)
杨秀璋的专栏
05-18 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了肖老师(Seak)的分享,介绍恶意代码与APT攻击中的武器,包括A2PT的攻击武器、普通APT组织的自研恶意代码、商用恶意代码、无恶意代码作业、开源和免费工具等。这些天分享了很多系统安全和软件安全的知识,接下来让我们回归网络安全,做做XSS跨站脚本攻击案例。这些题目来自Fox好友,在此感谢他。主要内容包括XSS原理、不同类型的XSSXSS靶场9道题目、如何防御XSS。希望您喜欢~
Java防止Xss注入json_XSS的两种攻击方式及五种防御方式
weixin_39639518的博客
11-20 1638
XSS介绍跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:该攻击方式能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种反射型:是通过URL参数直接注入,一般是使用alert来...
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
网络安全(2) -- 关于一次XSS攻击-图片(img标签)的onerror事件
热门推荐
TaneRoom的博客
11-08 2万+
记一次XSS实战攻击
springmvc 防止XSS攻击
二次加工是一种痛
09-03 4047
spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止X
"><img src=xss onerror=alert(test)>
u013851193的专栏
08-02 2100
">
java 站请求伪造攻击_跨站脚本攻击XSS)和站请求伪造攻击(CSRF)
weixin_36181282的博客
02-25 265
XSS攻击原理xss诱使Web站点执行本来不属于它的代码,而这些代码由攻击者提供、为用户浏览器加载。攻击者利用这些代码执行来获取信息。从本质上来讲,XSS漏洞终究原因是由于网站的Web应用对用户提交请求参数未做充分的检查过滤。例子:我们可以给输入框输入:Java,如果网站存在安全漏洞的话就会出现显示“Java”,如果将其换成不安全脚本将会产生危害危害盗取用户的各类敏感信息,如账号密码读取、篡改、添...
java反射行跨站脚本攻击_Web安全之防止XSS跨站脚本攻击
weixin_32589453的博客
02-24 1130
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植...
java反射行跨站脚本攻击_跨站脚本攻击之反射型XSS漏洞【转载】
weixin_34734156的博客
02-24 1001
如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息,就有可能会造成一种常见的XSS漏洞。一般情况下,这种页面使用一个包含消息文本的参数,并在页面加载时将文本返回给用户。对于开发者来说,使用这种方法非常方便,因为这样的解决方法可方便的将多种不同的消息返回状态,使用一个定制好的信息提示页面。例如,通过程序参数输出传递的参数到HTML页面,则打开下面的网址将会返回一个消息提示:http://f...
java 富文本 xss_个人网站对xss跨站脚本攻击(重点是富文本编辑器情况)和sql注入攻击的防范...
weixin_39664010的博客
02-16 1184
昨天本博客受到了xss脚本注入攻击,3分钟攻陷……其实攻击者进攻的手法很简单,没啥技术含量。只能感叹自己之前竟然完全没防范。这是数据库里留下的一些记录。最后那人弄了一个无限循环弹出框的脚本,估计这个脚本之后他再想输入也没法了。类似这种:我立刻认识到这事件严重性,它说明我的博客有严重安全问题。因为xss跨站脚本攻击可能导致用户Cookie甚至服务器Session用户信息被劫持,后果严重。虽然攻击...
spring mvc 防止xss攻击
hyhanyu的博客
07-18 2716
在网上查询了一些方法: 1.写一个过滤器和一个HttpServletRequestWrapper 并重写他的getParameterValues 和 getParameter方法,这个方法是可行的但是对@RequsetBody 参数无效 针对Spring MVC中的@RequestParam获取的参数,走的是getParameterValues()方法。   import java.io....
"><img src=x onerror=alert(1)>
Root_Mosuan的专栏"}/></script><script>alert(/xss/)</s
12-30 2818
"><img src=x onerror=alert(1)>
java xss 解决,如何清理Java中的HTML代码以防止XSS攻击
weixin_36322454的博客
02-16 342
I'm looking for class/util etc. to sanitize HTML code i.e. remove dangerous tags, attributes and values to avoid XSS and similar attacks.I get html code from rich text editor (e.g. TinyMCE) but it can...
java攻击_java 防止 XSS 攻击的常用方法
weixin_33589626的博客
02-12 2237
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.2. 采用开源的实现 ESAPI library ,参考网址:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API3. 可以采用spring 里面提供的工具类来实现.一, ...
img加载失败时,限制onerror执行次数
邓惠子飞吧
05-24 3173
在vue中,图片加载失败时,用onerror重复请求10次,如果还是失败,则替换为默认图片的实现html:&lt;el-table-column prop="imageUrls" label="底库照片"&gt; &lt;template slot-scope="scope"&gt; &lt;div class="image-container" v-for
XSS漏洞(一)
最新发布
m0_61841735的博客
03-01 355
onerror事件型xss使用逗号隔开事件脚本,从而执行三个javascript脚本,进而执行xss
Spring 中处理XSS
nz360的专栏
08-19 2703
有2中方式 一:在BaseController中定义方法 /**   * 初始化数据绑定   * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击   *   */   @InitBinder   protected void initBinder(Web
加载默认图片,如何避免img标签陷入onerror事件死循环
暖心欧巴丶的博客
02-19 2413
当图片加载失败的时候,我们可以利用onerror事件赋予它默认图片,但是问题来了,假如默认图片又不存在呢,即加载失败,这个时候就会陷入死循环。 为了避免死循环的情况,我们可以在执行完onerror事件后,置于onerror=null 来清除onerror事件,参考代码如下:
java xss设置_在JAVA项目中关于XSS处理
weixin_29499957的博客
02-13 999
1.使用Spring MVC框架,继承BaseController时:/*** 初始化数据绑定* 1. 将所有传递进来的String进行HTML编码,防止XSS攻击* 2. 将字段中Date类型转换为String类型*/@InitBinderprotected void initBinder(WebDataBinder binder) {// String类型转换,将所有传递进来的String进行...
XSS攻击防御深度解析:原理、风险与分类
Java中的反射型XSS通过发送带有恶意脚本的URL利用EL表达式特性,因为它们可以从后台数据中取值但不可修改,成为攻击途径。 - **存储型XSS** (Persistent XSS): 恶意脚本在服务器端被存储,并在后续的页面请求中被...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值