XSS安全漏洞?使用过滤器解决前端JS注入问题。

最新推荐文章于 2022-03-15 18:11:00 发布
VIP文章 最新推荐文章于 2022-03-15 18:11:00 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: Java 安全 文章标签: web java spring xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36908494/article/details/108981757
版权

使用过滤器解决前端XSS安全问题,JS注入问题

使用过滤器解决前端 XSS 安全问题

问题背景

在Java web 项目中,对于前端 JS 注入问题,可以在前端写 JS 代码进行预处理,但是这样处理无法保证万无一失,当用户篡改前端校验的 JS 代码,导致校验失效,如果服务端未经过任何处理,依然会出现 JS 安全问题,所以,对于 XSS 漏洞的防范,更优的解决方案是在服务端进行处理。

服务端进行处理的好处是显而易见的,首先安全性会更高,同时,前端所有可能存在 XSS 漏洞的地方不必再进行单独处理,统一在后台进行处理,大大提升了开发效率。

实际开发中,我们可以使用过滤器(Filter)处理。

解决思路

在用户请求抵达后端接口前,通过过滤器对其进行拦截,在过滤器中可以将用户请求类型(ServletRequest)改变成我们指定的类型,并在我们指定的类型中重写相应的方法,在方法中对参数中敏感字符进行转义,同时,为了在页面上正常显示,可以在前端对内容进行 HTML 反转义处理。

这里就要说到我们需要重写哪些方法了。

在项目的实际开发过程中,接口入参可能不是统一格式,最常见的有 @RequestParam 和 @ReqesutBody 两种类型,这两种类型的处理方式不同。
@RequetParam 是通过 getParameterValues() /getParameter() 方法来获取参数的,所以重写这两个方法即可。@RequestBody 是通过流来获取参数,所以需要重写的方法是 getInputStream()。

过滤器

过滤器可以对目标 web 资源的请求和响应进行拦截,并做一些特定处理。拦截路径支持自定义。实际开发过程中,我们可以指定拦截路径或者拦截白名单,根据项目的实际情况进行选择即可,差别不大。

为了简单明了,我们在此使用全路径拦截。当然,可以增加 xss 拦截器开关。

第一步,首先需要创建一个拦截器,所有的拦截器都需要

最低0.47元/天 解锁文章
浅梦深蓝
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
前端XSS 过滤--亲测有效
qq_38203646的博客
01-08 1万+
// XSS 过滤         filterXSS: function (str) {             return str               .replace(/&/g, '&')               .replace(/ /g, ' ')               .replace(/</g, '<'...
xss.js处理网页xss攻击
weixin_30710457的博客
08-02 1552
<!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>xss.js处理网页xss攻击</title> <style type="text/css"> </style> &l...
JS敏感词过滤代码
weixin_44800608的博客
07-30 1461
JS敏感词过滤代码  更新时间:2016年12月23日 14:11:16   转载 作者:斗金花   本篇文章主要介绍了JS敏感词过滤实例,详细的介绍了两种方法,RegExp(),replace(),具有一定的参考价值,有兴趣的可以了解一下。 过滤敏感、不良词汇。本文主要讲述两种方式过滤敏感词汇。 我在这里直接以函数的形式体现出来,也就是说...
转载前端过滤,搜索框注入案例
学习,再学习
06-03 324
转载前端过滤,搜索框注入案例 前端过滤,搜索框注入案例
前端过滤XSS攻击
gtlishujie的博客
12-21 1095
前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:根据白名单过滤HTML(防止XSS攻击):https://raw.github.com/leizongmin/js-xss/master/dist/xss.js 使用js-xss,引入xss.js,<script type="text/javascript" src="js/xss.js"></script> 调用filterXSS()即可,如:var ipt1 = filterXSS(ipt1);或consol
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
前端安全系列:如何防止XSS攻击?
02-25
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
JSP过滤器防止Xss漏洞的实现方法(分享)
01-08
针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。 那就是利用Servlet的过滤器机制,编写定制的XssF
收录一些xss漏洞过滤方法
danfly1010的专栏
01-26 6369
一、漏洞类型说明     1、 高危漏洞     高危漏洞包括:SQL注入漏洞XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。     SQL注入漏洞:网站程序忽略了对输入字符串中包含的SQL语句的检查,使得包含的SQL语句被数据库误认为是合法的SQL指令而运行,导致数据库中各种敏感数据被盗取、更改
XSS攻击及解决方案
冰夜翎博客
11-03 1829
什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
XSS注入方式和逃避XSS过滤的常用方法
热门推荐
yinqiaohua的专栏
08-01 3万+
转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过滤解决办法,php一般会使用htmlspecialchars或者htmlentities函数进行
前端xss 漏洞
weixin_36430673的博客
03-15 5436
xss 漏洞简介:跨站脚本攻击(Cross-site scripting,XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。 产生xss攻击的场景: 1、数据从一个不可靠的链接进入到一个web应用程序; 2、没有过滤掉恶意代码的动态内容呗发送给web 用户。 xss攻击可以分为3类,存储型(持久型)、反射型(非持久型)、DOM型。 存储型XSS 注入型脚本永久存储在目标服务器上
nohub java -jar & ......| Linux下启动 jar 包的几种常见方式
41981DC的博客
05-18 5756
Linux 下通过java命令启动 jar 包的几种方式 方法一:直接启动 jar 包 java -jar XXX.jar 当前ssh窗口会被锁定,不能再操作其他命令,如果需要执行其他命令,则需要打断进程,可按CTRL + C打断程序运行,或直接关闭窗口,程序也会退出。 方法二:后台启动 jar 包 java -jar XXX.jar & &代表在后台运行。 缺点:当前ssh窗口不被锁定,但是当窗口关闭时,程序中止运行。 方法三:后台不挂断启动 nohup java -jar
springboot 集成 log4j,log4j配置不同包不同日志输出级别(按包输出不同级别日志)
41981DC的博客
07-12 2134
1. POM文件配置 <!--排除springboot默认的logback依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId> <version>${spring.version}</version> <
集群模式下的定时任务设计思路
41981DC的博客
09-09 1791
定时任务在软件开发中,是一个比较常见的业务场景,是一个跟时间强耦合有规律执行的场景,如 用户月度、年度账单统计 数据的定时备份 订单超时取消 某些文件的定时拉取或者推送 … 为了保证服务的健壮性,我们通常会采用集群方式部署,当定时任务与集群相遇时,会碰撞出怎样的火花呢? 在集群部署的情况下,我们需要对定时任务的执行节点做控制,让某一节点获取执行权,而非所有节点都去执行同一任务,导致同一任务被多次执行。 如何对集群节点做控制呢?或者说,如果将执行权分配给某一结点呢? 解决思路一: 可以将多个节点理解.
Spring Boot · 初识 Spring Boot
41981DC的博客
12-01 1085
1. spring boot 推出背景 J2EE 开发较为笨重,配置繁多,开发效率相对低下,部署流程稍显复杂,第三方技术集成难度较大。 1.2 spring boot 是什么 spring boot 是 spring 团队伴随着 spring 4.0 推出的一个开发框架,现已成为 spring 的顶级项目。 spring boot 可以做什么 spring boot 是用来简化传统的 Spring...
快速配置log4j,log4j常用参数说明
41981DC的博客
01-01 869
Logger负责日志记录
springboot如何实现使用过滤器防止xss攻击和sql注入
最新发布
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSS和SQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值