java xssfilter_java 防止xss攻击 通过filter的方法 | 学步园

最新推荐文章于 2023-08-10 10:39:38 发布
最新推荐文章于 2023-08-10 10:39:38 发布
阅读量307 收藏
点赞数
文章标签: java xssfilter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39775428/article/details/114188836
版权

http://breezylee.iteye.com/blog/2063615

注意:如果form表单里增加了enctype="multipart/form-data" 这个属性,会导致HttpServletRequestWrapper

里取不到表单里的内容

关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。

其中,输入时的过滤是用一个filter来实现,

实现过程:

在web.xml加一个filter

Xml代码  fefa972cd0235bf704389c5b23e340c3.png

XssEscape

cn.pconline.morden.filter.XssFilter

XssEscape

/*

REQUEST

XssFilter 的实现方式是实现servlet的Filter接口

Java代码  fefa972cd0235bf704389c5b23e340c3.png

package cn.pconline.morden.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

}

@Override

public void destroy() {

}

}

关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

Java代码  fefa972cd0235bf704389c5b23e340c3.png

package cn.pconline.morden.filter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}

@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}

@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i 

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return super.getParameterValues(name);

}

}

到此为止,在输入的过滤就完成了。

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示,具体问题再具体分析。

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

weixin_39775428
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1032
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
java WEB的攻击和防范
baidu_35491832的博客
03-28 1165
平常在编写代码中需要经常注意的安全编码,要带着安全的思想进行编码,在网上看了很多资料,进行了整理,归纳 重放攻击 概念: 重放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。它是一种攻击类,这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据...
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4428
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
web过滤器中获取请求的参数(content-type:multipart/form-data)
weixin_30297281的博客
12-21 570
1.前言:   1.1 在使用springMVC中,需要在过滤器中获取请求中的参数token,根据token判断请求是否合法;   1.2通过requst.getParameter(key)方法获得参数值;     这种方法有缺陷:它只能获取 POST 提交方式中的Content-Type: application/x-www-form-urlencoded;    Ht...
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2531
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、...该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS攻击防御解决方案。
java怎么防止web攻击_整理关于web项目如何防止CSRF和XSS攻击方法
weixin_33691489的博客
02-27 475
1 了解CSRF的定义CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSR...
JAVA WEB项目解决XSS攻击的办法
02-27 2884
记一次JAVA WEB项目解决XSS攻击的办法(亲测有效) Posted on2019-03-01 13:22zkongbai 阅读(4381) 评论(4)编辑收藏 什么是XSS攻击     简单来说,XSS 攻击是页面被注入了恶意的代码,度娘一大堆的东西,不想说 系统架构主要是SSM框架,服务层另外使用了DubboX.     为啥说这个,因为SpringMVC对于Xs...
Xss过滤器之文件上传特殊处理
qq_42585774的博客
11-11 3967
当表单提交的enctype="multipart/form-data"且同一个页面中有附件上传功能时,xss过滤器需要做特殊处理 package com.ffcs.common.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import ...
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 3814
上传文件流防XSS
Java SSM框架+jsp处理存储XSS反射XSS漏洞
weixin_45767372的博客
07-07 4012
存储XSS反射XSS修复
Java 防止XSS攻击(Spring boot & Spring 方式)
bad_boy的博客
02-17 1614
——SpringBoot application.properties 开启xss配置 # XSS配置 xss.enabled=true # 不过滤路径, 以逗号分割 xss.excludes=/open/* # 过滤路径, 逗号分割 xss.urlPatterns=/* 过滤器配置 package com.xlj.tools.config; import cn.hutool.core.util.StrUtil; import com.fasterxml.jackson.databind.Obj
java 防止 XSS 攻击的常用方法总结.
热门推荐
每天积累一点,一年后你会发现,自己变化很大
02-13 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防
为了应对 Xss 跨站脚本攻击,新增 XssFilter 统一处理实践
starzxf的专栏
11-08 358
问题背景: 1、早期的软件产品,使用 spring mvc 2、jsp form 表单中要传附件,同时有 input 字段要提交,因此表单 encType 必须是multipart/form-data, action="POST" 问题: 1、按照流转很广的方式 ,新建 XssFilterServletRequestWrapper extendsHttpServletRequestW...
Java编程如何防止XSS漏洞攻击?
05-25
XSS(Cross Site Scripting)攻击是一种常见的网络安全漏洞,Java编程可以采取以下措施来防止XSS攻击: 1. 输入检查:对用户输入数据进行过滤和验证,防止特殊字符和脚本注入。 2. 输出过滤:在输出时,对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值