使用StringEscapeUtils防止XSS攻击

最新推荐文章于 2023-05-31 20:18:29 发布
最新推荐文章于 2023-05-31 20:18:29 发布
阅读量1.5k 收藏 2
点赞数
文章标签: StringEscapeUtils  安全 防止XSS 攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37642345/article/details/84139208
版权

1,commons-lang3-3.1.jar包中org.apache.commons.lang3.StringEscapeUtils

2,具体的实现过程:

第一步:

XssHttpServletRequestWrapper继承servlet的HttpServletRequestWrapper

import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  
  
import org.apache.commons.lang3.StringEscapeUtils; 

 /**
   @author zhangna
   @XssHttpServletRequestWrapper.java,  2018/11/16 下午2:24 zhangna 
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));  
    }  
  
    @Override  
    public String getQueryString() {  
        return StringEscapeUtils.escapeHtml4(super.getQueryString());  
    }  
  
    @Override  
    public String getParameter(String name) {  
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));  
    }  
     @Override  
    public String[] getParameterValues(String name) {  
        String[] values = super.getParameterValues(name);  
        if(values != null) {  
            int length = values.length;  
            String[] escapseValues = new String[length];  
            for(int i = 0; i < length; i++){  
                escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);  
            }  
            return escapseValues;  
        }  
        return super.getParameterValues(name);  
    }        
  }

第二步:

XssFilter 的实现方式是实现servlet的Filter接口

import java.io.IOException;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
/**
   @author zhangna
   @XssFilter.java,  2018/11/16 下午2:24 zhangna 
*/
public class XssFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
 }

第三步:

