xss filter java_XssFilter漏洞解决方案

最新推荐文章于 2024-09-26 20:36:57 发布
最新推荐文章于 2024-09-26 20:36:57 发布
阅读量583 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35555014/article/details/114476854
版权

XSS过滤 请求安全 Java Servlet 参数过滤 Web安全
关键词由CSDN通过智能技术生成

package com.itcast.front.save;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

* XSS请求抓取

* @author yangtong

* XssHttpServletRequestWrapper 一个是request包装器,负责过滤掉非法的字符

*/

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper{

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

//覆盖getParameterValues方法,将参数值做xss过滤

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values==null)  {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i 

encodedValues[i] = cleanXSS(values[i]);

}

return encodedValues;

}

//覆盖getParameter方法,将参数做xss过滤

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

if (value == null) {

return null;

}

return cleanXSS(value);

}

//覆盖getHeader方法,将参数名做xss过滤

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null)

return null;

return cleanXSS(value);

}

//转码 将容易引起xss漏洞的半角字符直接替换成全角字符

private String cleanXSS(String value) {

value = value.replaceAll("", "& gt;");

value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

value = value.replaceAll("'", "& #39;");

value = value.replaceAll("eval\\((.*)\\)", "");

value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value = value.replaceAll("script", "");

return value;

}

}

在这里十分感谢老大,虽然自己的嘴硬,从来不会说软话,老大杨*帮了我很多,十分感谢,在这里我谢谢老大,没有把我这个菜鸟开了,也感谢老大能带着菜鸟一起飞.菜鸟,飞起来吧!!!

Wu Sean
关注
JAVA代码审计XSSFilter动态代理过滤
MSB_WLAQ的博客
11-26 3343
JAVA代码审计XSSFilter动态代理过滤 1.介绍 最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss 所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。 2.代码分析 这里就只分析用户添加的页面了,可以看到在未做任何过滤的情况触发XSS 在add.jsp页面发现了Servlet 之后跟进该Servlet,通过获取用户输入进行发送到Service,Service在发送到Dao进行处理 Dao层用的是JDBCtemplate实现,经过测试
XSS 存储漏洞解决
qq_33391644的博客
07-21 1421
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
java XSS漏洞过滤
xieedeni的博客
01-30 6289
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: <!--增加filter--> <!-- 解决xss漏洞 --> <filter> <filter-name>xssAndSqlFilter</filter-name> &...
Spring Boot利用filter实现xss防御
最新发布
HBLOG
09-26 1005
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
xss filter
xiaomin1991222的专栏
11-25 166
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
java xss漏洞Filter
走走停停的小码农的博客
05-18 9389
public class XssFilter implements Filter { private static final Logger logger = LogManager.getLogger(XssFilter.class); /** * 排除部分URL不做过滤 */ private List excludeUrls = new ArrayList(); /**
java xssfilter_java 防止xss攻击 通过filter的方法 | 学步园
weixin_39775428的博客
02-16 344
http://breezylee.iteye.com/blog/2063615注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致HttpServletRequestWrapper里取不到表单里的内容关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/...
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2605
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
xss解决方案.zip
03-13
2. `XssFilter.java`: 这可能是一个实现了Servlet过滤器接口的类,用于在请求到达目标Servlet之前拦截并处理请求。它会调用`XssHttpServletRequestWrapper`,确保每个请求都经过安全检查。通常,这个过滤器会在web....
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 2118
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
XSS Filter实现
iteye_21082的博客
02-07 245
下面的filter主要是解决防止XSS攻击 一个是Filter负责将请求的request包装一下。 转自CSDN ,MARK下链接: http://blog.csdn.net/yuwenruli/article/details/6870753   另外还看到一个实现: http://www.stripesframework.org/display/stripes/XSS+filte...
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 410
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
JAVA----参数过滤器XssFilter,实现:防XSS,去掉参数左右空格
Damys
05-06 859
XssFilter 过滤器 public class XssFilter implements Filter { public boolean enabled = false; // 过滤开关 public List<String> excludes = new ArrayList<>(); // 排除url @Override public void init(FilterConfig filterCon
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 5029
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
java xssfilter,在SpringMVC中使用过滤器Filter)过滤容易引发XSS | zifangsky的个人博客...
weixin_42121086的博客
03-20 385
一 简介如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样:form表单中有这么一个字段:XHTML1然后潜在攻击者在该字段上填入以下内容:JavaScriptalert('XSS')1alert('XSS')紧接着服务端忽略了“一切来至其他系统的数据都存在安全隐患”的原则,并没有对来至用户的数据进行过滤,...
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的...然而,这并不是万能的解决方案,开发者仍需结合其他安全措施,以确保应用的安全性。
XSS漏洞解决方案之一:过滤器
javaACMer的专栏
09-10 4737
XSS漏洞解决方案之一:过滤器
java web 利用filter 防止 Xss 攻击(1)
伯恩大帝的博客
05-04 669
<!--@分隔 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.yoro.core.web.XssFilter</filter-class> <init-param> <param-name>SplitChar</param-name
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值