antisamy java_AntiSamy解决XSS攻击

最新推荐文章于 2023-04-09 10:41:45 发布
最新推荐文章于 2023-04-09 10:41:45 发布
阅读量188 收藏
点赞数
文章标签: antisamy java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39901332/article/details/114205529
版权

1、下载jar包

2、下载策略文件(里面有各个版本的策略文件)

3、自定义过滤器

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

@SuppressWarnings("unused")

private FilterConfig filterConfig;

public void destroy() {

this.filterConfig = null;

}

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);

}

public void init(FilterConfig filterConfig) throws ServletException {

this.filterConfig = filterConfig;

}

}

4、自定义request类继承HttpServletRequestWrapper重写其中的部分方法

import java.util.Iterator;

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.owasp.validator.html.AntiSamy;

import org.owasp.validator.html.CleanResults;

import org.owasp.validator.html.Policy;

import org.owasp.validator.html.PolicyException;

import org.owasp.validator.html.ScanException;

public class RequestWrapper extends HttpServletRequestWrapper {

public RequestWrapper(HttpServletRequest request) {

super(request);

}

@SuppressWarnings({ "rawtypes", "unchecked" })

public Map getParameterMap(){

Map request_map = super.getParameterMap();

Iterator iterator = request_map.entrySet().iterator();

while(iterator.hasNext()){

Map.Entry me = (Map.Entry)iterator.next();

String[] values = (String[])me.getValue();

for(int i = 0 ; i < values.length ; i++){

System.out.println(values[i]);

values[i] = xssClean(values[i]);

}

}

return request_map;

}

@SuppressWarnings({ "rawtypes", "unchecked" })

public String getParameter(String name) {

String v=super.getParameter(name);

if(v==null)

return null;

return xssClean(v);

}

@SuppressWarnings({ "rawtypes", "unchecked" })

public String[] getParameterValues(String name) {

String[] v=super.getParameterValues(name);

if(v==null || v.length==0)

return v;

for(int i=0;i

v[i]=xssClean(v[i]);

}

return v;

}

private String xssClean(String value) {

AntiSamy antiSamy = new AntiSamy();

try {

Policy policy = Policy.getInstance("/antisamy-slashdot.xml");

final CleanResults cr = antiSamy.scan(value, policy);

return cr.getCleanHTML();

} catch (ScanException e) {

e.printStackTrace();

} catch (PolicyException e) {

e.printStackTrace();

}

return value;

}

}

5、配置拦截器,拦截请求处理请求参数

XSSFilter

org.jeecgframework.core.filter.XssFilter

XSSFilter

/*

引入完成。

weixin_39901332
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3404
Antisamy(XSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 404
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 2824
XSS 是跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
使用AntiSamy防范XSS跨站脚本攻击
Code_M0nkey
06-04 7347
什么是XSS? XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web application中的计算机安全漏洞。XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。   XSS的分类 根据XSS造成的影响,可以将XSS分为非持久型和持久型。   1.
AntiSamy的使用总结
rqz__的博客
04-09 571
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
防 XSS 攻击的实现
weixin_58207509的博客
12-10 612
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
AntiSamy Xss攻击过滤封装WebService源码
11-08
将开源的 AntiSamy Xss 防跨站脚本攻击工具封装为 Java WebService,可以运行在 Tomcat 下。 压缩包里是源码及所有依赖的dll,开发环境是 eclipse jdk 6.0。 如使用 asp.net 开发,可简单部署一个 TOMCAT 服务器,...
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
在.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat...
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。antisamy通过提供一套详细的策略和规则,可以对HTML、...
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
antisamy的jar包
03-21
antisamy的jar包】是用于XSS(跨站脚本攻击)过滤的重要工具,它在Web应用程序安全领域扮演着核心角色。XSS攻击是一种常见的网络攻击方式,攻击者通过在网页上注入恶意脚本,使得用户在不知情的情况下执行这些脚本...
antisamy-sandbox:修改 OWASP AntiSamy
07-13
总之,antisamy-sandbox项目为Java开发者提供了一个强大的工具,帮助他们在对抗XSS攻击时保持警惕。通过合理的策略配置和灵活的集成,开发者可以有效地保护他们的应用免受恶意代码的侵害。了解并熟练运用antisamy-...
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7207
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1700
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
AntiSamy防跨站脚本攻击(XSS)快速入门
我要记录学习博客
08-29 915
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
antisamy XML 简介
周碧银
09-29 1897
1) antisamy-slashdot.xml Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限 的 HTML 格式的内容匿名回帖。Slashdot 不仅仅是目前同类中最酷的网站之一,而 且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻 击的原由是臭名昭着的 goatse.cx 图片(请你不要
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
最新发布
07-13
从0到场均50万GMV,鞋服品牌的视频号直播打法3. 直播场次报表.xlsx
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值