XSS跨站点脚本攻击拦截器

最新推荐文章于 2024-05-24 12:41:37 发布
最新推荐文章于 2024-05-24 12:41:37 发布
阅读量344 收藏
点赞数
文章标签: java python web.xml
原文链接:https://my.oschina.net/u/273709/blog/407155
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

别的就不说了,直接上代码: 1、web.xml文件的配置 <!-- xss跨站点脚本攻击拦截器 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.gzqh.common.interceptor.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> 2、拦截器代码 1)类1代码: package com.gzqh.common.interceptor;

import java.io.IOException;

import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {
}

@Override 
public void doFilter(ServletRequest request, ServletResponse response,  
        FilterChain chain) throws IOException, ServletException {  

    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
            (HttpServletRequest) request);  
    chain.doFilter(xssRequest, response);  
}  

@Override 
public void destroy() {  
}

}

2)类2代码 package com.gzqh.common.interceptor;

import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {  
    super(request);  
    orgRequest = request;  
}  

/** 
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
 */ 
@Override 
public String getParameter(String name) {  
    String value = super.getParameter(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
 * getHeaderNames 也可能需要覆盖 
 */ 
@Override 
public String getHeader(String name) {  

    String value = super.getHeader(xssEncode(name));  
    if (value != null) {  
        value = xssEncode(value);  
    }  
    return value;  
}  

/** 
 * 将容易引起xss漏洞的半角字符直接替换成全角字符 
 *  
 * @param s 
 * @return 
 */ 
private static String xssEncode(String s) {  
    if (s == null || s.isEmpty()) {  
        return s;  
    }
    StringBuilder sb = new StringBuilder(s.length() + 16);  
    for (int i = 0; i < s.length(); i++) {  
        char c = s.charAt(i);  
        switch (c) {  
        case '>':  
            //sb.append("&gt;");// 转义大于号   
            break;  
        case '<':  
            //sb.append("&lt;");// 转义小于号   
            break;  
        case '\'':  
            //sb.append("'");// 转义单引号   
            break;  
        case '\"':  
            //sb.append("&quot;");// 转义双引号   
            break;
        case '(':
            break;
        case ')':
            break;
        case ';':
            break;
        case '&':  
            sb.append("&");// 转义&   
            break;  
        default:  
            sb.append(c);  
            break;  
        }  
    }  
    return sb.toString();  
}  

/** 
 * 获取最原始的request 
 *  
 * @return 
 */ 
public HttpServletRequest getOrgRequest() {  
    return orgRequest;  
}  

/** 
 * 获取最原始的request的静态方法 
 *  
 * @return 
 */ 
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
    if (req instanceof XssHttpServletRequestWrapper) {  
        return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
    }  

    return req;  
}

}

转载于:https://my.oschina.net/u/273709/blog/407155

weixin_34347651
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
拦截XSS攻击
qq_29086005的博客
01-02 611
话不多说直接上代码 @Configuration public class XssConfiguration { /** * 描述 : xssObjectMapper * * @param builder builder * @return xssObjectMapper */ @SuppressWarnings("Spring...
XSS脚本注入拦截框架 antisamy
04-06
XSS跨站脚本攻击是Web应用安全领域中一个常见的威胁,它通过注入恶意脚本到看似可信的网站上,进而对用户进行攻击。为有效防御XSS攻击,OWASP(开放Web应用安全项目)开发了名为AntiSamy的脚本注入拦截框架。...
配置过滤器filter对跨站脚本攻击XSS实现拦截
Welcom to zougangx's blog
11-21 7641
1.web.xml中配置filter [html] view plain copy filter>       filter-name>XssFilterfilter-name>       filter-class>com.wk.util.XssFilterfilter-class>   filter>   filter-mapping
[Spring Cloud] (9)XSS拦截器
最新发布
一个喜欢什么都研究一下的小小后端程序员
05-24 558
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3417
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
防止XSS跨站脚本攻击Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击脚本多数时候是域的,所以称之为“脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
java跨站点源码
01-07
Java跨站点源码主要涉及的是Web应用安全领域的一个重要概念——防止跨站脚本攻击(Cross-Site Scripting,简称XSS)。XSS是一种常见的网络攻击方式,攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下...
iis关键字拦截过滤器IISKeywordsFilter
09-15
这样可以有效地防止诸如SQL注入、跨站脚本XSS)等常见的Web应用攻击。 配置IIS关键词拦截过滤器通常涉及以下几个步骤: 1. **安装与启用**:首先,需要确保IIS服务器已安装了URL Rewrite模块,这是实现关键词...
xss game挑战笔记.pdf
02-11
XSS(Cross Site Scripting)即跨站脚本攻击,是一种常见的Web应用程序安全漏洞。攻击者通过在Web页面中注入恶意脚本代码,当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。XSS攻击...
IIS非法信息过滤器
08-20
该过滤器的主要目的是防止恶意用户通过HTTP请求发送有害或非法的信息,例如SQL注入攻击跨站脚本XSS攻击等。这些攻击可能导致数据泄露、系统瘫痪甚至完全控制服务器。 ### IIS非法信息过滤器的工作原理 IIS...
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
xss过滤拦截器
癸酉金鸡的博客
04-30 1222
SpringBoot过滤器过滤get及post请求中的XSS和SQL注入 (推荐) package com.orchard.pomeloweb.config; import com.google.common.collect.Maps; import com.orchard.common.filter.XssFilter; import org.springframework.boot.web....
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3392
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
防止xss攻击拦截器
heihei_100的博客
06-13 3048
web.xml &lt;filter&gt; &lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.cloudjet.izhuan.mobile.webapp.xss.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-map...
在 Axios 请求拦截器中进行 XSS 过滤
weixin_43507141的博客
03-21 717
xss
java 防止 XSS 攻击
维馨梦之恋的博客
08-28 1142
本人在做某项目中,存在通过电子邮件模板消息存储XSS,因为前端使用富文本编辑框编辑html,但在后端保存的时候,并没有进行xss过滤,因此存在xss问题。 经过研究,本项目使用https://github.com/OWASP/java-html-sanitizer清理所有包含html标记的字段,这些字段可以防止xss攻击。 public class HtmlUtil { private...
XSS跨站脚本攻击解决办法
surpassone的专栏
09-14 913
跨站脚本攻击首先先知道什么是跨站脚本攻击跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。 详解
PHP和Apache环境中部署xsslabs XSS跨站脚本攻击靶场教程
xsslabs是一个XSS跨站脚本攻击靶场工具,旨在帮助开发者和安全人员学习和检测XSS攻击XSS攻击是一种常见的Web应用程序漏洞,攻击者可以通过inject恶意脚本来盗取用户cookie、劫持用户会话、修改页面内容等。 **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值