java xss_Java防止XSS攻击

最新推荐文章于 2021-12-24 09:31:15 发布
最新推荐文章于 2021-12-24 09:31:15 发布
阅读量103 收藏
点赞数
文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36261487/article/details/114030924
版权

public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.

*

*@paramrequest The request to wrap

*@throwsIllegalArgumentException if the request is null*/

publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);

}

@OverridepublicString getHeader(String name) {

String value= super.getHeader(name);if(StringUtils.isEmpty(value)){returnvalue;

}else{returncleanXSS(value);

}

}

@OverridepublicString getParameter(String name) {

String value= super.getParameter(name);if(StringUtils.isEmpty(value)){returnvalue;

}else{returncleanXSS(value);

}

}

@OverridepublicString[] getParameterValues(String name) {

String[] values= super.getParameterValues(name);if (values != null) {int length =values.length;

String[] escapseValues= newString[length];for (int i = 0; i < length; i++) {

escapseValues[i]=cleanXSS(values[i]);

}returnescapseValues;

}return super.getParameterValues(name);

}

@Overridepublic ServletInputStream getInputStream() throwsIOException {

String str=getRequestBody(super.getInputStream());

Map map= JSON.parseObject(str,Map.class);

Map resultMap=new HashMap<>();for(String key:map.keySet()){

Object val=map.get(key);if(map.get(key) instanceofString){

resultMap.put(key,cleanXSS(val.toString()));

}else{

resultMap.put(key,val);

}

}

str=JSON.toJSONString(resultMap);final ByteArrayInputStream bais = newByteArrayInputStream(str.getBytes());return newServletInputStream() {

@Overridepublic int read() throwsIOException {returnbais.read();

}

@Overridepublic booleanisFinished() {return false;

}

@Overridepublic booleanisReady() {return false;

}

@Overridepublic voidsetReadListener(ReadListener listener) {

}

};

}privateString getRequestBody(InputStream stream) {

String line= "";

StringBuilder body= newStringBuilder();int counter = 0;//读取POST提交的数据内容

BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));try{while ((line = reader.readLine()) != null) {

body.append(line);

counter++;

}

}catch(IOException e) {

e.printStackTrace();

}returnbody.toString();

}privateString cleanXSS(String value) {if(StringUtils.isEmpty(value)){returnvalue;

}else{if (value != null) {if (value != null) {//NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to//avoid encoded attacks.//value = ESAPI.encoder().canonicalize(value);//Avoid null characters

value = value.replaceAll("", "");//Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e­xpression//会误伤百度富文本编辑器//scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);//value = scriptPattern.matcher(value).replaceAll("");//scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);//value = scriptPattern.matcher(value).replaceAll("");//Remove any lonesome tag

scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Remove any lonesome

scriptPattern = Pattern.compile("

value= scriptPattern.matcher(value).replaceAll("");//Avoid eval(...) e­xpressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Avoid e­xpression(...) e­xpressions

scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");//Avoid javascript:... e­xpressions

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid vbscript:... e­xpressions

scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

value= scriptPattern.matcher(value).replaceAll("");//Avoid οnlοad= e­xpressions

scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |Pattern.DOTALL);

value= scriptPattern.matcher(value).replaceAll("");

}

}returnvalue;

}

}

}

ABEL苏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
java 防止xss攻击
笨鸟快飞的专栏
10-27 3441
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
Java防止xss攻击
VicCreator
03-29 3781
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml XssEscape www.ablanxue.com.filter.XssFilter XssEscape /*
java 预防XSS攻击
08-23
Java开发过程中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器上执行恶意脚本。XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入...
xss_javaxss_XSS_
10-04
"xss_javaxss_XSS_"这个主题正是关于如何在Java应用程序中防止XSS注入的问题。 在Java中,处理XSS攻击通常涉及以下几个关键步骤和策略: 1. 输入验证:首先,对所有用户输入进行严格的验证,确保其符合预期的格式...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS攻击常常与Java Web开发结合,因为Java是广泛用于构建Web应用的编程语言。在Java中,开发者需要特别注意在处理用户输入和输出内容时,正确使用`StringEscapeUtils`等工具进行转义,避免在JSP页面中直接插入未经...
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
Java防止XSS攻击
u010786200的博客
12-24 6011
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
javaxss攻击_java 防止xss攻击
weixin_29053695的博客
02-12 386
关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()...
Java 防止XSS攻击
qq_40224726的博客
01-02 207
防止XSS 攻击集成springboot(详细) https://blog.csdn.net/bnxf_xv/article/details/89187126 确实很详细记录一下,以前也写过方式方法不太一样,但是道理相同
Java 防范XSS攻击
每天进步一点点 时间会让你成为巨人
11-21 1954
Connection refused(DESCRIPTION=(TMP=)(VSNNUM=169869568)(ERR=12505)(ERROR_STACK=(ERROR=(CODE=12505)(EMFI=4))))   出现这个直i接的结果就是连接不上数据库 ,程序不能登录, 等不到session 所有的页面都不能执行操作,只要重新配置一下监听就可以了 。
java接口防止XSS攻击
钓瞄的鱼的博客
11-13 2063
java接口防止XSS攻击一、什么是XSS二、XSS攻击的主要途径三、XSS攻击解决办法四、 解决代码1.配置过滤器2.实现 ServletRequest 的包装类,过滤其他请求参数3.添加在主入口@ServletComponentScan注解 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动
Java编程如何防止XSS漏洞攻击
最新发布
05-25
XSS(Cross Site Scripting)攻击是一种常见的网络安全漏洞,Java编程可以采取以下措施来防止XSS攻击: 1. 输入检查:对用户输入数据进行过滤和验证,防止特殊字符和脚本注入。 2. 输出过滤:在输出时,对用户输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值