java防脚本注入攻击_java防止xss脚本注入攻击,采用spring工具类方式

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量273 收藏
点赞数
文章标签: java防脚本注入攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42403124/article/details/114305274
版权

package com.hs.servlet;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

/**

*

* @date 上午9:44:40

* @author DuChaoWei

* @descripte

*/

public class XSSRequestWrapper extends HttpServletRequestWrapper {

/**

* 构造方法

*

* @param request

*/

public XSSRequestWrapper(HttpServletRequest request) {

super(request);

}

/**

* 处理参数值

*/

@Override

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values == null) {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i < count; i++) {

encodedValues[i] = dealString(values[i]);

}

return encodedValues;

}

/**

* 覆盖

*

* @date 上午9:30:43

* @author DuChaoWei

* @descripte

* @param value

* @return

*/

@Override

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

return dealString(value);

}

@Override

public String getHeader(String name) {

String value = super.getHeader(name);

return dealString(value);

}

/**

* 字符串处理

*

* @date 上午9:30:43

* @author DuChaoWei

* @descripte

* @param value

* @return

*/

private String dealString(String value) {

if (value != null) {

// 采用spring的StringEscapeUtils工具类 实现

StringEscapeUtils.escapeHtml(value);

StringEscapeUtils.escapeJavaScript(value);

StringEscapeUtils.escapeSql(value);

}

return value;

}

}

package com.hs.servlet;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

/**

* 防止xss攻击 过滤器(顺便过滤了 sql攻击)

* @date 上午9:58:58

* @author DuChaoWei

* @descripte

*/

public class XSSFilter implements Filter {

@Override

public void init(FilterConfig arg0) throws ServletException {

}

@Override

public void destroy() {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

}

}

浪墩儿
关注
java 防止js注入_Java如何防止JS脚本注入 Java防止JS脚本注入代码实例
weixin_39673471的博客
02-16 1181
Java如何防止JS脚本注入?本篇文章小编给大家分享一下Java防止JS脚本注入代码实例,文章代码介绍的很详细,小编觉得挺不错的,现在分享给大家供大家参考,有需要的小伙伴们可以来看看。1、java防止JS脚本注入工具类-通用public class XssUtil {private static MapxssMap = new LinkedHashMap();private static Ma...
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 990
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3905
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
java防止脚本注入,通过拦截器实现
weixin_30808575的博客
10-10 255
1:利用action过滤 package com.tsou.comm.servlet; import java.util.Enumeration; import java.util.Map; import java.util.Vector; import javax.servlet.http.HttpServletRequest; import javax.servle...
springMVC通过Filter实现防止xss注入
热门推荐
井底之蛙
03-14 1万+
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预就是对Request请求中的一些参数去掉一些比较敏感的脚本
ss.rar_java security_spring security_springsecurity4xss
09-23
它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本XSS)、跨站请求伪造(CSRF)等。Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的...
java防止xss注入
07-15
**Java防止XSS注入详解** XSS(Cross-site scripting)是一种常见的网络安全漏洞,攻击者通过在网页中嵌入恶意脚本,使用户在不知情的情况下执行这些脚本,从而窃取用户信息或进行其他恶意操作。Java作为广泛应用于...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2545
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
JSP spring boot / cloud 使用filter防止XSS
10-19
XSS攻击全称为跨站脚本攻击(Cross Site Scripting),它是一种常见的网络攻击手段,攻击者通过在网页中插入恶意的JavaScript代码,当其他用户浏览该网页时,嵌入其中的恶意脚本就会被用户的浏览器执行,从而达到...
Spring MVC 防止富文本XSS注入
Mr_Wanter
06-17 2424
上篇写了Spring MVC 防止XSS注入,后来测试发现富文本框的数据插入还是不可以。 解决办法:没有找到合适的好方式采用了最笨的方式解决。 在实体类中对富文本字段的get方法内过滤掉script等特殊字符。可以直接调用上篇中的XssAndSqlHttpServletRequestWrapper类的方法。 分析原因:XssAndSqlHttpServletRequestWrapper类...
SpringBoot中防止跨站脚本XSS注入攻击
Sunshine_zjh的博客
06-20 3510
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
springboot防止XSS攻击和sql注入
02-22 2008
springboot防止XSS攻击和sql注入
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3621
springboot项目防止XSS攻击和sql注入
springboot xss攻击的三种方式(SQL注入适用)
qq_38275707的博客
09-09 1718
文章目录拦截器自定义消息转码器注解+反射比较 XSS攻击和SQL注入,原理就不多说了,主要记录一下3种方式来避免 拦截器 主要是继承HttpServletRequestWrapper,然后重写里面的方法实现,再加上实现Filter达到拦截效果。其实转码方式可以直接用HtmlUtils.htmlEscape,但是getInputStream里面返回会有“\t”,会被转义,导致json格式不对,所以只能自己写转义方法 ,也可以不重写getInputStream,改为直接对json化工具动手,直接注入自定义的ob
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 1305
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Java实现的Xss和SQL注入御Filter示例
在IT安全领域,防止SQL注入和跨站脚本(XSS)攻击是至关重要的任务,尤其是在处理用户输入的数据时。本文档介绍了一个简单的Java Filter,名为`XssFilter`,用于保护Web应用程序免受这两种常见攻击。SQL注入攻击通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值