java前端提示反射型xss_解决反射型XSS漏洞攻击

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量1.1k 收藏
点赞数
文章标签: java前端提示反射型xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39664585/article/details/114896747
版权

1 /*

2 * Copyright (C), 2001-2019, xiaoi机器人3 * Author: han.sun4 * Date: 2019/2/28 11:395 * History:6 * 7 * 作者姓名 修改时间 版本号 描述8 */

9 packagecom.eastrobot.robotdev.filter;10

11 importjavax.servlet.http.HttpServletRequest;12 importjavax.servlet.http.HttpServletRequestWrapper;13 importjava.util.Map;14 importjava.util.regex.Matcher;15 importjava.util.regex.Pattern;16

17 /**

18 * 〈一句话功能简述〉
19 * TODO(解决反射型XSS漏洞攻击)20 *21 *@authorhan.sun22 *@version1.0.023 *@since2019/2/28 11:3924 */

25 public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {26

27 /**

28 * 定义script的正则表达式29 */

30 private static final String REG_SCRIPT = "";31

32 /**

33 * 定义style的正则表达式34 */

35 private static final String REG_STYLE = "";36

37 /**

38 * 定义HTML标签的正则表达式39 */

40 private static final String REG_HTML = "]+>";41

42 /**

43 * 定义所有w标签44 */

45 private static final String REG_W = "]*?>[\\s\\S]*?]*?>";46

47 private static final String REG_JAVASCRIPT = ".*javascript.*";48

49

50 XssHttpServletRequestWrapper(HttpServletRequest request) {51 super(request);52 }53

54 @SuppressWarnings("rawtypes")55 @Override56 public MapgetParameterMap() {57 Map requestMap = super.getParameterMap();58 for(Object o : requestMap.entrySet()) {59 Map.Entry me =(Map.Entry) o;60 String[] values =(String[]) me.getValue();61 for (int i = 0; i < values.length; i++) {62 values[i] =xssClean(values[i]);63 }64 }65 returnrequestMap;66 }67

68 @Override69 publicString[] getParameterValues(String paramString) {70 String[] values = super.getParameterValues(paramString);71 if (values == null) {72 return null;73 }74 int i =values.length;75 String[] result = newString[i];76 for (int j = 0; j < i; j++) {77 result[j] =xssClean(values[j]);78 }79 returnresult;80 }81

82 @Override83 publicString getParameter(String paramString) {84 String str = super.getParameter(paramString);85 if (str == null) {86 return null;87 }88 returnxssClean(str);89 }90

91

92 @Override93 publicString getHeader(String paramString) {94 String str = super.getHeader(paramString);95 if (str == null) {96 return null;97 }98 str = str.replaceAll("[\r\n]", "");99 returnxssClean(str);100 }101

102 /**

103 * [xssClean 过滤特殊、敏感字符]104 *@paramvalue [请求参数]105 *@return[value]106 */

107 privateString xssClean(String value) {108 if (value == null || "".equals(value)) {109 returnvalue;110 }111 Pattern pw =Pattern.compile(REG_W, Pattern.CASE_INSENSITIVE);112 Matcher mw =pw.matcher(value);113 value = mw.replaceAll("");114

115 Pattern script =Pattern.compile(REG_SCRIPT, Pattern.CASE_INSENSITIVE);116 value = script.matcher(value).replaceAll("");117

118 Pattern style =Pattern.compile(REG_STYLE, Pattern.CASE_INSENSITIVE);119 value = style.matcher(value).replaceAll("");120

121 Pattern htmlTag =Pattern.compile(REG_HTML, Pattern.CASE_INSENSITIVE);122 value = htmlTag.matcher(value).replaceAll("");123

124 Pattern javascript =Pattern.compile(REG_JAVASCRIPT, Pattern.CASE_INSENSITIVE);125 value = javascript.matcher(value).replaceAll("");126 returnvalue;127 }128

