Java输入检验防止xss_06_JavaWeb项目防止xss漏洞攻击解决办法

最新推荐文章于 2024-05-14 14:12:08 发布
最新推荐文章于 2024-05-14 14:12:08 发布
阅读量890 收藏
点赞数
文章标签: Java输入检验防止xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35144564/article/details/114806354
版权

步骤:

pom添加maven依赖

自定义过滤器Filter拦截请求,并对请求参数进行xss过滤处理

具体实现如下:

1. pom添加依赖

org.apache.tomcat

tomcat-servlet-api

8.0.36

provided

javax.servlet

servlet-api

2.5

provided

2. 自定义过滤器Filter,并对请求Request进行xss过滤处理

@SpringBootConfiguration

@WebFilter(filterName = "XssFilter",urlPatterns = {"/*"})

public class XssFilter implements Filter {

/**无需进行xss过滤的uri地址*/

private static final Set ALLOWED_PATHS = Collections.unmodifiableSet(new HashSet<>(Arrays.asList("/pay/wxNotify","/pay/alNotify","/pay/gateway")));

@Override

public void init(FilterConfig filterConfig) throws ServletException {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest)req;

HttpServletResponse response = (HttpServletResponse)resp;

String path = request.getRequestURI().substring(request.getContextPath().length()).replaceAll("[/]+$", "");

boolean allowedPath = ALLOWED_PATHS.contains(path);

if(allowedPath) {

chain.doFilter(request, response);

}else {

chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

}

}

@Override

public void destroy() {

// TODO Auto-generated method stub

}

}

----------------------------------------------------------

最低0.47元/天 解锁文章
橙一橙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 1985
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 956
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
校验是否有xss注入\xss过滤\防止恶意url\处理安全漏洞扫描出来的json注入
最新发布
Pandora_417的博客
05-14 134
【代码】校验是否有xss注入\xss过滤\防止恶意url\处理安全漏洞扫描出来的json注入。
java修复xss漏洞
weixin_43876557的博客
07-29 3011
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
反射型XSS漏洞详解
gb4215287的博客
02-04 2106
反射型XSS漏洞 如果一个应用程序使用动态页面向用户显示错误消息,就会造成一种常见的XSS漏洞。通常,该页面会使用一个包含消息文本的参数,并在响应中将这个文 本返回给用户。对于开发者而言,使用这种机制非常方便,因为它允许他们从应用程序中调用一个定制的错误页面,而不需要对错误页面中的消息分别进行硬编码。 例如,下面的URL返回如图12-1所示的错误消息: https://wahh-app.co...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
JavaWeb配置XSSProject是为了有效防止XSS(跨站脚本攻击)这一常见的网络安全问题。XSS攻击允许攻击者在用户的浏览器中注入恶意脚本,可能导致数据泄露、用户会话劫持等严重后果。XSSProject是一个专门针对XSS攻击...
JAVAWEB网上商城购物系统.zip_Javaweb在线商城_java 商城_javaweb 商城_java购物商城_网上购物
07-15
为了防止SQL注入、XSS攻击等安全风险,开发人员需要进行输入验证、参数化查询和安全编码等措施。同时,还需要考虑用户的隐私保护,如使用HTTPS协议加密传输数据,确保用户信息的安全。 总结来说,JAVAWEB网上商城...
BBS.rar_bbs jsp_java BBS_java+web+servlet_javaweb论坛项目_jsp/serv
09-22
【标题】"BBS.rar_bbs jsp_java BBS_java+web+servlet_javaweb论坛项目_jsp/serv" 提供的信息显示,这是一个基于Java Web技术开发的BBS(Bulletin Board System,即电子公告板)项目。该论坛项目采用JSP(JavaServer...
房屋出租系统源码_java毕业设计_javaweb项目_出租房源码_
10-01
8. **安全机制**:系统应包含基本的安全措施,如密码加密存储、防止SQL注入、XSS防护等,确保用户信息的安全。 9. **前端技术**:HTML、CSS和JavaScript是构建用户界面的关键。HTML定义网页结构,CSS负责样式,...
shujuku.rar_Oracle javaweb_javaweb oracle_oracle_数据库面试
09-19
7. Web安全:包括认证、授权、CSRF防护、XSS防护等,面试者应了解常见的Web安全问题和解决方案。 在“就业面试题库(数据库).pdf”中,你将找到更多关于这两个领域的具体面试题目和解答,涵盖上述知识点,帮助你更...
Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5116
Java代码审计】XSS漏洞产生原理及其修复
使用java代码方式解决XSS、Host Head漏洞问题
gmj53的专栏
08-04 1362
一、使用java代码方式解决XSS漏洞问题 1 ESAPI方式 1.1 引入jar包 compile('org.owasp.esapi:esapi:2.2.3.1') { exclude group: 'log4j', module: 'log4j' exclude group: 'org.slf4j', module: 'slf4j-simple' } 1.2 增加配置文件 1.2.1 ESAPI.properties配置文件内容 # 是否要打印配置属性,默认为true ESAPI.p
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3382
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
javaXSS过滤处理过滤器
深望的博客
11-06 3005
防止XSS攻击的过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9086
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
java过滤xss_java处理XSS过滤的方法
weixin_32533659的博客
02-12 1880
如果系统中,没有富文本编辑器的功能,那么对于XSS过滤可以采用如下方式过滤如果采用了struts2,那么需要重写StrutsRequestWrapper如果没有采用struts2,那么直接重写HttpServletRequestWraper在自定义的HttpServletRequestWraper中需要重写getParameterMap()方法才行,如下:@Overridepublic Map g...
java过滤器过滤xss_web项目脚本过滤--XSS过滤器
weixin_36239323的博客
02-24 1074
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
java防止xss攻击(过滤器)
meat_eating的博客
11-08 2993
java防止xss攻击
JAVA Web应用安全:存储型XSS漏洞及修复策略
本资源主要探讨了几个常见的安全漏洞,包括跨站脚本(XSS攻击,特别是存储型XSS,并提供了相应的修复建议。 跨站脚本(XSS)是一种常见的网络攻击方式,分为反射型、DOM型和存储型。存储型XSS是最危险的一种,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值