xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击,解决Xss漏洞

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量197 收藏
点赞数
文章标签: xss攻击 java过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36036029/article/details/114716619
版权

Java Web使用过滤器防止Xss攻击,解决Xss漏洞

发布时间:2018-11-11 10:41,

浏览次数:286

, 标签:

Java

Web

Xss

web.xml添加过滤器

xssFilter

com.quickly.exception.common.filter.XssFilter

xssFilter*

过滤器代码

package com.quickly.exception.common.filter; import javax.servlet.*; import

javax.servlet.http.HttpServletRequest; import java.io.IOException; /** *

作用:Xss过滤器 * 作者:Tiddler * 时间:2018/11/11 10:21 * 类名: XssFilter **/ public class

XssFilter implements Filter { @Override public void init(FilterConfig

filterConfig) throws ServletException { } @Override public void

doFilter(ServletRequest servletRequest, ServletResponse servletResponse,

FilterChain filterChain) throws IOException, ServletException { //使用包装器

XssFilterWrapper xssFilterWrapper=new XssFilterWrapper((HttpServletRequest)

servletRequest); filterChain.doFilter(xssFilterWrapper,servletResponse); }

@Override public void destroy() { } }

过滤器包装器代码

package com.quickly.exception.common.filter; import

org.springframework.web.util.HtmlUtils; import

javax.servlet.http.HttpServletRequest; import

javax.servlet.http.HttpServletRequestWrapper; /** * 作用:防Xss过滤器[包装器] *

作者:Tiddler * 时间:2018/11/11 10:20 * 类名: XssFilterWrapper **/ public class

XssFilterWrapper extends HttpServletRequestWrapper { public

XssFilterWrapper(HttpServletRequest request) { super(request); } /** *

对数组参数进行特殊字符过滤 */ @Override public String[] getParameterValues(String name) {

if("content".equals(name)){//不想过滤的参数,此处content参数是 富文本内容 return

super.getParameterValues(name); } String[] values =

super.getParameterValues(name); String[] newValues = new String[values.length];

for (int i = 0; i < values.length; i++) { newValues[i] =

HtmlUtils.htmlEscape(values[i]);//spring的HtmlUtils进行转义 } return newValues; } }

总结:

主要是使用Java

Web的过滤器,将所有的request请求参数修改(主要是把存在xss风险的标签转义,如:),在转义时我没有自己实现替换与转义,是直接使用的spring自带的HtmlUtils类的htmlEscape方法转义的,方便很多

飛渡
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java xss过滤器_JavaWeb实现XSS过滤器
weixin_34245171的博客
02-13 880
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentE...
java过滤器防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
Spring Boot XSS 攻击过滤插件使用
冷冷的博客
12-03 1274
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。 xss 攻击流程 简单 xss 攻击示例 若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。 解决方案 XSS 过滤说明 对表单绑定的字符串类型进行 xss 处理。 对 json 字符串数据进行
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
最新发布
weixin_73588491的博客
07-05 6713
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
XSS攻击过滤器
sharpcool的博客
04-15 608
XSs攻击过滤
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
自动绕过 XSS过滤器_Java_代码_相关文件_下载
07-12
动绕过 XSS 过滤器 概述 snuck 是一个自动工具,其目标是通过基于反射上下文的专门注入来显着测试给定的 XSS 过滤器。这种方法采用 Selenium 来驱动 Web 浏览器来重现攻击者和受害者的行为。 更多详情、使用方法,...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
java过滤器过滤xss_web项目脚本过滤--XSS过滤器
weixin_36239323的博客
02-24 1082
XSS脚本过滤脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。1.思路我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。2.配置过滤器在项目中web.xml中添加...
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
javaxss必备jar包及过滤器代码
08-21
包含xssProtect-0.1.jar等三个必需jar包,相关过滤器代码
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器
java防止xss攻击过滤器
meat_eating的博客
11-08 3034
java防止xss攻击
Java 防范XSS攻击
每天进步一点点 时间会让你成为巨人
11-21 1957
Connection refused(DESCRIPTION=(TMP=)(VSNNUM=169869568)(ERR=12505)(ERROR_STACK=(ERROR=(CODE=12505)(EMFI=4))))   出现这个直i接的结果就是连接不上数据库 ,程序不能登录, 等不到session 所有的页面都不能执行操作,只要重新配置一下监听就可以了 。
java防止xss攻击 过滤_Java Web使用过滤器防止Xss攻击解决Xss漏洞
weixin_42322782的博客
02-17 806
web.xml添加过滤器xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
解决XSS攻击漏斗的过滤器
mhanyue的博客
11-17 2361
新上线的系统被测试出有XSS攻击漏洞,做的过程中一直没有考虑到这个问题。被查出这个问题,通过从网上查阅的资料,将解决方法记录一下,以备不时之需。 什么是XSS XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列 表,然后向联系人发送虚假诈骗信息,可以删除用户的
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSSSQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值