java xss 配置不作用_Spring防止Xss配置

最新推荐文章于 2024-02-16 10:30:00 发布
最新推荐文章于 2024-02-16 10:30:00 发布
阅读量307 收藏
点赞数
文章标签: java xss 配置不作用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39882589/article/details/114797566
版权
本文介绍了如何在Spring项目中配置和使用XssFilter,通过web.xml和自定义的XssFilter及XssHttpServletRequestWrapperNew类,对HTTP请求的参数和头信息进行XSS过滤,以增强应用程序的安全性。
摘要由CSDN通过智能技术生成

web.xml配置

<!-- xss过滤器 -->

<filter>

<filter-name>XssFilter</filter-name>

<filter-class>com.zyyt.sipctask.common.filter.XssFilter</filter-class>

</filter>

<filter-mapping>

<filter-name>XssFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

XssFilter.java

package com.zyyt.sipctask.common.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

FilterConfig filterConfig = null;

public void init(FilterConfig filterConfig) throws ServletException {

this.filterConfig = filterConfig;

}

public void destroy() {

this.filterConfig = null;

}

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapperNew(

(HttpServletRequest) request), response);

}

}

XssHttpServletRequestWrapperNew.java

package com.zyyt.sipctask.common.filter;

import java.text.CharacterIterator;

import java.text.StringCharacterIterator;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapperNew extends HttpServletRequestWrapper {

HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapperNew(HttpServletRequest request) {

super(request);

orgRequest = request;

}

/**

* 覆盖getParameter方法,将参数名和参数值都做xss过滤。

* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取

* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

*/

@Override

public String getParameter(String name) {

String value = super.getParameter(xssEncode(name));

if (value != null) {

value = xssEncode(value);

value = HTMLEncode(value);

}

return value;

}

/**

* spring是使用的getParameterValues方法

*/

@Override

public String[] getParameterValues(String name) {

String[] value = super.getParameterValues(name);

if (value == null) {

return null;

}

for (int i = 0;i < value.length;i++) {

value[i] = xssEncode(value[i]);

value[i] = HTMLEncode(value[i]);

}

return value;

}

/**

* 对一些特殊字符进行转义

*

*

*/

public static String HTMLEncode(String aText) {

final StringBuilder result = new StringBuilder();

final StringCharacterIterator iterator = new StringCharacterIterator(aText);

char character = iterator.current();

while (character != CharacterIterator.DONE) {

if (character == '<') {

result.append("<");

} else if (character == '>') {

result.append(">");

} else if (character == '\"') {

result.append("`");

} else {

// the char is not a special one

// add it to the result as is

result.append(character);

}

character = iterator.next();

}

return result.toString();

}

/**

* 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取

* getHeaderNames 也可能需要覆盖

*/

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

/**

* 将容易引起xss漏洞的半角字符直接替换成全角字符

* 目前xssProject对注入代码要求是必须开始标签和结束标签(如<script></script>)正确匹配才能解析,否则报错;因此只能替换调xssProject换为自定义实现

*

* @param s

* @return

*/

private static String xssEncode(String s) {

//

// if (s == null || s.isEmpty()) {

// return s;

// }

//

// StringReader reader = new StringReader(s);

// StringWriter writer = new StringWriter();

// try {

// HTMLParser.process(reader, writer, new XSSFilter(), true);

//

// String result = writer.toString();

//

// System.out.println("xssEncode-------------------------" + s + " = "

// + result);

//

// return result;

// } catch (NullPointerException e) {

// return s;

// } catch (Exception ex) {

// ex.printStackTrace();

// }

//

// return null;

if (s == null || s.isEmpty()) {

return s;

}

String result = stripXSS(s);

if (null != result) {

result = escape(result);

}

return result;

}

public static String escape(String s) {

StringBuilder sb = new StringBuilder(s.length() + 16);

for (int i = 0; i < s.length(); i++) {

char c = s.charAt(i);

switch (c) {

case '>':

sb.append('>');// 全角大于号

break;

case '<':

sb.append('<');// 全角小于号

break;

case '\'':

sb.append('‘');// 全角单引号

break;

case '\"':

sb.append('“');// 全角双引号

break;

case '\\':

sb.append('\');// 全角斜线

break;

case '%':

sb.append('%'); // 全角冒号

break;

default:

sb.append(c);

break;

}

}

return sb.toString();

}

private static String stripXSS(String value) {

if (value != null) {

// NOTE: It's highly recommended to use the ESAPI library and

// uncomment the following line to

// avoid encoded attacks.

