Web防止跨站脚本攻击

最新推荐文章于 2021-03-09 20:00:09 发布
最新推荐文章于 2021-03-09 20:00:09 发布
阅读量277 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43355440/article/details/102726326
版权

跨站脚本攻击

XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。 XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植入恶意脚本,可被用于钓鱼、盗取数据、篡改页面等。解决的方法是加强页面输出过滤或转义,如ESAPI的Encoder转义、自定义转义,或者采用不存在XSS风险的页面标签进行输出。

防止跨站脚本攻击参数转义

web.xml添加过滤器

    <filter>
	 	<filter-name>Escape</filter-name>
		<filter-class>com..filter.EscapeFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>Escape</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

import java.io.IOException;
import java.util.Enumeration;
import java.util.HashMap;
import java.util.Map;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.util.HtmlUtils;

public class EscapeFilter implements Filter {

	@Override
	public void destroy() {
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		WebUtil.setRequest((HttpServletRequest) request);
    	WebUtil.setResponse((HttpServletResponse)response);
		HttpServletRequest req = (HttpServletRequest) request;
		String method = req.getMethod().toUpperCase();
		
		if(method.equals("POST")){
			boolean falg = false ;
			Map<String, Object> paramMap = new HashMap<String, Object>();
			//获取所有参数
			@SuppressWarnings("rawtypes")
			Enumeration enu = req.getParameterNames();
			while(enu.hasMoreElements()){
				String paraName = (String)enu.nextElement();
				//对参数值进行HTML转义
				paramMap.put(paraName, HtmlUtils.htmlEscape(req.getParameter(paraName)));
				//曾在需要转义参数
				if(!req.getParameter(paraName).equals(HtmlUtils.htmlEscape(req.getParameter(paraName)))){
					falg = true;
					
				}
			}
			if(falg){
				ParameterRequestWrapper parameterRequestWrapper = new ParameterRequestWrapper(req, paramMap);
				chain.doFilter(parameterRequestWrapper, response);
				return;
			}
		}
		chain.doFilter(request, response);
	}

