xss攻击字符过滤器 Java_利用简单的过滤器 过滤特殊字符实现 防止XSS攻击

最新推荐文章于 2024-08-18 19:04:11 发布
最新推荐文章于 2024-08-18 19:04:11 发布
阅读量291 收藏
点赞数
文章标签: xss攻击字符过滤器 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39838758/article/details/114518591
版权

web.xml配置文件

XSSFilter

com.neusoft.common.filter.XSSFilter

XSSFilter

/*

package com.neusoft.common.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XSSFilter implements Filter {

@Override

public void destroy() {

// TODO Auto-generated method stub

}

@Override

public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)

throws IOException, ServletException {

// TODO Auto-generated method stub

arg2.doFilter(new XSSRequestWrapper((HttpServletRequest) arg0), arg1);

}

@Override

public void init(FilterConfig arg0) throws ServletException {

// TODO Auto-generated method stub

}

}

package com.neusoft.common.filter;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

public XSSRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values == null) {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i < count; i++) {

encodedValues[i] = stripXSS(values[i]);

}

return encodedValues;

}

@Override

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

return stripXSS(value);

}

@Override

public String getHeader(String name) {

String value = super.getHeader(name);

//return stripXSS(value);

return value;

}

public String getQueryString() {

String value = super.getQueryString();

if (value != null) {

value = stripXSS(value);

}

return value;

}

private String stripXSS(String value) {

if (value != null) {

// Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid anything in a

// e­xpression

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome tag

scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome

scriptPattern = Pattern.compile("

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid eval(...) e­xpressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid e­xpression(...) e­xpressions

scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid javascript:... e­xpressions

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid vbscript:... e­xpressions

scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid οnlοad= e­xpressions

scriptPattern = Pattern.compile("onload(.*?)=",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

}

return value;

}

}

weixin_39838758
关注
xss特殊字符拦截与过滤
04-01
标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现XSS攻击是指攻击者通过...
java 特殊字符过滤器_利用简单过滤器 过滤特殊字符实现 防止XSS攻击详解
weixin_36346970的博客
02-16 667
web.xml配置文件XSSFiltercom.neusoft.common.filter.XSSFilterXSSFilter/*package com.neusoft.common.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax...
javaXSS攻击的 关键词过滤实现
weixin_43791937的博客
05-15 1411
继承HttpServletRequestWrapper实现对请求参数的过滤 /** * xss请求适配器 */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 对
XSS-过滤特殊符号的正则绕过
最新发布
ningwangh的博客
08-18 1261
所以将alert转化成30进制。
Xss过滤器Java
chi0830的博客
08-20 1767
问题 最近旧的系统,遇到Xss安全问题。这个系统采用用的是spring mvc的maven工程。 解决 maven依赖配置 <properties> <easapi.version>2.2.0.0</easapi.version> </propert...
java 特殊字符过滤器_filter过滤器实现特殊字符转义
weixin_33291720的博客
02-12 717
importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importorg.apache.commons.lang.StringUtils;public class XssHttpServletRequestWraper extendsHttpServletRequ...
通过模板方法模式——对短信中的文本内容进行敏感词过滤,及将文本内容与敏感词词库做匹配的实现
阿啄debugIT
12-14 708
前言 模板方法模式是最为常见的几个模式之一(也比较简单),是基于继承实现代码复用的基本技术。 模板方法模式(TemplateMethod Pattern)的定义是:首先定义了一个由若干执行步骤组成的执行过程(形成模板),而将一些步骤延迟在子类中实现,使得子类能够对其中一个或者多个具体步骤进行重新定义,从而改变最终的执行结果。 模板方法模式的UML类图如下: 这里涉及到了两个角色: 抽象模板 AbstractTemplate 定义并实现了一个模板方法。这个模板方法一般是一个具体的方法,它定.
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器Java Servlet API的一部分,...
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
java过滤器防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
短信模板-替换消息模板中的特殊字符
Lifeime的博客
10-10 740
短息模板
Android之RegexUtil 工具类(密码判断,过滤数字,特殊字符判断及过滤,校验密码等)
lizhong
11-20 1155
分享常用的工具类: public class RegexUtil { /** * 判断密码强度 * 最少八个字符,至少一个大写字母,一个小写字母和一个数字 * @return boolean */ public static boolean passwordStrong(String passwordStr) { boolean f...
JAVA工具类之表情过滤
BuFanQi的博客
02-02 1189
EmojiUtils.java package com.bigbigbu.cf.common.utils; import java.util.regex.Matcher; import java.util.regex.Pattern; import org.apache.http.util.TextUtils; /** * @Title: EmojiUtils * @Descriptio
过滤文本编辑器中的特殊字符 工具类
qq_30443907的博客
09-10 710
过滤文本编辑其中的特殊字符 public class HtmlToTex { private static final String regEx_script = "&lt;script[^&gt;]*?&gt;[\\s\\S]*?&lt;\\/script&gt;"; /* 定义script的正则表达式 */ private static final S...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7800
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
Android 正则表达式学习
将安卓进行到底...
10-12 381
Java正则表达式学习: 因为正则表达式是一个很庞杂的体系,此例仅举些入门的概念,更多的请参阅相关书籍及自行摸索。 \\ 反斜杠 \t 间隔 ('\u0009') \n 换行 ('\u000A') \r 回车 ('\u000D') \d 数字 等价于[0-9] \D 非数字 等价于[^0-9] \s 空白符号 [\t\n\x0B\f\r] \S 非空白符号 [^\t\n\x0B\f\r] \w 单...
java 过滤危险字符,url传递中文字符,特殊危险字符的解决方案(仅供参考)urldecode、base64_encode...
weixin_32171133的博客
03-14 993
很多时候,我们需要在url中传递中文字符或是其它的html等特殊字符,似乎总会有各种乱,不同的浏览器对他们的编码又不一样,对于中文,一般的做法是:把这些文本字符串传给url之前,先进行urlencode($text)一下;但是对于一些很“危险”的字符,比如说html字符,甚至是SQL注入相关的字符,如果很明显的传给系统,出于安全考虑,系统一般都会把它们过滤掉的。现在,我们需要这些危险字符,该这么办...
java请求URL带参之防XSS攻击
weixin_30768661的博客
12-26 726
1.web.xml新增filter配置 <!-- URL请求参数字符过滤或合法性校验 --> <filter> <filter-name>XssFilter</filter-name> <filter-class>com.isoftstone.ifa.web.bas...
XSS跨站攻击注入漏洞解决方案
不积跬步无以至千里
01-23 1172
一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。  XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值