// value = ESAPI.encoder().canonicalize(value);

// Avoid null characters

value = value.replaceAll("", "");

// Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid anything in a src='...' type of expression

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome </script> tag

scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome <script ...> tag

scriptPattern = Pattern.compile("<script(.*?)>",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid eval(...) expressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid expression(...) expressions

scriptPattern = Pattern.compile("expression\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid javascript:... expressions

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

value = scriptPattern.matcher(value).replaceAll("");

// Avoid οnlοad= expressions

scriptPattern = Pattern.compile("onload(.*?)=",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("</iframe>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome <script ...> tag

scriptPattern = Pattern.compile("<iframe(.*?)>",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

}

return value;

}

/**

* 获取最原始的request

*

* @return

*/

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

/**

* 获取最原始的request的静态方法

*

* @return

*/

public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

if (req instanceof XssHttpServletRequestWrapperNew) {

return ((XssHttpServletRequestWrapperNew) req).getOrgRequest();

}

return req;

}

}

weixin_39882589
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java xss 配置作用,可能的根本原因包括-Xss的设置太低以及非法循环继承依赖性...
weixin_29149709的博客
02-27 1236
My app is quit big and using many jars and tools.Platform - windows 2008 server, Spring , hibernate, Quarts, mysql, tomcat-7.35When I deploy and start the server first time working perfectly,but If I ...
java xss 配置作用_java – 用于XSS预防的ESAPI不起作用
weixin_33584986的博客
02-27 329
你需要问的第一个问题应该是“我将这个值交给了什么代码解释器?”不幸的是,防止XSS不是基于配方的任务,从它的外观来看 – 你的应用程序正在使用scriptlet,这使得Fortify等静态代码扫描工具为你提供准确的结果变得更加困难. JSP在运行时编译,但Fortify仅扫描源.您应该注意到,应该有未来的任务/故事提交给JSTL重构Scriptlet – 您将在以后感谢我.那么你可以使用esapi...
java xss设置_配置Java Xss保护过滤器
weixin_33288893的博客
02-13 648
/*** Eclipse Class Decompiler plugin, copyright (c) 2016 Chen Chao (cnfree2000@hotmail.com) ***/package com.vprisk.vpframe.xss;import com.vprisk.vpframe.xss.XssHttpServletRequestWrapper;import java.io...
java xss设置_在JAVA项目中关于XSS处理
weixin_29499957的博客
02-13 994
1.使用Spring MVC框架,继承BaseController时:/*** 初始化数据绑定* 1. 将所有传递进来的String进行HTML编码,防止XSS攻击* 2. 将字段中Date类型转换为String类型*/@InitBinderprotected void initBinder(WebDataBinder binder) {// String类型转换,将所有传递进来的String进行...
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 的配置可以通过XML或Java配置实现。Java配置更符合Spring的原则,更易读和维护。配置主要包括以下步骤: 1. **启用Spring Security**:添加`@EnableWebSecurity`注解到配置类。 2. **定义安全配置...
Huluwav2_java_spring_huluwa_maven_
10-03
4. **安全**:考虑到用户数据的安全,应有相应的安全措施,如防止SQL注入、XSS攻击等。 总结,"Huluwav2_java_spring_huluwa_maven_"项目展示了Java Spring框架和Maven在游戏开发中的应用,以及自定义组件的创新。...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
