XSS过滤

最新推荐文章于 2024-09-26 20:36:57 发布
最新推荐文章于 2024-09-26 20:36:57 发布
阅读量3.5k 收藏
点赞数
分类专栏: 漏洞 文章标签: xss 蓝桥杯 elementui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44121186/article/details/122751151
版权 
<filter>
   <filter-name>NewXssFilter</filter-name>
   <filter-class>com.sbr.fort.filter.NewXssFilter</filter-class>
   <init-param>
      <!-- 不需要顾虑的连接 -->
      <param-name>excludeUrls</param-name>
      <param-value>/back_up@</param-value>
   </init-param>
   <init-param>
      <!--  分隔符 -->
      <param-name>SplitChar</param-name>
      <param-value>@</param-value>
   </init-param>
   <init-param>
      <!--   需要过滤的字符串 -->
      <param-name>FilterChar</param-name>
      <param-value>AND@OR@create@drop@delete@update@union</param-value>
   </init-param>
   <init-param>
      <!-- 全角替换字符串,与过滤字符串以SplitChar为分隔符一一对应 -->
      <param-name>ReplaceChar</param-name>
      <param-value>sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection@sqlinjection</param-value>
   </init-param>
</filter> 

public class NewXssFilter implements Filter {
   private String filterChar;//需要过滤的字符串
   private String replaceChar;//替代需要过滤的字符串对应的字符串
   private String splitChar;//分隔符
   private String excludeUrls;//不需要过滤的连接
   FilterConfig filterConfig = null;
   public void init(FilterConfig filterConfig) throws ServletException {
      this.filterChar=filterConfig.getInitParameter("FilterChar");
      this.replaceChar=filterConfig.getInitParameter("ReplaceChar");
      this.splitChar=filterConfig.getInitParameter("SplitChar");
      this.excludeUrls=filterConfig.getInitParameter("excludeUrls");
      this.filterConfig = filterConfig;
   }
   public void destroy() {
      this.filterConfig = null;
   }
       
   public void doFilter(ServletRequest request, ServletResponse response,
           FilterChain chain) throws IOException, ServletException {
      //如果是不需要的过滤的url,直接到下一个filter
      if(isExcludeUrl(request)){
         chain.doFilter(request, response);
      }else{
      //否则包装HttpServletRequest,替换参数
         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);
      }
   }
   private boolean isExcludeUrl(ServletRequest request){
      boolean exclude=false;
      if(StringUtils.isNotBlank(excludeUrls)){
          String[]excludeUrl=excludeUrls.split(splitChar);
          if(excludeUrl!=null&&excludeUrl.length>0){
             for(String url:excludeUrl){
                if(URLHelper.getURI((HttpServletRequest)request).startsWith(url)){
                   exclude=true;
                }
             }
          }
      }
      return exclude;
   }

}

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   private String[]filterChars;
   private String[]replaceChars;
   public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {
      super(request);
      if(filterChar!=null&&filterChar.length()>0){
         filterChars=filterChar.split(splitChar);
      }
      if(replaceChar!=null&&replaceChar.length()>0){
         replaceChars=replaceChar.split(splitChar);
      }
   }
   public String getQueryString() {
      String value = super.getQueryString();
      if (value != null) {
         value = xssEncode(value);
         value = value.replaceAll("&", "&").replaceAll("=", "=").replaceAll(".([';]+|(–)+)."," ");;
      }
      return value;
   }
   
   /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */
   public String getParameter(String name) {
      String value = super.getParameter(xssEncode(name));
      if (value != null) {
               //关键处理
         value = xssEncode(value);
      }
      return value;
   }
   
   public String[] getParameterValues(String name) {
      String[]parameters=super.getParameterValues(name);
      if (parameters==null||parameters.length == 0) {
         return null;
      }
      for (int i = 0; i < parameters.length; i++) {
               //关键处理
         parameters[i] = xssEncode(parameters[i]);
      }
      return parameters;
   }
   
   /**
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
    */
   public String getHeader(String name) {

      String value = super.getHeader(xssEncode(name));
      if (value != null) {
              //关键处理
         value = xssEncode(value);
      }
      return value;
   }
   
