java -xss_java 防止xss攻击

最新推荐文章于 2024-09-11 15:18:15 发布
最新推荐文章于 2024-09-11 15:18:15 发布
阅读量822 收藏
点赞数
文章标签: java -xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42478292/article/details/114043715
版权

关于xss的概念和解决方案网上很多,可以参考这个:

http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen

这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。

解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。

其中,输入时的过滤是用一个filter来实现,

实现过程:

在web.xml加一个filter

XssEscape

cn.pconline.morden.filter.XssFilter

XssEscape

/*

REQUEST

XssFilter 的实现方式是实现servlet的Filter接口

package cn.pconline.morden.filter;

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response,

FilterChain chain) throws IOException, ServletException {

chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

}

@Override

public void destroy() {

}

}

关键是XssHttpServletRequestWrapper的实现方式,继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法,如:

package cn.pconline.morden.filter;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}

@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}

@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i < length; i++){

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return super.getParameterValues(name);

}

}

到此为止,在输入的过滤就完成了。

在页面显示数据的时候,只是简单地用fn:escapeXml()对有可能出现xss漏洞的地方做一下转义输出。

复杂内容的显示,具体问题再具体分析。

另外,有些情况不想显示过滤后内容的话,可以用StringEscapeUtils.unescapeHtml4()这个方法,把StringEscapeUtils.escapeHtml4()转义之后的字符恢复原样。

疯狂包包
关注
Java代码审计】XSS
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。从 Web 应用上来看,攻击者可以控制的参数包括 URL 参数、post 提交的表单数据以及搜索框提交的搜索关键字,一般对该漏洞的审计策略如下收集输入、输出点查看输入、输出点的上下文环境。判断 Web 应用是否对输入、输出做了防御工作(如过滤、扰乱以及编码)
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
java -xss_Java线程与Xss
weixin_31302909的博客
02-12 3848
jvm系列Xss与线程个数Xss越大,每个线程的大小就越大,占用的内存越多,能容纳的线程就越少;Xss越小,则递归的深度越小,容易出现栈溢出 java.lang.StackOverflowError。减少局部变量的声明,可以节省栈帧大小,增加调用深度。/*** -Xss128K deep of calling = 675* -Xss256K deep of calling = 1686*...
JAVA代码审计之XSS漏洞
最新发布
2401_86951038的博客
09-11 699
所以将就看看demo吧漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。
Java --XSS攻击原理及防御
tryheart的博客
09-05 2614
xss 攻击过程 跨站脚本攻击(Cross Site Scripting), 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 xss 的危害 XSS攻击的危害 这些危害包括但不局限于∶盗取管理员或普通用户cookie、session ; 读取、篡改、添加、删除敏感数据; 网站挂马; 非法转账; 控制受害者机器向其它网站发起攻击 xss 的三种类型 反射型XSS: 只是简单地把用户输入的数据反射给浏览器,黑
java -xss_Java防止XSS攻击
weixin_33976326的博客
02-16 283
public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.**@paramrequest The request to wrap*@throwsIllegalArgumentExcept...
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
java_jvm_参数_-Xms_-Xmx_-Xmn_-Xss_调优总结.pdf
06-10
### Java JVM 参数 `-Xms`、`-Xmx`、`-Xmn`、`-Xss` 调优总结 #### 一、概述 本文档主要介绍Java虚拟机(JVM)中四个重要的参数:`-Xms`、`-Xmx`、`-Xmn` 和 `-Xss` 的含义、作用以及如何通过这些参数来优化JVM的性能...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
htmlcleaner-2.22_html_XSS_
09-28
HTMLCleaner是一款强大的HTML清理和过滤工具,主要目的是在处理用户输入的HTML内容时,过滤掉不安全的字符和元素,防止跨站脚本(XSS)攻击。XSS攻击是一种常见的网络安全问题,通过注入恶意脚本到网页,攻击者可以...
Java语言基础:JVM优化 -Xss -Xms -Xmx -Xmn 参数设置
zyp00793的博客
03-17 2146
-Xss 设置每个线程可使用的内存大小,即栈的大小。 -Xms 堆内存的最小值,默认为物理内存的1/64。 -Xmx 堆内存的最大值,默认为物理内存的1/4。 -Xmn 堆内新生代的大小。通过这个值也可以得到老生代的大小:-Xmx减去-Xmn。 在相同物理内存下,减小-Xss 这个值能生成更多的线程,如果设置过小,可能会出现栈溢出;如果该值设置过大,影响创建线程的数量,如果是多线程的应用,就会出现内存溢出的错误。 总结: Xms:初始堆大小 -Xmx:最大堆大小 -Xmn:新生代大小 -XX:NewRati
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
03-02
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
防止XSS攻击xssProtect用到的jar包
11-04
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
java jvm 参数 -Xms -Xmx -Xmn -Xss -
12-26
java jvm 参数 -Xms -Xmx -Xmn -Xss -
javaxss攻击_浅谈如何防御xss攻击
weixin_35025310的博客
02-21 882
笔前闲聊最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。认识xss首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入...
Java代码审计-XSS审计
baimaozi008的博客
05-24 1495
XSS是Cross Site Scripting的缩写,意为"跨站脚本攻击",为了避免与层叠样式表(Cascading Style Sheet,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。XSS是指攻击者在网页中嵌入客户端脚本(通常是JavaScript编写的恶意代码),进而执行其植入的代码的漏洞,若Web应用未对用户可直接活间接控制的"输入"或者"输出"进行关键字的过滤或者转义处理,则很有可能存在跨站脚本漏洞。
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1827
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
XSS攻击漏洞修复 java
一直梦见飞的路人涛
12-20 927
&lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.hzlh.filter.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-mapping&gt; &lt;filter-name&gt;XssSqlFilt
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值