通过在SpringBoot应用中配置XSSFilter并结合其他安全措施,可以有效防止此类攻击,保护用户的浏览器环境不受侵害。同时,定期更新安全知识,对新的攻击手段保持警惕,是保障Web应用程序安全的重要环节。
springmvc4配置防止XSS攻击的方法
04-05
本文将详细介绍在Java开发框架Spring MVC中,如何配置防止XSS攻击的策略。在此过程中,也会提及如何对SQL注入进行防范。 在Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java xss 参数_JVM内存参数设置,-Xss参数设置值过小,导致工程启动失败。
weixin_27758233的博客
02-13 1062
2015-03-11 14:32:16,437 [localhost-startStop-1] ERROR [org.springframework.web.context.ContextLoader] - Context initialization failedjava.lang.NoClassDefFoundError: org.springframework.beans.FatalBean...
JAVA----参数过滤器配置文件,配置参数,实现:防XSS,去掉参数左右空格
Damys
05-06 408
实现功能:防参数XSS攻击,去掉参数左右空格 ParamsFilterConfig 参数过滤配置文件 Configuration public class ParamsFilterConfig { @Value("${xss.enabled}") private String enabled; @Value("${xss.excludes}") private String excludes; @Value("${xss.urlPatterns}")
XSS预防 java后端修改 websphere部署web.xml不生效问题解决
weixin_45310771的博客
11-19 859
web.xml添加过滤器: xssFilter过滤器尽量添加web.xml最上方。 、、、省略、、、 <filter> <filter-name>xssFilter</filter-name> <filter-class>com.***.***.***.XssFilter</filter-class></filter> <filter-mapping> <filter-name&gt
arrays中copyof_Java中:常见的几种内存溢出及解决方案,再遇到后就可以解决了...
weixin_39700548的博客
11-25 3826
1.JVM Heap(堆)溢出:java.lang.OutOfMemoryError: Java heap space JVM在启动的时候会自动设置JVM Heap的值, 可以利用JVM提供的-Xmn -Xms -Xmx等选项可进行设置。Heap的大小是Young Generation 和Tenured Generaion 之和。在JVM中如果98%的时间是用于GC,且可用的Heap size 不...
java过滤器不管用_java中过滤器不起作用的原因
weixin_39679678的博客
02-25 3168
在应用中,有时候会用到过滤器,也有时候命名写好了配好了过滤器信息,可是过滤器就是不起作用。导致过滤器不起作用的原因,目前我碰到的有两种:一个是过滤器的顺序问题,一个是过滤文件类型。先说说过滤器的顺序问题。在项目里面,要是用SSH框架的话,web.xml文件中除了自己写的过滤器以外,还会有struts、Hibernate等的过滤器,这样子经常就会出现题目当中说的问题(尤其是过滤器过滤的是同一种类型,...
java实战:Java处理XSS漏洞的四种方法及代码示例
最新发布
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
JAVA代码审计XSSFilter动态代理过滤
MSB_WLAQ的博客
11-26 3325
JAVA代码审计XSSFilter动态代理过滤 1.介绍 最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss 所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。 2.代码分析 这里就只分析用户添加的页面了,可以看到在未做任何过滤的情况触发XSS 在add.jsp页面发现了Servlet 之后跟进该Servlet,通过获取用户输入进行发送到Service,Service在发送到Dao进行处理 Dao层用的是JDBCtemplate实现,经过测试
spring cloud gateway 自定义全局过滤器 GlobalFilter 不生效
热门推荐
云中雨
04-22 1万+
确定@component 或者@Configure 注解有被扫描到 简单的方法 自己创建一个构造函数 打个断点 public class UserAuthFilter implements GlobalFilter, Ordered { public UserAuthFilter(){ System.out.println("ddd"); } } 添加@Ordered接口 试试看 如果你的网关配置的是本地网关的服务 网关@Controller 路径不能和yml配置.
SpringCloud项目如何在网关配置XSS过滤
05-31
Spring Cloud 项目中,通常会使用 Spring Cloud Gateway 作为网关,可以通过自定义过滤器来实现 XSS 过滤。 以下是一个使用 Spring Cloud Gateway 实现 XSS 过滤的示例: 1. 引入依赖 在 pom.xml 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> <dependency> <groupId>com.googlecode.htmlcompressor</groupId> <artifactId>htmlcompressor</artifactId> <version>1.5.3</version> </dependency> ``` 其中,`htmlcompressor` 是一个开源的 HTML 压缩工具,可以用来过滤 XSS 攻击。 2. 实现过滤器 创建一个名为`XssFilter`的过滤器,实现`GatewayFilter`接口,重写`filter`方法,在该方法中对请求和响应进行过滤。 ```java public class XssFilter implements GatewayFilter { private final HtmlCompressor compressor; public XssFilter() { compressor = new HtmlCompressor(); compressor.setPreserveLineBreaks(false); compressor.setRemoveComments(true); compressor.setRemoveIntertagSpaces(true); } @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); ServerHttpResponse response = exchange.getResponse(); HttpHeaders headers = response.getHeaders(); MediaType mediaType = headers.getContentType(); if (mediaType != null && mediaType.isCompatibleWith(MediaType.TEXT_HTML)) { return chain.filter(exchange.mutate() .request(wrapRequest(request)) .response(wrapResponse(response)) .build()); } return chain.filter(exchange); } private ServerHttpRequest wrapRequest(ServerHttpRequest request) { return new ServerHttpRequestDecorator(request) { @Override public Flux<DataBuffer> getBody() { return super.getBody().map(buffer -> { byte[] bytes = new byte[buffer.readableByteCount()]; buffer.read(bytes); DataBufferUtils.release(buffer); String body = new String(bytes, StandardCharsets.UTF_8); return bufferFactory().wrap(compressor.compress(body).getBytes(StandardCharsets.UTF_8)); }); } }; } private ServerHttpResponse wrapResponse(ServerHttpResponse response) { return new ServerHttpResponseDecorator(response) { @Override public Mono<Void> writeWith(Publisher<? extends DataBuffer> body) { if (body instanceof Flux) { Flux<? extends DataBuffer> fluxBody = (Flux<? extends DataBuffer>) body; return super.writeWith(fluxBody.map(buffer -> { byte[] bytes = new byte[buffer.readableByteCount()]; buffer.read(bytes); DataBufferUtils.release(buffer); String bodyStr = new String(bytes, StandardCharsets.UTF_8); return bufferFactory().wrap(compressor.compress(bodyStr).getBytes(StandardCharsets.UTF_8)); })); } return super.writeWith(body); } }; } } ``` 在上述代码中,通过`HtmlCompressor`压缩 HTML 代码,来过滤恶意脚本。`wrapRequest`方法和`wrapResponse`方法分别对请求和响应进行过滤。需要注意的是,在响应中的`writeWith`方法中,需要判断响应流是否为`Flux`类型,如果是,则需要对每个`DataBuffer`进行过滤。 3. 配置过滤器 在 Spring Cloud Gateway 中配置过滤器需要在配置类中实现`GatewayFilterFactory`接口,实现`apply`方法,返回一个自定义的过滤器实例。 ```java @Configuration public class GatewayConfig { @Bean public XssGatewayFilterFactory xssGatewayFilterFactory() { return new XssGatewayFilterFactory(); } public static class XssGatewayFilterFactory extends AbstractGatewayFilterFactory<Object> { @Override public GatewayFilter apply(Object config) { return new XssFilter(); } @Override public List<String> shortcutFieldOrder() { return Collections.emptyList(); } } } ``` 在上述代码中,定义了一个名为`XssGatewayFilterFactory`的过滤器工厂,返回一个`XssFilter`过滤器实例。在`shortcutFieldOrder`方法中返回一个空列表,表示不需要任何配置参数。 4. 配置路由 在配置路由时,将`XssGatewayFilterFactory`加入到过滤器链中。 ```yaml spring: cloud: gateway: routes: - id: example uri: http://example.com filters: - xss ``` 在上述配置中,将`XssGatewayFilterFactory`定义的过滤器加入到路由的过滤器链中,即可实现 XSS 过滤。 需要注意的是,在实际应用中,还需要根据具体情况进行适当调整和优化。例如,可以根据请求和响应头中的`Content-Type`判断是否需要进行过滤,以提高性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值