有效预防xss_预防XSS***

最新推荐文章于 2021-02-26 14:32:04 发布
最新推荐文章于 2021-02-26 14:32:04 发布
阅读量54 收藏
点赞数
文章标签: 有效预防xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39615419/article/details/111971561
版权

开发时间 2016-03-02日

项目地点:深圳

开发人员 yekang

在web.xml中配置过滤器

创建类

package com.palic.elis.ceis.common.filter;

import java.io.IOException;

import java.util.LinkedHashMap;

import java.util.Map;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

// XSS处理Map

private static Map xssMap = new LinkedHashMap();

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

// TODO Auto-generated method stub

// 强制类型转换 HttpServletRequest

HttpServletRequest httpReq = (HttpServletRequest) request;

// 构造HttpRequestWrapper对象处理XSS

HttpRequestWrapper httpReqWarp = new HttpRequestWrapper(httpReq, xssMap);

//

chain.doFilter(httpReqWarp, response);

}

@Override

public void init(FilterConfig filterConfig) throws ServletException {

// 含有脚本: script

xssMap.put("[s|S][c|C][r|R][i|I][p|P][t|T]", "");

// 含有脚本 javascript

xssMap.put(

"[\\\"\\\'][\\s]*[j|J][a|A][v|V][a|A][s|S][c|C][r|R][i|I][p|P][t|T]:(.*)[\\\"\\\']",

"\"\"");

// 含有函数: eval

xssMap.put("[e|E][v|V][a|A][l|L]\\((.*)\\)", "");

// 含有符号 <

xssMap.put("

// 含有符号 >

xssMap.put(">", ">");

// 含有符号 (

xssMap.put("\\(", "(");

System.out.println("1111111111111");

// 含有符号 )

xssMap.put("\\)", ")");

// 含有符号 '

xssMap.put("'", "'");

// 含有符号 "

xssMap.put("\"", "\"");

System.out.println("22222222222222");

}

}

创建类

package com.palic.elis.ceis.common.filter;

import java.util.Map;

import java.util.Set;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class HttpRequestWrapper extends HttpServletRequestWrapper {

private Map xssMap;

public HttpRequestWrapper(HttpServletRequest Request) {

super(Request);

}

public HttpRequestWrapper(HttpServletRequest request,

Map xssMap) {

super(request);

this.xssMap = xssMap;

}

@Override

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values == null||values.length == 0) {

return null;

}

// 遍历每一个参数,检查是否含有

for (int i = 0; i < values.length; i++) {

values[i] = cleanXSS(values[i]);

}

return values;

}

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

if (value == null) {

return null;

}

return cleanXSS(value);

}

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null)

return null;

return cleanXSS(value);

}

private String cleanXSS(String value) {

Set keySet = xssMap.keySet();

for (String key : keySet) {

String v = xssMap.get(key);

value = value.replaceAll(key, v);

}

return value;