129 }

weixin_39664585
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
解决反射XSS漏洞攻击
weixin_30466953的博客
03-03 4624
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。 一、首先从前端考虑过滤一些非法字符。 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤Input输入内容 1 // 过滤XSS反射漏洞 2 filterInputTxt: function (html) ...
java 防止反射_解决反射XSS漏洞攻击
weixin_29777019的博客
02-25 3186
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js中,在 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射漏洞2 filterinputtxt: function (html) {3 html = html.repl...
JavaXSS攻击实现(AOP+注解+反射
dh554112075的博客
06-21 2727
本文使用JSP验证效果 引人依赖 <!-- springboot-aop --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-...
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 7223
XSS 安全漏洞介绍及修复方案
反射XSS漏洞详解
gb4215287的博客
02-04 2121
反射XSS漏洞 如果一个应用程序使用动态页面向用户显示错误消息,就会造成一种常见的XSS漏洞。通常,该页面会使用一个包含消息文本的参数,并在响应中将这个文 本返回给用户。对于开发者而言,使用这种机制非常方便,因为它允许他们从应用程序中调用一个定制的错误页面,而不需要对错误页面中的消息分别进行硬编码。 例如,下面的URL返回如图12-1所示的错误消息: https://wahh-app.co...
反射XSS漏洞的条件+类+危害+解决
热门推荐
wuhuagu_wuhuaguo的博客
03-31 4万+
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种:   反射攻击;    存储攻击 XSS反射攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,
java前端提示反射xss_pikachu--XSS(跨站脚本)(反射,存储,DOM
weixin_30430333的博客
02-28 386
1.反射xss 输入一些特殊字符跟数字组合 查看页面源码 可以看到它把我们输入的内容原封不动的输出我们尝试在输入时候构造js的条件,输入alert(‘xss’),这时我们可以看到输入行对字数有限制,我们可以使用开发者工具进行修改,再次输入。 成功执行,所以存在着xss漏洞,同时我们也可以看到这是一个get的请求这里说一下,get与post的区别:get以url方式提交数据;post以表单方式...
奇安信安全扫描漏洞解决路径遍历和存储xss反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
java反射行跨站脚本攻击_跨站脚本攻击反射XSS漏洞【转载】
weixin_34734156的博客
02-24 988
如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息,就有可能会造成一种常见的XSS漏洞。一般情况下,这种页面使用一个包含消息文本的参数,并在页面加载时将文本返回给用户。对于开发者来说,使用这种方法非常方便,因为这样的解决方法可方便的将多种不同的消息返回状态,使用一个定制好的信息提示页面。例如,通过程序参数输出传递的参数到HTML页面,则打开下面的网址将会返回一个消息提示:http://f...
php反射xss,利用反射XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 748
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
网络安全学习第8篇 - xss攻击java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
一清道长的个人博客
05-14 3958
请依据课堂所讲解的关于XSS攻防的技术知识,结合你所学过的Web前端编程技术,自行设计一套XSS攻防流程。要求: 1、攻防技术的实现既要有深度也要有广度。 2、需要设计一个前端页面。 3、提交时请提交实验报告以及Web前端代码。 实验文件.rar (1)什么是xss? 跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出...
反射xss攻击代码.rar
05-14
xss攻击java实现反射xss攻击,发送链接诱骗点击,编写服务端获取客户端的cookie信息)
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
详解XSS漏洞反射XSS漏洞
Rockboy777的博客
09-16 284
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞攻击者通过注入恶意脚本代码,将其注入到Web页面中,并在访问该页面的用户浏览器中执行该脚本代码,从而窃取用户敏感信息、篡改页面内容、操纵页面行为等。XSS漏洞一般分为反射XSS、存储XSS和DOM-Based XSS三种类反射XSS漏洞是Web应用程序中常见的安全漏洞攻击者可利用该漏洞注入恶意代码,窃取用户敏感信息、篡改页面内容、操纵页面行为等。
XSS漏洞
zhoutong2323的博客
04-19 1820
XSS漏洞(Cross-Site Scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。当受害者访问包含恶意脚本的网页时,攻击者就可以利用该漏洞来执行任意的代码,例如窃取用户的敏感信息、修改网页内容或进行其他恶意活动。
Java代码审计(6)XSS审计思路
划水的小白白
01-25 934
0、前言 0.1 XSS的审计思路 0.2 补充一些知识 1、反射XSS审计 2、存储XSS审计 2.1、搭建项目: 2.2、审计 3、存在过滤的XSS项目 4、XSS的修复 4.1、XSS的修复的主要分为两点:
反射XSS漏洞
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-25 1648
反射XSS漏洞 原理:利用javascript语句,进行XSS拼接网页的HTML代码,一般而言我们是可以拼接出合适的HTML代码去执行恶意的JS语句(总结:xss就是拼接恶意的HTML) 1.我们输入 <script>alert(1)</script> 在框内 寻找输出点,发现在源代码里找到了两个输出点,但是第一个输出点 它把<>实体化了,没有<>的显示 但是第二个就不一样了 ![在这里插入图片描述](https:/它的<>都没有被实体化,存
xss漏洞原因以及如何应对
风烟
01-26 9216
场景一:获取URL参数含有脚本执行 比如我们需要获取URL中某个参数,然后输出到页面当中 比如链接是http://xxx?search="><script>alert('xss')</script>这种,我们解析search参数拼接html的之后直接用了这个参数,这个时候浏览器不知道是恶意代码,直接就执行了, <div> xxx: "><script>alert('xss')</script> </div> 这
java 反射xss漏洞
06-02
Java反射XSS漏洞是指攻击者利用Java反射机制构造恶意输入,从而触发Web应用程序的反射机制,导致恶意代码被执行的漏洞攻击者可以通过构造恶意请求,将恶意代码注入到应用程序中,使得用户在访问页面时受到攻击。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值