XSS过滤

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量3.4k 收藏
点赞数
分类专栏: 漏洞 文章标签: xss 蓝桥杯 elementui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44121186/article/details/122751151
版权 
<filter>
   <filter-name>NewXssFilter</filter-name>
   <filter-class>com.sbr.fort.filter.NewXssFilter</filter-class>
   <init-param>
      <!-- 不需要顾虑的连接 -->
      <param-name>excludeUrls</param-name>
      <param-value>/back_up@</param-value>
   </init-param>
   <init-param>
      <!--  分隔符 -->
      <param-name>SplitChar</param-name>
      <param-value>@</param-value>
   </init-param>
   <init-param>
      <!--   需要过滤的字符串 -->
      <param-name>FilterChar</param-name>
      <param-value>AND@OR@create@drop@delete@update@union</param-value>
   </init-param>
   <init-param>
      <!-- 全角替换字符串,与过滤字符串以SplitChar为分隔符一一对应 -->
      <param-name>ReplaceChar</param-name>
      <param-value>sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection</param-value>
   </init-param>
</filter> 

public class NewXssFilter implements Filter {
   private String filterChar;//需要过滤的字符串
   private String replaceChar;//替代需要过滤的字符串对应的字符串
   private String splitChar;//分隔符
   private String excludeUrls;//不需要过滤的连接
   FilterConfig filterConfig = null;
   public void init(FilterConfig filterConfig) throws ServletException {
      this.filterChar=filterConfig.getInitParameter("FilterChar");
      this.replaceChar=filterConfig.getInitParameter("ReplaceChar");
      this.splitChar=filterConfig.getInitParameter("SplitChar");
      this.excludeUrls=filterConfig.getInitParameter("excludeUrls");
      this.filterConfig = filterConfig;
   }
   public void destroy() {
      this.filterConfig = null;
   }
       
   public void doFilter(ServletRequest request, ServletResponse response,
           FilterChain chain) throws IOException, ServletException {
      //如果是不需要的过滤的url,直接到下一个filter
      if(isExcludeUrl(request)){
         chain.doFilter(request, response);
      }else{
      //否则包装HttpServletRequest,替换参数
         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);
      }
   }
   private boolean isExcludeUrl(ServletRequest request){
      boolean exclude=false;
      if(StringUtils.isNotBlank(excludeUrls)){
          String[]excludeUrl=excludeUrls.split(splitChar);
          if(excludeUrl!=null&&excludeUrl.length>0){
             for(String url:excludeUrl){
                if(URLHelper.getURI((HttpServletRequest)request).startsWith(url)){
                   exclude=true;
                }
             }
          }
      }
      return exclude;
   }

}

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   private String[]filterChars;
   private String[]replaceChars;
   public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {
      super(request);
      if(filterChar!=null&&filterChar.length()>0){
         filterChars=filterChar.split(splitChar);
      }
      if(replaceChar!=null&&replaceChar.length()>0){
         replaceChars=replaceChar.split(splitChar);
      }
   }
   public String getQueryString() {
      String value = super.getQueryString();
      if (value != null) {
         value = xssEncode(value);
         value = value.replaceAll("&", "&").replaceAll("=", "=").replaceAll(".([';]+|(–)+)."," ");;
      }
      return value;
   }
   
   /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */
   public String getParameter(String name) {
      String value = super.getParameter(xssEncode(name));
      if (value != null) {
               //关键处理
         value = xssEncode(value);
      }
      return value;
   }
   
   public String[] getParameterValues(String name) {
      String[]parameters=super.getParameterValues(name);
      if (parameters==null||parameters.length == 0) {
         return null;
      }
      for (int i = 0; i < parameters.length; i++) {
               //关键处理
         parameters[i] = xssEncode(parameters[i]);
      }
      return parameters;
   }
   
   /**
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
    */
   public String getHeader(String name) {

      String value = super.getHeader(xssEncode(name));
      if (value != null) {
              //关键处理
         value = xssEncode(value);
      }
      return value;
   }
   
   /**
    * 将容易引起xss漏洞的半角字符直接替换成全角字符
    * 
    * @param s
    * @return
    */
   private  String xssEncode(String s) {
      if (s == null || s.equals("")) {
         return s;
      }
      for (int i = 0; i < filterChars.length; i++) {
         if(s.contains(filterChars[i])){
            s=s.replace(filterChars[i], replaceChars[i]);
         }
      }
      return s;
   }
}
我是仙儿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6267
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
xss基础知识点
weixin_52776876的博客
07-27 2157
​跨站脚本攻击,英文全称CrossSiteScript.​xss攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本.从而在用户浏览网页时,控制用户浏览器的一种攻击.
XSS漏洞基础
m0_62092622的博客
01-22 2610
概念 XSS,跨站脚本攻击 (Cross Site Scripting),是一种经常出现在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括 HTML 代码和客户端脚本。 攻击者利用 XSS 漏洞旁路掉访问控制——例如同源策略 (same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的 phishing 攻击而变得广为人知。 对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的 “缓冲区溢出攻击 “,而 Jav
【RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 3001
简单分析 XSS 过滤器以及 @Xss 注解。
XSS攻击绕过过滤方法大全(转)
热门推荐
mingyqf的博客
04-20 2万+
XSS攻击绕过过滤方法大全(约100种) 虽然说很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,但是,万事总有可能,只要有一定的条件,我们就可以构造经过编码后的语句来进行XSS注入。 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录,现在此XSS备忘录将由OWASP维护和完善它。 OWASP 的第一个防御备忘录项目:XSS (Cross Site Scripting)Prevention Cheat She
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 3740
Springboot配置XSS过滤XssFilter
关于XSS过滤
lanisa的专栏
10-30 1516
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
系统设计-文本内容保存之XSS过滤
路辉的博客
11-25 413
点击上方名片关注我,为你带来更多踩坑案例- 引言-如果你是一个摸爬滚打几年的开发者,那么这个阶段,对系统设计的合理性绝对是衡量一个人水平的重要标准。一个好的设计不光能让你工作中避免很多麻烦,还能为你面试的时候增加很多谈资而且,不同设计之间理念都是有借鉴性参考性的,你见过的设计多了,思考的多了,再次面临一个问题的时候,就会有很多点子不由自主的冒出来。希望这个系列的文...
十四、pikachu之XSS
qq_55202378的博客
08-26 726
pikachu XSS
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss过滤方案
08-10
Web 应用XSS 过滤方案
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
xss过滤.zip
06-04
xss攻击,将参数名和参数值都做xss过滤,保证一定的安全性。
XssInput:模仿 CodeIgniter 的 xss 过滤的 Laravel Input 门面的简单扩展
06-09
Laravel 的 XssInput XssInput 是 Laravel 的 Input 外观的一个非常简单的扩展,它有点模仿 CodeIgniter 输入库的 XSS 过滤。 事实上,在幕后,这个包使用了 CodeIgniter 安全库的一种改变形式来过滤 XSS 的输入。 ...
XSS各种过滤手段,如何绕过写payload-学习笔记
ZhangAweio的博客
04-12 990
XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,意思就是说可以任意执行js代码,包括js的而已代码。
xss过滤总结
weixin_42109829的博客
12-04 3085
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
XSS跨站点脚本攻击
11-23 273
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
过滤器防止xss攻击
最新发布
yizhousai0662的博客
09-01 996
将参数中有关xss攻击的非法字符全部处理掉。
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值