java xss过滤器_JavaWeb实现XSS过滤器

最新推荐文章于 2024-07-11 17:44:10 发布
最新推荐文章于 2024-07-11 17:44:10 发布
阅读量885 收藏 1
点赞数
文章标签: java xss过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34245171/article/details/114099633
版权
本文介绍了如何在JavaWeb应用中实现XSS过滤器,通过自定义`XSSHttpServletRequestWrapper`类对请求参数、attribute和头部进行特殊字符过滤。过滤器在请求传递前清除可能的恶意脚本,确保应用安全。同时展示了如何定义`XSSHttpServletRequestFilter`并将其注册到Spring Boot的bean容器中。
摘要由CSDN通过智能技术生成

public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {

/**

* Constructs a request object wrapping the given request.

*

* @param request The request to wrap

* @throws IllegalArgumentException if the request is null

*/

public XSSHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

/**

* 对数组参数进行特殊字符过滤

*/

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if (values == null) {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i < count; i++) {

encodedValues[i] = cleanXSS(values[i]);

}

return encodedValues;

}

/**

* 对参数中特殊字符进行过滤

*/

@Override

public String getParameter(String name) {

String value = super.getParameter(name);

if (value == null) {

return null;

}

return cleanXSS(value);

}

/**

* 获取attribute,特殊字符过滤

*/

@Override

public Object getAttribute(String name) {

Object value = super.getAttribute(name);

if (value != null && value instanceof String) {

cleanXSS((String) value);

}

return value;

}

/**

* 对请求头部进行特殊字符过滤

*/

@Override

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null) {

return null;

}

return cleanXSS(value);

}

private String cleanXSS(String value) {

if (value != null) {

//推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);

// 避免空字符串

value = value.replaceAll(" ", "");

// 避免script 标签

Pattern scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// 避免src形式的表达式

scriptPattern = Pattern.compile("src[

]*=[

]*\"(.*?)\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("src[

]*=[

]*\"(.*?)\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// 删除单个的 标签

scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// 删除单个的

scriptPattern = Pattern.compile("

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// 避免 eval(...) 形式表达式

scriptPattern = Pattern.compile("eval\((.*?)\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// 避免 e­xpression(...) 表达式

scriptPattern = Pattern.compile("e­xpression\((.*?)\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// 避免 javascript: 表达式

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// 避免 vbscript:表达式

scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// 避免 οnlοad= 表达式

scriptPattern = Pattern.compile("onload(.*?)=",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

}

return value;

}

}

定义过滤器:

public class XSSHttpServletRequestFilter implements Filter {

private final Logger logger = LoggerFactory.getLogger(getClass());

@Override

public void init(FilterConfig filterConfig) throws ServletException {

logger.info("##init XSSFilter");

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

try {

//将请求转换为 自定义的请求包装类

chain.doFilter(new XSSHttpServletRequestWrapper((HttpServletRequest) request), response);

} catch (Exception e) {

throw e;

}

}

@Override

public void destroy() {

logger.info("##destroy XSSFilter");

}

}

将过滤器注册到spring的bean容器中:

@Bean

public FilterRegistrationBean xSSHttpServletRequestFilterRegistrationBean() {

FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();

filterRegistrationBean.setFilter(new XSSHttpServletRequestFilter());

filterRegistrationBean.setName("xSSHttpServletRequestFilter");

filterRegistrationBean.setUrlPatterns(Arrays.asList("/xxx"));

filterRegistrationBean.setOrder(1);

return filterRegistrationBean;

}

这里使用的springboot,如果是spring,相当于在web.xml中加入一下配置:

xSSHttpServletRequestFilter

com.xxx.xxx.xxxx.XSSHttpServletRequestFilter

xSSHttpServletRequestFilter

/xxx

子文一点点
关注
java过滤器过滤xss_web项目脚本过滤--XSS过滤器
weixin_36239323的博客
02-24 1091
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
java web xss防御_JavaWeb XSS攻击防御
weixin_33985453的博客
02-16 293
XSS概述跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。实现Filter实现XSS过滤器package com.bj58.qf.filter;import javax.servlet.*;import javax.servlet...
Xss过滤器Java
chi0830的博客
08-20 1762
问题 最近旧的系统,遇到Xss安全问题。这个系统采用用的是spring mvc的maven工程。 解决 maven依赖配置 <properties> <easapi.version>2.2.0.0</easapi.version> </propert...
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 1117
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 389
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_36036029的博客
02-26 199
Java Web使用过滤器防止Xss攻击,解决Xss漏洞发布时间:2018-11-11 10:41,浏览次数:286, 标签:JavaWebXssweb.xml添加过滤器 xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter *过滤器代码package com.quickly.exception.common.filter...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2649
java防止XSS攻击
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
java对请求参数进行过滤_javaWeb如何写拦截器过滤前端所有请求中的数据
weixin_36035610的博客
02-24 1293
1、重新对request进行包装,需要继承HttpServletRequestWrapperpackage com.topcheer.common;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import org.apache.commons.lan...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
1. **XSS过滤器**:XSSProject提供了强大的XSS过滤机制,能够对用户输入的数据进行检查和清理,移除潜在的恶意脚本。这些过滤规则覆盖了多种常见的XSS攻击手法,如JavaScript注入、CSS注入、HTML实体编码绕过等。 2...
java过滤器,防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
javaxss必备jar包及过滤器代码
08-21
包含xssProtect-0.1.jar等三个必需jar包,相关过滤器代码
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
JAVA--Xss过滤器(实体或List)
AndyJuseKing的博客
08-18 455
JAVAXss过滤器(实体或List) import org.apache.commons.lang.StringEscapeUtils; import java.lang.reflect.Field; import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import java.util.ArrayList; import java.util.Arrays; import java.ut
Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_30640291的博客
06-10 548
转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687 版权声明:本文为博主原创文章,转载请注明出处!有时候也不是原创,手快就选了(我的文章随意转载复制,不在乎的哈!) https://blog.csdn.net/qq_31384551/article/details...
Java Web 过滤Xss 代码
iteye博客
04-08 290
    随着社会的发展,企业对项目的要求越来越高,特别是和安全相关的项目,要求不能有注入,Xss等等。博主今天分享一个过滤Xss代码的过滤器。   package com.vti.filter; import java.io.IOException; import java.util.Arrays; import java.util.List; import javax.se...
java防止xss攻击(过滤器
meat_eating的博客
11-08 3072
java防止xss攻击
java xss过滤器_防止常见XSS 过滤 SQL注入 JAVA过滤器filter
weixin_42520132的博客
02-16 196
value = scriptPattern.matcher(value).replaceAll("");// Remove any lonesometagscriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);value = scriptPattern.ma...
java过滤xss_Java对类进行XSS过滤
weixin_31869917的博客
02-12 626
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
javaweb敏感词过滤器
11-08
JavaWeb中,可以使用Filter接口来实现敏感词过滤器,通过在web.xml文件中配置过滤器,使其对指定的URL或Servlet进行过滤处理。 另外,敏感词过滤器还可以用于防止XSS攻击,即跨站脚本攻击。XSS攻击是一种常见的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值