}

}

weixin_39615419
关注
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3089
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
有效预防xss_4类防御XSS有效方法
weixin_42514002的博客
12-24 2701
最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。XSS的本质XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:test将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\,则以...
Java防止跨站脚本(XSS)注入攻击
FYWT98的博客
01-14 4327
XSS攻击的危害性 ,也通过 模拟案例了解了XSS攻击原理 ,这里就介绍一下如何防御XSS攻击。 采用Filter技术,对所有参数都进行过滤,处理方案为: 1. 含有html标签做转义。 2. 含有敏感的html脚本,直接处理掉。   XSS Filter源码: package com.what21.filter.xss;   import java.io.IOExc
记一次存储型XSS漏洞,但其实重点是解决HttpServletRequest用流读取一次后不能再读取的问题
jiejiaohupo的博客
02-26 1074
记一次存储型XSS漏洞: 网上有很多存储型漏洞处理办法,我们这个特殊之处在于从客户端提交的数据是加密的,所以XSSFilter不能识别处理含脚本的参数值。所以得先得将HttpServletRequest里面的加密数据解密,再遍历处理里面的字符,但是处理完还得加密塞到HttpServletRequest里去,因为后面的逻辑层还要从HttpServletRequest里读出来解密做逻辑处理,我们的客户端提交数据都只有值没有参数名,也就是没有key,所以没法用getParameter()方法,只能用流读,但是.
有效预防xss_XSS攻击及预防
weixin_36204626的博客
12-24 244
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。攻击实例下面为一个Input标签:当用输入值为" onfoc...
有效预防xss_防止xss攻击的有效方法
weixin_33343681的博客
12-24 2315
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。问题描述:在页面上有个隐藏域:XML/HTML Code复制内容到剪贴板当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上如果此时action被用户恶意修改为:***"alert(1);"***此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。解决思路:该问题...
有效预防xss_防范xss的正确姿势
weixin_36325615的博客
01-17 730
xss攻击是web攻击中非常常见的一种攻击手段。如果你还没有听说过xss攻击,可以先了解xss的相关知识和原理,例如:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)。防范xss攻击的方式也十分简单:转义!但是转义的时机?是在持久化之前转义呢,还是读数据之后escape呢?我开始想也没想就选择了第一种方式,因为这种方法看上去一劳永...
有效预防xss_防范XSS攻击
weixin_32179749的博客
12-24 182
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。问题描述:在页面上有个隐藏域:当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上如果此时action被用户恶意修改为:***"alert(1);"***此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。解决思路:该问题是由于对用户输入数据(隐藏域)未做任何处理...
有效预防xss_XSS 和 CSRF简述及预防措施
weixin_31100895的博客
01-14 359
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。本文将会简单介绍 XSS 和 CSRF 的攻防问题。1. xssXSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
**XSS(跨站脚本攻击)详解** XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。...理解XSS的工作原理以及如何预防,是每个Web开发者必备的知识点。
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
xss_talk:我的XSS演讲的幻灯片和演示应用程序
05-22
这个演示旨在帮助观众理解XSS攻击的工作原理,以及如何通过实际操作来预防这类攻击。幻灯片采用专业设计,以清晰、直观的方式呈现了XSS的基本概念和分类。演示应用程序则是基于PHP构建的,它模拟了真实环境中可能...
面向多场景应用的光网络通感一体化架构和关键技术方案研究.pdf
09-28
面向多场景应用的光网络通感一体化架构和关键技术方案研究
基于Vue框架的Digital Twin开发设计源码
09-28
该项目是基于Vue框架的Digital Twin开发设计源码,由38个文件组成,涉及TypeScript、JavaScript、Vue、CSS、HTML等多种编程语言,包括9个TypeScript文件、6个JavaScript文件、5个JSON文件、5个Vue文件、3个SVG文件、2个Markdown文件、2个WebAssembly文件、1个Git忽略文件、1个HTML文件和1个CSS文件。该源码旨在提供大学生在线学术交流的平台,助力学术创新与协作。
基于Java和C++技术的易涂鸦设计源码
09-28
该项目是一款基于Java和C++技术的易涂鸦设计平台源码,包含487个文件,其中Java源文件226个,PNG图片文件135个,XML配置文件88个,其他类型文件包括brush文件7个,gradle文件4个,jpg文件4个,gitignore文件3个,properties文件3个,md文件2个,txt文件2个。该平台专注于涂鸦功能,为用户提供便捷的设计与绘图体验。
基于HTML/CSS/JavaScript的多人在线知识交流平台博客项目设计源码
09-28
该项目是一款基于HTML、CSS和JavaScript的多人在线知识交流平台博客,设计源码包含451个文件,其中包括149个Java文件、89个JavaScript文件、60个CSS文件、42个Class文件、23个PNG图片文件、20个XML文件、17个HTML文件、12个JPG文件、6个JSON文件、5个Map文件,旨在为用户提供一个互动的知识分享与交流空间。
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
09-28
开关电源工作原理及电路图技术资料开发设计用的重要资料.zip
基于Plpgsql与Java的学生管理系统设计源码
最新发布
09-28
该项目是一款基于Plpgsql与Java开发的学生管理系统源码,总计包含190个文件。其中,165个为Java源文件,11个为XML配置文件,4个为YAML配置文件,2个为Git忽略文件,1个为Dockerfile,1个为LICENSE文件,1个为Markdown文件,1个为JSON文件,1个为Maven命令行脚本,以及1个为Windows命令文件。该系统旨在提供全面的学生信息管理功能。
如何触发modsecurity_crs_41_xss_attacks.conf
05-22
modsecurity_crs_41_xss_attacks.conf是其中一个规则文件,专门用于检测和预防XSS攻击。 要触发这个规则文件,可以使用以下方法: 1. 在Web应用程序中输入恶意的XSS负载,并发送请求。例如,在输入框中输入一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值