java过滤器过滤xss_web项目脚本过滤--XSS过滤器

最新推荐文章于 2023-08-10 10:39:38 发布
VIP文章 最新推荐文章于 2023-08-10 10:39:38 发布
阅读量1k 收藏 1
点赞数
文章标签: java过滤器过滤xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36239323/article/details/114592503
版权

XSS脚本过滤

脚本攻击经常是项目测试人员或者“不法分子”闲着没事干,想办法让你的程序不正常,最近项目中刚好用到所以就贴出来做个笔记。

1.思路

我们可以通过servlet规范中的过滤器,对每一次请求进行过滤 --> 将请求参数获取到对脚本数据进行转义处理后再进行持久化操作,比如< script > < /script>中的''号。

2.配置过滤器

在项目中web.xml中添加:

XSSEscape

com.hp.up.front.xss.XSSFilter

XSSEscape

/*

REQUEST

其中com.hp.up.front.xss.XSSFilter就是过滤器路径

3.编写过滤器

自然是实现javax.servlet.Filter 重写doFilter了:

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter {

@Override

public v

最低0.47元/天 解锁文章
宋俊潇
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java防止xss攻击(过滤器
meat_eating的博客
11-08 2919
java防止xss攻击
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2299
java防止XSS攻击
java xss过滤器_JavaWeb实现XSS过滤器
weixin_34245171的博客
02-13 855
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentE...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3769
Springboot配置XSS过滤器XssFilter
java过滤器,防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
面向规则缺陷的浏览器XSS过滤器测试方法
01-20
为了缓解跨站脚本XSS,cross-site scripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程的缺陷和安全问题。面向...
snuck:XSS自动过滤器旁路
05-15
Fabrizio d'Amore,Mauro Gentile:自动且具有上下文意识的跨站点脚本过滤器规避。 计算机,控制和管理工程系Antonio Ruberti技术报告,技术报告。 4,罗马萨皮恩扎大学,2012年。[] 笔记 自2013年6月以来,该项目...
xss跨站点脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全
今天是几号的博客
06-22 1776
如果服务器是正常关闭,则会执行destroy方法。概念:Web过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤……1. init:在服务器启动后,会创建Filter对象,然后调用init方法。查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本。2. doFilter:每一次请求被拦截资源时,会执行。Hibernate 配置文件:Hibernate.cfg.xml。配置文件获取框架名称及版本,利用漏洞库验证是否存在漏洞。
JAVA WEB项目解决XSS攻击的办法
02-27 2885
记一次JAVA WEB项目解决XSS攻击的办法(亲测有效) Posted on2019-03-01 13:22zkongbai 阅读(4381) 评论(4)编辑收藏 什么是XSS攻击     简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.     为啥说这个,因为SpringMVC对于Xs...
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4443
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL,诱导用户点击,比如: http://localhost:8080/test?name=<script
xss filter java_XssFilter漏洞解决方案
weixin_35555014的博客
02-22 532
packagecom.itcast.front.save;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;/***XSS请求抓取*@authoryangtong*XssHttpServletRequestWrapper一个是request包装...
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 946
JAVA开发工程难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
Java Filter过滤xss注入非法参数的方法
热门推荐
Fangel技术博客
05-12 1万+
web.xml: XSSFiler com.paic.mall.web.filter.XssSecurityFilter XSSFiler *.jsp XSSFiler *.do XSSF
Java实现XSS防御
清水的专栏
08-26 719
XSS概述 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面xss攻击就是jq或h
JAVA代码审计XSS及Filter动态代理过滤
dzqxwzoe的博客
08-10 1045
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤
java 过滤scrpict标签,XSS之规避过滤小记
weixin_42460407的博客
03-31 396
1,快速检查一个人页面是否有XSS,可以利用容易被轻视的""标签:';alert(String.fromCharCode(88,83,83))//\';alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//";alert(String.fromCharCode(88,83,83))//-->...
java过滤器处理xss
最新发布
11-21
以下是Java过滤器处理XSS攻击的示例代码: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.*; public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { MyHttpServletRequestWrapper requestWrapper = new MyHttpServletRequestWrapper((HttpServletRequest) servletRequest); HttpServletResponse response = (HttpServletResponse) servletResponse; filterChain.doFilter(requestWrapper, response); } @Override public void destroy() { } private class MyHttpServletRequestWrapper extends HttpServletRequestWrapper { public MyHttpServletRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); if (value != null) { value = cleanXSS(value); } return value; } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values != null) { for (int i = 0; i < values.length; i++) { values[i] = cleanXSS(values[i]); } } return values; } @Override public Enumeration<String> getParameterNames() { List<String> names = Collections.list(super.getParameterNames()); return Collections.enumeration(names); } @Override public Map<String, String[]> getParameterMap() { Map<String, String[]> paramMap = super.getParameterMap(); Map<String, String[]> newParamMap = new HashMap<>(); for (String key : paramMap.keySet()) { String[] values = paramMap.get(key); for (int i = 0; i < values.length; i++) { values[i] = cleanXSS(values[i]); } newParamMap.put(key, values); } return newParamMap; } private String cleanXSS(String value) { value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replaceAll("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("script", ""); return value; } } } ``` 该过滤器通过继承HttpServletRequestWrapper类,重写其的getParameter()、getParameterValues()、getParameterNames()和getParameterMap()方法,对请求参数进行过滤,防止XSS攻击。其,cleanXSS()方法用于过滤请求参数的特殊字符和脚本代码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值