java web xss_Java Web XSS安全防御

最新推荐文章于 2022-01-05 17:50:20 发布
最新推荐文章于 2022-01-05 17:50:20 发布
阅读量136 收藏
点赞数
文章标签: java web xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39621075/article/details/114100045
版权

XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。

一.过滤器方案

XSSFilter.java

package com.bijian.study.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

/**

* Servlet Filter implementation class XSSFilter

*/

@WebFilter("/XSSFilter")

public class XSSFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,

ServletException {

chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

}

}

XSSRequestWrapper.java

package com.bijian.study.filter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

public XSSRequestWrapper(HttpServletRequest servletRequest) {

super(servletRequest);

}

@Override

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values == null) {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i < count; i++) {

encodedValues[i] = stripXSS(values[i]);

}

return encodedValues;

}

@Override

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

return stripXSS(value);

}

@Override

public String getHeader(String name) {

String value = super.getHeader(name);

return stripXSS(value);

}

private String stripXSS(String value) {

value = StringEscapeUtils.escapeHtml(value);

value = StringEscapeUtils.escapeJavaScript(value);

value = StringEscapeUtils.escapeSql(value);

return value;

}

}

web.xml中的配置

XSSFilter

com.bijian.study.filter.XSSFilter

XSSFilter

*.do

XSSFilter

*.jsp

二.JSP的EL表达式+JSTL标签库方案

String path = request.getContextPath();

String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/";

String nameStr = request.getParameter("name");//用request得到

request.setAttribute("nameAttr", nameStr);

%>

Hello

Hi,

weixin_39621075
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java web xss防御_JavaWeb XSS攻击防御
weixin_33985453的博客
02-16 282
XSS概述跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。实现Filter,实现XSS过滤器package com.bj58.qf.filter;import javax.servlet.*;import javax.servlet...
Java Web XSS安全防御
05-01
NULL 博文链接:https://bijian1013.iteye.com/blog/2374277
java web xss_Java Web 安全XSS防范
weixin_39762856的博客
02-16 112
XSS漏洞一般分为反射型与存储型。存储型比较严重。一般主要对以下5种字符转义即可< --> <' -->\'" -->\"\ -->\\/ -->\/value = HTMLFilter.replace(value, "\\", "\\\\", matchCase);//反斜杠必须放在最前面转义,否则当'-->\'时,实际上会变成'-->\\'...
Java Web 安全XSS
Lyn12030706的专栏
01-26 383
概念 跨站脚本攻击(Cross Site Scripting),简称XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 原理 攻击者在客户端以程序的形式作为数据提交。 危害 获取页面数据 获取Cookies 劫持前端逻辑 发送请求 偷取网站任意数据 偷取用户资料 偷取
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java web xss_javaWeb项目如何防止xss攻击详解
weixin_42131316的博客
02-13 788
关于xss的概念和解决方案网上很多,这里主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。其中,输入时的过...
java_web_新闻发布系统源码
09-07
8. **安全性考虑**: 为了保护用户信息和系统安全,开发者需要考虑SQL注入防护、XSS攻击防范、CSRF(跨站请求伪造)防御安全措施。同时,密码通常需要经过哈希和加盐处理,以增强存储的安全性。 9. **部署与运行**...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
java 预防XSS攻击
08-23
XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入到网页中,进而影响用户的安全。本文将深入探讨如何在Java后端进行预防XSS攻击的策略。 1. **理解XSS类型**: - **存储...
java web安全培训一期
12-19
在"java web安全培训一期"中,我们聚焦于几个核心领域,包括防御核心原则、攻击面的观察、日志管理、数据加密以及业务层面的身份识别。这些知识点是保障Web应用免受恶意攻击、保护用户数据和系统安全的基础。 首先...
JavaWeb XSS攻击防御
weixin_34408717的博客
05-02 706
2019独角兽企业重金招聘Python工程师标准>>> ...
java web xss_JavaWeb xss攻击
weixin_39982933的博客
02-13 167
出处: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.htmlXSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导...
JAVA-WEB常见漏洞-XSS漏洞】
Websec
11-23 1565
XSS漏洞 攻击者利用XSS(Cross-site scripting)漏洞攻击可以在用户的浏览器中执行JS恶意脚本,XSS攻击可以实现用户会话劫持、钓鱼攻击、恶意重定向、点击劫持、挂马、XSS蠕虫等,XSS攻击类型分为:反射型、存储型、DOM型。 1. 反射型XSS攻击 示例 - 存在反射型XSSxss.jsp代码: <%=request.getParameter("input")%> 攻击者通过传入恶意的input参数值可以在用户浏览器中注入一段JavaScript脚本.
java web 防止xss注入
hw1287789687的专栏
08-27 233
Java web中如何防止xss 注入呢? 首先讨论第一个问题:存到数据库中的是转码之后的还是转码之前的? 转码之后: 转码之前:  结论是:存到数据库中的就是转码之前的.为什么呢? 因为xss 攻击只存在PC web端,如果数据库中存储的就是转码之后的,那么手机app显示出来不就有问题了么?   所以最终的做法就是在PC web端 转码: 转码方法: escape= fun...
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5296
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
java防止xss攻击
peter_qyq的博客
01-05 407
XSS全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等 XSS 是如何发生的 假如有下面一个textbox <input type="text" name="address1" value="value1from"> 1 value1from是来自用.
java web xss_JAVAWEB项目处理XSS漏洞攻击处理方案
weixin_35110758的博客
02-16 238
对页面传入的参数值进行过滤,过滤方法如下/*** 将容易引起xss漏洞的半角字符直接替换成全角字符** @param s* @return*/public static String xssEncode(String s) {if (s == null || s.equals("")) {return s;}try {s = URLDecoder.decode(s, UTF8);} catch ...
Java Web 过滤Xss 代码
iteye博客
04-08 285
    随着社会的发展,企业对项目的要求越来越高,特别是和安全相关的项目,要求不能有注入,Xss等等。博主今天分享一个过滤Xss代码的过滤器。   package com.vti.filter; import java.io.IOException; import java.util.Arrays; import java.util.List; import javax.se...
Java 安全编码.pdf
03-18
"本资源主要探讨了Java安全编码的相关问题,旨在帮助开发者避免常见的安全漏洞,提升Web应用的安全性。课程目标包括了解多种攻击方法,如SQL注入、跨站脚本攻击(XSS)、HTTP响应拆分等,并关注访问控制、随机性不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值