Xss过滤器

最新推荐文章于 2024-08-18 19:04:11 发布
最新推荐文章于 2024-08-18 19:04:11 发布
阅读量685 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43326384/article/details/103325583
版权 
package com.my.filter;

import com.my.bean.XssRequest;
import org.springframework.context.annotation.Configuration;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 过滤器
 */
@WebFilter(filterName = "xssFilter",urlPatterns = "/*")
@Configuration
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("xssFilter is init........................");
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        XssRequest xssRequest = new XssRequest((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssRequest,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

请求对象封装类

package com.my.bean;

import com.alibaba.fastjson.JSON;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
import java.util.Set;

/**
 * Request对象封装类
 */
public class XssRequest extends HttpServletRequestWrapper {
    public XssRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return super.getHeader(name);
    }

    @Override
    public String getQueryString() {
        return super.getQueryString();
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        String body = getRequestBody(super.getInputStream());
        Map<String,Object> map = JSON.parseObject(body, Map.class);
        HashMap<String, Object> resultMap = new HashMap<>();
        Set<String> keySet = map.keySet();
        for (String s : keySet) {
            if (map.get(s) instanceof String) {
                if (map.get(s).toString().indexOf("script") != -1) {
                    System.out.println("getInputStream*******************  "+map.get(s).toString());
                }
                resultMap.put(s, cleanXss(map.get(s).toString()));
            } else {
                resultMap.put(s, map.get(s));
            }
        }
        String s = JSON.toJSONString(resultMap);
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(s.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
        return servletInputStream;

    }

    @Override
    public String getParameter(String name) {
        return super.getParameter(name);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues != null && parameterValues.length > 0) {
            for (int i = 0; i < parameterValues.length; i++) {
                if (parameterValues[i].indexOf("script") != -1) {
                    System.out.println("getParameterValues ****************** " + parameterValues[i].toString());
                }
                parameterValues[i] = cleanXss(parameterValues[i]);
            }
        }

        return parameterValues;
    }

    /**
     * 通过流获取内容 主要针对POST 提交
     * @param stream
     * @return
     */
    private String getRequestBody(InputStream stream) {
        String line = "";
        StringBuilder body = new StringBuilder();
        int counter = 0;

        // 读取POST提交的数据内容
        BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));
        try {
            while ((line = reader.readLine()) != null) {
                body.append(line);
                counter++;
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        return body.toString();
    }

    /**
     * 对value 进行过滤处理
     * @param value
     * @return
     */
    private String cleanXss(String value) {
        value = value.replace("script","s c r i p t");
        return value;
    }
}
bug-007
关注
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2729
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
xss过滤器
一个很酷的人
01-04 962
java通过过滤器方式,预防xss攻击: 一共两个类: 1.过滤器 2.通过重写getParameter()方法,将参数名和参数都做xss过滤 以下为具体代码: import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { FilterConfig filterC
XSS过滤器
spum_的博客
08-27 290
【代码】XSS过滤器
XSS-过滤特殊符号的正则绕过
ningwangh的博客
08-18 1240
所以将alert转化成30进制。
过滤器防止xss攻击
yizhousai0662的博客
09-01 1261
将参数中有关xss攻击的非法字符全部处理掉。
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 390
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
xss filter
xiaomin1991222的专栏
11-25 142
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
第十二节 XSS 过滤器绕过-01
09-15
XSS 过滤器绕过技术详解 XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的 Web 应用程序安全漏洞,攻击者可以通过插入恶意脚本来盗取用户信息、破坏网站操作等。为防止 XSS 攻击,开发者通常会使用 XSS 过滤...
基于白名单策略的AntiXssUF XSS过滤器设计源码
最新发布
09-28
该项目是一款基于白名单策略的AntiXssUF XSS过滤器源码,采用C#为主要开发语言,并涉及JavaScript和CSS语言。整个项目包含127个文件,其中C#文件46个,XML文件14个,JavaScript文件13个,映射文件11个,Razor视图...
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
xss过滤.zip
06-04
xss攻击,将参数名和参数值都做xss过滤,保证一定的安全性。
使用filter过滤xss攻击
lionzl的专栏
12-02 1432
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4222
Springboot配置XSS过滤器XssFilter
XSS过滤
bylfsj的博客
09-26 538
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
XSS攻击解决方案之一(过滤器
willie_chen的专栏
08-23 4688
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
XSS跨站点脚本攻击
11-23 292
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
浏览器XSS过滤器规则缺陷测试与评估方法
"这篇学术文章主要探讨了针对规则缺陷的浏览器XSS过滤器测试方法,旨在提高对跨站脚本攻击(XSS)的防御能力。文章由桂智杰和舒辉撰写,发表于2018年11月的《网络与信息安全学报》上,提出了一种新的测试策略来评估...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值