在web.xml加一个filter

    <filter>  
        <filter-name>XssEscape</filter-name>  
        <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>XssEscape</filter-name>  
        <url-pattern>/*</url-pattern>  
        <dispatcher>REQUEST</dispatcher>  
    </filter-mapping>
java stringescapeutils_StringEscapeUtils防止xss攻击详解
weixin_33918358的博客
02-26 3067
StringUtils和StringEscapeUtils这两个实用类。1、转义防止xss攻击1、转义可以分为下面的几种情况第一用户输入特殊字符的时候,在提及的时候不做任何处理保持到数据库,当用户从数据库查询对对于的数据的时候,因为数据中存在特殊字符,要让特殊字符能够正常显示不被网页执行,需要对从数据库中查询出来的数据进行转义,比如用户输入一个左尖括号(例如在数据库中存储的数据是:(123)(*&...
java中jq转移符,使用StringEscapeUtils对Java中特殊字符进行转义和反转义
weixin_35698805的博客
03-21 488
https://blog.csdn.net/zdx1515888659/article/details/84966214 Java中转义字符反斜杠 \ 的代替方法 | repalceAll 内涵解析 1. 使用 StringEscapeUtils中的转义与反转义 2. 使用Java的replaceAll方法 String str1 = str.replaceAll("\\\\","");…apac...
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1531
防止xss存储型攻击
使用apache.commons.lang3.StringEscapeUtils 过滤'<' '>' '&' 字符注入,防御恶意HTML注入攻击
江湖小虾米
07-07 1万+
跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
java xml转义方法以及中文字符的处理
04-17 2万+
对于xml的转义最方便,最简单的方法就是直接使用apache的commons.lang jar包中的StringEscapeUtilsescapeXml方法。但该方法在commons lang 2.x和commons lang 3.x的处理方式不太一样。 在commons lang 2.x中StringEscapeUtilsescapeXml方法除了会对xml中的“,&,和‘等字符进行转义外
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2755
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
SpringCloud 使用Zuul防止xss攻击和sql注入
Alone5256的博客
04-15 3339
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击和sql注入导入zuul的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击和sql注入 导入zuul的jar包 <!--zuul--> <dependency> ...
富文本提交数据到后台防止xss攻击
这是随心创作的博主
04-23 2405
StringEscapeUtils.unescapeHtml的使用 富文本提交数据到后台后,保存到数据库的格式可能是这样的: &lt;p&gt;【产品名称】艾酷维多种维生素锌软糖&lt;/p&gt; 我们有时候需要的是: <p>【产品名称】艾酷维多种维生素锌软糖</p> 所以就需要用到StringEscapeUtils类进行转义和反转义 public static void main(String[] args) { ...
JavaWeb之防止XSS攻击
qq_37630321的博客
03-07 2815
XSS攻击 XSS攻击,言而言之,就是脚本攻击,下面向大家展示一下脚本攻击 使用过滤器来解决XSS攻击 代码: 1、过滤器 /** * 解决XSS攻击的过滤器 * @author 紫炎易霄 */ public class XssFilter implements Filter{ @Override public void init(FilterConfig filterConfig)...
org.apache.commons.lang包
12-11
Apache Commons Lang资源包,下载解压缩后,可获得api文档,源码,jar包,用于开发
Java转义工具类StringEscapeUtils的学习笔记
weixin_45866849的博客
09-05 1万+
StringEscapeUtils的主要功能就是为Java,Java Script,Html,XML进行转义与反转义。
奇安信xss漏洞问题解决
hwb33333的博客
05-31 3179
重要的事情说三遍,不管你在过滤器配置写的过滤多好,本地代码返回有多正确,它是不会检测到的!你需要在它检测出的接口那加上过滤。ps:在方法里不要写判断,直接走过滤逻辑,因为它这破检测会走别的逻辑,哪怕你用的接口写死只走过滤的逻辑,还是会检测出来漏洞。
WEB安全实战(三)XSS 攻击的防御
热门推荐
紫羽风的博客
10-31 2万+
前言 上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响。那么,这篇文章中,主要是针对 XSS 攻击做一个基本的防御,看看可以通过几种方式来修复这个特别常见的安全漏洞。 由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞。当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓。了解了原理,什么环
Spring 中处理XSS
u012017645的专栏
06-06 1608
有2种方式 一:在BaseController中定义方法 [java] view plain copy /**   * 初始化数据绑定   * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击   *    */   @InitBinder   protected void initBinder(WebDataBi
Java防止Xss注入json_【快学springboot】15、SpringBoot过滤XSS脚本攻击
weixin_39841572的博客
11-20 432
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。如何避免XSS攻击解决...
java工具类-----常用工具类集合
juntech.top
09-10 397
java工具类-----常用工具类集合 一. org.apache.commons.io.IOUtils closeQuietly:关闭一个IO流、socket、或者selector且不抛出异常,通常放在finally块 toString:转换IO流、 Uri、 byte[]为String copy:IO流数据复制,从输入流写到输出流中,最大支持2GB toByteArray:从输入流、URI获取...
StringEscapeUtils - 用于Java/JS/HTML和XML字符互相转义和反转义
牛八少爷的专栏
12-28 5026
          Apache工具包common-lang API提供了许多辅助工具,特别是字符串操作方法,基本数值方法,对象反射,并发,创建和序列化以及系统属性。此外,它还包含对java.util.Date的基本增强功能以​​及一系列专用于帮助构建方法的实用程序,例如hashCode,toString和equals。          StringEscapeUtils包含用于转义和转换Ja...
Springboot2.0防止XSS攻击的几种方式
qq_33454058的博客
03-17 1512
Springboot2.0防止XSS攻击的几种方式 Springboot2.0防止XSS攻击的几种方式 在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤 防止XSS攻击,一般有两种做法: 1. 转义 使用工具类HtmlUtils实现 2. 过滤 将敏感标签去除 jsoup实现了非常强大的clean敏感标签的功能 转义 做法的三种实现: 转义方法一:注册自定
java 使用拦截器防止XSS和sql攻击代码
最新发布
10-23
**防止XSS攻击:** ```java import org.aspectj.lang.annotation.Aspect; import org.aspectj.lang.annotation.Before; import org.springframework.stereotype.Component; @Aspect @Component public class XSS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值