xss filter java_防止常见XSS 过滤 SQL注入 JAVA过滤器filter

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量111 收藏
点赞数
文章标签: xss filter java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39625098/article/details/114088274
版权

xssAndSqlFilter

com.cup.cms.web.framework.filter.XssAndSqlFilter

xssAndSqlFilter

*

2、编写过滤器

/**

*

*/

package com.cup.cms.web.framework.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

/**

* @Author hithedy

* @Date 2016年2月2日

* @Time 下午2:01:53

*/

public class XssAndSqlFilter implements Filter {

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

XssAndSqlHttpServletRequestWrapper xssRequest = new XssAndSqlHttpServletRequestWrapper((HttpServletRequest) request);

chain.doFilter(xssRequest, response);

}

@Override

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

}

3、包装器

/**

*

*/

package com.cup.cms.web.framework.filter;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

* @Author hithedy

* @Date 2016年2月2日

* @Time 下午2:03:19

*/

public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {

HttpServletRequest orgRequest = null;

public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

orgRequest = request;

}

/**

* 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。

* 假如需要取得原始的值,则通过super.getParameterValues(name)来获取

* getParameterNames,getParameterValues和getParameterMap也可可以需要覆盖

*/

@Override

public String getParameter(String name) {

String value = super.getParameter(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

/**

* 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。

* 假如需要取得原始的值,则通过super.getHeaders(name)来获取

* getHeaderNames 也可可以需要覆盖

*/

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

/**

* 将容易引起xss & sql漏洞的半角字符直接替换成全角字符

*

* @param s

* @return

*/

private static String xssEncode(String s) {

if (s == null || s.isEmpty()) {

return s;

}else{

s = stripXSSAndSql(s);

}

StringBuilder sb = new StringBuilder(s.length() + 16);

for (int i = 0; i < s.length(); i++) {

char c = s.charAt(i);

switch (c) {

case '>':

sb.append(">");// 转义大于号

break;

case '

sb.append("<");// 转义小于号

break;

case '\'':

sb.append("'");// 转义单引号

break;

case '\"':

sb.append(""");// 转义双引号

break;

case '&':

sb.append("&");// 转义&

break;

case '#':

sb.append("#");// 转义#

break;

default:

sb.append(c);

break;

}

}

return sb.toString();

}

/**

* 获取最原始的request

*

* @return

*/

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

/**

* 获取最原始的request的静态方法

*

* @return

*/

public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

if (req instanceof XssAndSqlHttpServletRequestWrapper) {

return ((XssAndSqlHttpServletRequestWrapper) req).getOrgRequest();

}

return req;

}

/**

*

* 防止xss跨脚本攻击(替换,根据实际情况调整)

*/

public static String stripXSSAndSql(String value) {

if (value != null) {

// NOTE: It's highly recommended to use the ESAPI library and

// uncomment the following line to

// avoid encoded attacks.

// value = ESAPI.encoder().canonicalize(value);

// Avoid null characters

/**value = value.replaceAll("", "");***/

// Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("(.*?)[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression

scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome tag

scriptPattern = Pattern.compile("[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome

weixin_39625098
关注
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
xss filter
xiaomin1991222的专栏
11-25 144
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
XSS Filter实现
iteye_21082的博客
02-07 238
下面的filter主要是解决防止XSS攻击 一个是Filter负责将请求的request包装一下。 转自CSDN ,MARK下链接: http://blog.csdn.net/yuwenruli/article/details/6870753   另外还看到一个实现: http://www.stripesframework.org/display/stripes/XSS+filte...
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 394
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3522
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSSSQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
java 过滤器filtersql注入的实现代码
09-01
Java Web开发中,SQL注入是一种常见的安全威胁,它允许攻击者通过恶意构造的SQL语句来操控数据库。为了防止这种攻击,开发者通常会使用过滤器Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害...
java过滤器防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
xssFilter
飞鱼计划
01-14 198
function xssFilter($data) { if (is_string($data)) { return htmlspecialchars($data, ENT_QUOTES | ENT_SUBSTITUTE, 'utf-8'); } $attributes = $data->getAttributes(); foreach ($attributes as &$v) { if (is_string($v)) { .
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.csdn.net/zlxls/article/details/107432468
防止XSS攻击Filter
johennes的专栏
07-31 1365
今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: import java.io.IOException; import javax.servlet.Filter;
字符串工具类
weixin_45520089的博客
10-16 407
import org.apache.commons.lang.text.StrBuilder; import java.util.Collection; import java.util.Map; /** * 字符串工具类 * * @author reagan */ public class StringUtils { /** 空字符串 */ private stat...
FilterXss攻击
tianyafeng123xin的博客
01-12 514
1、Xss认识 xss表示XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 2、示例 最近看项目时看到的web.xml有一个filter的配置: xssFilter com.exton
过滤器防止xss攻击
最新发布
yizhousai0662的博客
09-01 1269
将参数中有关xss攻击的非法字符全部处理掉。
XssFilter防止脚本注入,防止xss攻击
javaloveiphone的专栏
12-10 9441
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml(“fff”)方法。 其中,输入时的过滤是用一个filter来实现, 实现过程: 在we
XSSFilter for java
懒虫一个V
06-25 5639
Here is a good and simple anti cross-site scripting (XSS) filter written for Java web applications. What it basically does is remove all suspicious strings from request parameters before returning the
XssFilterxss攻击
癸酉金鸡的博客
10-19 426
通过过滤器防止xss攻击,新建过滤器 package com.zheytech.common.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void init(FilterConfig filterC.
Java过滤器防御XSSSQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值