	@Override
	public void init(FilterConfig config) throws ServletException {
	}
}
泡椒炒甜瓜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
防跨请求措施 (CSRF)
老鹰之歌的学习笔记
06-04 858
使用表单提交数据到服务器是日常的程序行为,可很多同行并没有对伪数据跨请求采取措施. 这里要谈的是服务器端跨请求而不是JS脚本跨攻击.相对而言,JS脚本跨造成的危害会更大,防范措施类似SQL防注入. 现在要讲的是CSRF. CSRF是什么呢?是指从我们的表单之外的其它地方伪造数据提交到处理程序的行为. 欺诈者经常使用这种方法提交垃圾数据,这些数据不但惹人生厌,而且很可能对点造成
什么是跨攻击
ellis2008的专栏
03-11 1626
<br />跨攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。<br />业界对跨攻击的定义如下:“跨攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行。”由于HTML语言允许使用脚本进行简单交互,
php设置跨,php配置防跨防跨目录安全
weixin_31180441的博客
03-09 788
php配置防跨防跨目录安全现在很多网都是采用php建,不少都是直接使用现在成熟的cms程序,这些php开发的cms系统本身安全性可能并不高,这时就需要我们在服务器做一些针对php程序配置防跨防跨目录等一些设置,可以有效的防止服务器上所有的php网被恶意篡改。适用范围及演示系统适用范围:php5.3及以上版本演示系统:centos防跨防跨目录安全设置方法第1步:登录到linux系统...
防跨
qq_29755359的博客
12-30 232
域名根目录新建.user.ini文件,内容如下 open_basedir=服务器网根目录/:/tmp/:/proc/
防止cc攻击,自封ip脚本
08-31
⑤、对于白名单过滤,只要将白名单 IP 保存到脚本同一目录下的 white_ip.txt 文件中即可,若发现攻击 IP 在白名单中,脚本不会直接拉黑,而是发一封邮件给你,让你自己判断这个白名单攻击你是为毛?如果白名单需要...
anti-xss:AntiAntiXSS | 通过PHP防止点脚本(XSS)
05-02
:Japanese_secret_button: 反XSS “跨点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨点脚本漏洞可能被攻击者用来绕过相同原产地策略...
防止非法攻击拦截器
11-08
web应用安全验证,防止非法攻击。防客户端攻击类型:内容欺骗,认证不充分,命令执SQL注入;跨站脚本攻击、链接注入。
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
前端安全之XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
sql注入问题
坤健的博客
08-22 254
mybatis中的#和$的区别: 1、#将传入的数据都当成一个字符串,会对自动传入的数据加一个双引号。 如:where username=#{username},如果传入的值是111,那么解析成sql时的值为where username="111", 如果传入的值是id,则解析成的sql为where username="id".  2、$将传入的数据直接显示生成在sql中。 如:where us...
php防止用户输入进行跨攻击的方式
bangxionger9224的博客
11-27 99
1.对用户输入的内容进行转义 //1.过滤内容中html标记 $userinput=strip_tags($userinput); //2.转换成HTML实体 $userinput=htmlentities($userinput); 转载于:https://www.cnblogs.com/theWayToAce/p/7905301.html...
java spring boot 过滤器重写请求参数、添加参数、修改参数、json参数
亲测,只为展现最完美的有效!
01-18 8358
一、普通参数:ParameterRequestWrapper import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.Enumeration; import java.util.Map; import java.util.Vector; /** ...
SpringBoot 过滤器、监听器、拦截器
小叶曲
07-12 292
在很多Web项目中,都会用到过滤器(Filter ),如参数过滤、防止SQL注入、防止页面攻击、空参数矫正、Token 验证、Session验证、点击率统计等。 认识过滤器 为什么要使用过滤器 在Web开发中,常常会有这样的需求:在所有接口中去除用户输入的非法字符,以防止引起业务异常。要实现这个功能,可以有很多方法,如: 在前端参数传入时进行校验,先过滤掉非法字符,然后,返回用户界面提示用户重新输入。 后端接收前端没有过滤的数据,然后过滤非法字符。 利用 Fiter 处理项目中...
spring boot 简单拦截器,修改request的Parameter参数。
热门推荐
jingYang07的博客
10-16 1万+
一、创建MyMvcConfig 继承WebMvcConfigurationSupport package com.greattao.egtcp.web.foreign.util; import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.conf...
Spring使用过滤器添加自定义参数(添加parameter参数)
YTenderness的博客
09-30 1606
如果我们要在请求中判断用户是否登录,根据需要自定义参数等,我们就可以使用过滤器进行数据处理。比如,后台操作中有很多,创建人、更新人、创建时间和更新时间处理。每次我们都需要去填充这些数据,就很无聊,本来就是一些通用而又简单的操作。 这里以处理创建人和更新人信息为例。在请求中将创建人id、创建人、创建时间等信息加入到参数请求中,自动映射到bean中。在使用bean和拷贝bean这些简单的数据会自动...
在filter中使用包装类包装request、response分别修改请求参数和修改响应结果
lilin_esri的博客
11-24 3665
工作需要,要将请求和响应做一些处理,使得浏览器展示结果可控。 首先是在filter中拦截一些请求,请求到达过滤器的时候,可以通过request获取请求中的一些参数。
request如何setParamter
jianfpeng241241的专栏
07-07 9257
首先request中是没有这个setParamter方法的,所以得想个方法做这个事情 一  写一个 ParameterRequestWrapper.java 类 package com.jn.org.jasig.cas.client.jn; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http
防止攻击,安全过滤
zpf0918的专栏
02-26 5839
Spring MVC防御CSRF、XSS和SQL注入攻击 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Tok
xss跨站脚本攻击原理
最新发布
05-17
XSS(Cross-site scripting)跨站脚本攻击是一种常见的Web安全漏洞。攻击者利用Web应用程序没有对用户输入数据进行过滤或转义的漏洞,将恶意脚本注入到Web页面中,当其他用户浏览该页面时,恶意脚本就会被执行,从而导致各种安全问题。 攻击者通常利用以下两种方式进行XSS攻击: 1. 存储型XSS攻击:攻击者通过提交恶意脚本代码到服务器的数据库中,当其他用户访问被攻击的页面时,恶意脚本就会被执行。 2. 反射型XSS攻击:攻击者通过构造恶意URL,将恶意脚本代码注入到URL中,当其他用户访问该URL时,恶意脚本就会被执行。 攻击者利用XSS漏洞可以进行如下攻击: 1. 盗取用户的Cookie信息,获取用户的登录信息。 2. 在用户的浏览器中执行恶意脚本,实现钓鱼、弹窗等攻击。 3. 窃取用户敏感信息,如银行卡号、密码等。 为了防止XSS攻击,Web应用程序需要对用户输入数据进行过滤和转义,避免恶意脚本的注入。同时,开发人员需要了解XSS攻击的原理和常见防范措施,提高Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值