   /**
    * 将容易引起xss漏洞的半角字符直接替换成全角字符
    * 
    * @param s
    * @return
    */
   private  String xssEncode(String s) {
      if (s == null || s.equals("")) {
         return s;
      }
      for (int i = 0; i < filterChars.length; i++) {
         if(s.contains(filterChars[i])){
            s=s.replace(filterChars[i], replaceChars[i]);
         }
      }
      return s;
   }
}
我是仙儿
关注
专栏目录
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
XSS跨站点脚本攻击
11-23 302
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
Spring Boot利用filter实现xss防御
最新发布
HBLOG
09-26 1011
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
xss过滤
weixin_30535167的博客
07-09 338
content="""<p class='c1' id='i1'> asdfaa<span class='c2' style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf</p><p> <strong class='c2' id='i2'&g...
关于XSS过滤
lanisa的专栏
10-30 1686
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
xss特殊字符拦截与过滤
04-01
通常这类防护措施会在Web框架层面或者中间件层面提供,用户只需要简单配置即可实现防护,但开发者也可以根据需要实现自己的XSS过滤策略。 最后,代码中的注释和变量命名使用了非标准的字符(如:涵, Σ, æ, 刘海, ...
xss过滤方案
08-10
### XSS过滤方案详解 #### 一、XSS概述 XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的网络安全攻击形式。XSS攻击的核心在于攻击者利用目标Web应用的安全漏洞,向其中注入恶意脚本或HTML代码。当用户...
xss过滤.zip
06-04
针对这种攻击,开发人员需要采取有效的防御措施,其中一种就是对输入进行XSS过滤。 Java作为一种广泛使用的服务器端编程语言,提供了多种处理XSS攻击的方法。在提供的"XssHttpServletRequestWrapper.java"和"XSS...
XSS过滤实操
CHUNJIUJUN的博客
08-10 1095
第一关——直接输出 第二关——value 第二关需要闭合value,看源码应该是用双引号闭合的,但是发现不行,于是用单引号闭合试了试竟然可以,可能是环境问题吧。。。 第三关——xss过滤简单 input没有闭合,而且alert没了被过滤了 成功 第四关——xss简单过滤 报错了,说明我们输入的某些语句触发了报错,一点一点删除语句尝试看看哪里错了 发现删除alert()函数不报错了,说明程序设置了使用alert报错,我们换...
xss过滤函数
weixin_33701251的博客
02-03 369
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如这些代码包括HTML代码和客户端脚本。 function remove_xss($string) { $string = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', ...
XSS攻击过滤【包括数据库、页面方面】
weixin_46742102的博客
09-28 622
/* * XSS攻击过滤 * 调用此方法字段 展示时需要用stripslashes() 清理从数据库或 HTML 表单中取回的数据 */ public static function clearXss($string = ''){ if (empty($string)) return ""; if (!get_magic_quotes_gpc()) { //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。 //这个是数据库层..
xss过滤技巧
Richard_qi的博客
04-11 3688
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
XSS过滤速查表
Fizz`s Blog
11-12 3191
初见于Freebuf,放在这里收藏一下。 就是OWASP的速查表 不过是中文的 1.介绍 这篇文章的主要目的是给专业安全测试人员提供一份跨站脚本漏洞检测指南。文章的初始内容是由RSnake提供给 OWASP,内容基于他的XSS备忘录:http://ha.ckers.org/xss.html。目前这个网页已经重定向到OWASP网站,将由OWASP维护和完善它。OWASP
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1652
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
9.XSS过滤
愿听风成曲
06-25 425
如下图所示,大小写混合被弹窗,被执行了。查看页面元素代码,被后台代码过滤了。如下图依然可以弹窗为“xss”通过输入代码发现被过滤掉了。
pikachu靶场第十一关——XSS(跨站脚本)之xss过滤(附代码审计)
yzasts的博客
03-22 499
例如,模式 `a.*b` 会匹配以 `a` 开头,以 `b` 结尾的最长的字符串,即使 `a` 和 `b` 之间有其他字符。等同于cmd,shell扫描一遍命令行,发现了( c m d ) 结 构 , 便 将 (cmd)结构,便将(cmd)结构,便将(cmd)中的cmd执行一次,得到其标准输出,再将此输出放到原来命令。,这是为了为匹配被尖括号包围的单词"script",但(.*)意味着它会匹配任何位于"s"、"c"、"r"、"i"、"p"和"t"字母之间的字符,而后被替换为空格,以达到破坏标签结构的作用。
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值