SpringMVC防止XSS注入

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量358 收藏 1
点赞数
文章标签: 测试 java web.xml

xss(Cross Site Scripting)注入就是,跨站脚本攻击,和sql注入类似的,在请求中添加恶意脚本,实现控制用户。

XssHttpServletRequestWrappe.java  

重写XssHttpServletRequestWrapper中的方法:

package com.henu.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * XSS
 * 
 * @author duxiangyu
 * 
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null)
            return null;
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null)
            return null;
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }

    // 这里可以自己实现转义,也可以直接用工具类进行转义,比如说org.apache.common.lang.StringEscapeUtils和org.springframework.web.util.HtmlUtils
    private String cleanXSS(String str) {
        StringBuffer sb = new StringBuffer();
        for (int i = 0; i < str.length(); i++) {
            char c = str.charAt(i);

            switch (c) {
            case '\n':
                sb.append(c);
                break;
            case '<':
                sb.append("&lt;");
                break;
            case '>':
                sb.append("&gt;");
                break;
            case '&':
                sb.append("&amp;");
                break;
            case '\'':
                sb.append("&apos;");
                break;
            case '"':
                sb.append("&quot;");
                break;
            default:
                if ((c < ' ') || (c > '~')) {
                    sb.append("&#x");
                    sb.append(Integer.toString(c, 16));
                    sb.append(';');
                } else {
                    sb.append(c);
                }
                break;
            }
        }
        return sb.toString();
    }
}

XssFilter.java

写个拦截器,对请求进行拦截过滤:

package com.henu.util;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * XSS 过滤器
 * 
 * @author duxiangyu
 * 
 */
public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    // 对request进行包装
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}

在web.xml中配置拦截器,对所有的.ht请求进行过滤:

<filter>
    <filter-name>xssFilter</filter-name>
    <filter-class>com.henu.util.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>*.ht</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

 

weixin_34383618
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3218
1.在输出时过虑文本(JSON) JSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加入一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
防sql注入xss攻击, springmv拦截器
07-24
防sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3869
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 6569
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Spring Mvc防止Xss攻击
pursue.dreams的博客
11-19 687
Spring Mvc防止Xss攻击 1,在web.xml中添加Filter 2,编写XssFilter类 3,编写XsslHttpServletRequestWrapper类 HttpServletRequest xssRequest = null; public XsslHttpServletRequestWrapper(HttpServletRequest reques...
spring mvc 防止xss攻击
hyhanyu的博客
07-18 2709
在网上查询了一些方法: 1.写一个过滤器和一个HttpServletRequestWrapper 并重写他的getParameterValues 和 getParameter方法,这个方法是可行的但是对@RequsetBody 参数无效 针对Spring MVC中的@RequestParam获取的参数,走的是getParameterValues()方法。   import java.io....
springMVC12.rar_springMvc 注册_springmvc
09-24
在实际开发中,还需要考虑安全性问题,如密码加密存储、防止 SQL 注入XSS 攻击等。此外,为提高用户体验,通常还会添加 AJAX 异步请求,以及分页、搜索等高级功能。 总之,"springMVC12" 项目展示了如何利用 ...
SpringMVC用户登录Demo
12-02
7. **安全考虑**:在实际项目中,我们还需要考虑安全性问题,例如防止SQL注入XSS攻击等。Spring Security是一个很好的工具,它可以集成到SpringMVC中,提供身份验证和授权功能,增强系统的安全性。 在压缩包文件...
SpringMVC+mysql框架
11-13
4. **安全考虑**:防止SQL注入XSS攻击等,使用预编译语句、过滤用户输入等手段。 5. **日志记录**:使用日志框架如Log4j记录系统运行状态,便于问题排查。 综上所述,"SpringMVC+mysql框架"项目涵盖了Web开发的多...
springMVC通过Filter实现防止xss注入
江南@风少的博客
03-24 1786
springMVC通过Filter实现防止xss注入
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Java中使用Springmvc拦截器拦截XSS攻击(XSS拦截)
大漠孤烟
04-08 1万+
1.定义拦截器(设置要拦截的方法或者不拦截的)2.拦截器写法(这里用了两个,一个拦截html标签,一个拦截html事件属性)IllegalCharInterceptor拦截器写法如下:其中HTMLSprit.delHTMLTag()方法如下:JqqXssInterceptor拦截器写法如下:其中枚举类写法如下:...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
犬小哈
03-27 457
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 / Java 学习路线 /一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦,演示链接:http://116.62.199.48/,新项目正在酝酿中。全程手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了239小节,累计38w+字,讲解图:164...
SpringSecurity教程】防止XSS攻击
热门推荐
terrybg
06-11 1万+
XSS是跨站脚本攻击,攻击者提交可执行的恶意脚本如(html/js/css),来影响网址的使用。演示如下: 模拟XSS攻击: 测试效果如下:如果攻击者的恶意请求,服务器将结果保存到数据库后,下次用户查询的时候,可想而知影响很大。1.Spring设置过滤器或者拦截器2.后端设置编码转义(将标签转义如将转义成),常见解决方案有Spring的HtmlUtils和Apache Commons3.设置X-XSS-Protection请求头4.前端展示层做处理本文主要描述 Spring设置编码转义,原理是将标签转义如将
Spring应用程序中防止跨站点脚本 (XSS)
allway2的博客
07-24 1167
在反射型或非持久性XSS中,不受信任的用户数据被提交给Web应用程序,该应用程序立即在响应中返回,从而将不信任的内容添加到页面中。这可能允许黑客向您发送一个链接,当您点击该链接时,会导致您的浏览器从您使用的站点检索您的私人数据,然后让您的浏览器将其转发到黑客的服务器。在SpringWeb应用程序中,用户的输入是HTTP请求。为了防止攻击,我们应该检查HTTP请求的内容并删除任何可能被服务器或浏览器执行的内容。在XSS中,攻击者试图在Web应用程序中执行恶意代码。...
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能
chenghuagui9785的博客
05-31 1114
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1222
将参数中有关xss攻击的非法字符全部处理掉。
xss springmvc ajax,Java SpringMVC防止跨站脚本(XSS注入攻击实现
weixin_31898831的博客
08-05 1811
跨站脚本(XSS)注入攻击防御的最有效办法是,通过Filter过滤检查提交参数的合法性。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Spring MVC Xss FilterXSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指...
springmvc sql注入
07-29
Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值