xss攻击

已于 2023-04-03 01:12:33 修改
阅读量331 收藏
点赞数
文章标签: xss servlet java
于 2023-04-03 01:08:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44860933/article/details/129920442
版权
  • List item
    xss攻击就是将js脚本保存到数据中,通过参数等方式传给前端,当页面加载的时候,直接加载js脚本,比如一段js脚本为获取本地用户cookie,拿到后上传到一些黑客服务器,则可以拿到用户信息,通过用户身份进行登录,从而做一些操作。

抵御Xss攻击:通过参数转义,将转义后的参数存入数据库即可,如“hutool”类库提供一些转义操作。

1.导入hutool包

cn.hutool
hutool-all
5.4.0

2.创建包装类
package com.emos.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {
    super(request);
}

@Override
public String getParameter(String name) {
    String value = super.getParameter(name);
    if (!StrUtil.hasEmpty(value)) {
        value = HtmlUtil.filter(value);
    }
    return value;
}

@Override
public String[] getParameterValues(String name) {
    String[] values = super.getParameterValues(name);
    if (values != null) {
        for (int i = 0; i < values.length; i++) {
            String value = values[i];
            if (!StrUtil.hasEmpty(value)) {
                value = HtmlUtil.filter(value);
            }
            values[i] = value;
        }
    }
    return values;
}

@Override
public Map<String, String[]> getParameterMap() {
    Map<String, String[]> parameters = super.getParameterMap();
    Map<String, String[]> map = new LinkedHashMap<>();
    if (parameters != null) {
        for (String key : parameters.keySet()) {
            String[] values = parameters.get(key);
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
            map.put(key, values);
        }
    }
    return map;
}

@Override
public String getHeader(String name) {
    String value = super.getHeader(name);
    if (!StrUtil.hasEmpty(value)) {
        value = HtmlUtil.filter(value);
    }
    return value;
}

@Override
public ServletInputStream getInputStream() throws IOException {
    InputStream in = super.getInputStream();
    StringBuffer body = new StringBuffer();
    InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
    BufferedReader buffer = new BufferedReader(reader);
    String line = buffer.readLine();
    while (line != null) {
        body.append(line);
        line = buffer.readLine();
    }
    buffer.close();
    reader.close();
    in.close();

    Map<String, Object> map = JSONUtil.parseObj(body.toString());
    Map<String, Object> resultMap = new HashMap(map.size());
    for (String key : map.keySet()) {
        Object val = map.get(key);
        if (map.get(key) instanceof String) {
            resultMap.put(key, HtmlUtil.filter(val.toString()));
        } else {
            resultMap.put(key, val);
        }
    }
    String str = JSONUtil.toJsonStr(resultMap);
    final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
    return new ServletInputStream() {
        @Override
        public int read() throws IOException {
            return bain.read();
        }

        @Override
        public boolean isFinished() {
            return false;
        }

        @Override
        public boolean isReady() {
            return false;
        }

        @Override
        public void setReadListener(ReadListener listener) {
        }
    };
}

}

3.创建过滤器,把所有请求对象传入包装类
package com.example.emos.wx.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = “/*”)
public class XssFilter implements Filter {

public void init(FilterConfig config) throws ServletException {
}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
    XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
            (HttpServletRequest) request);
    chain.doFilter(xssRequest, response);
}

@Override
public void destroy() {
}

}

4.给SpringBoot主类添加@ServletComponentScan注解。

海若灬因
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
抵御即跨站脚本(XSS)攻击
Baridhu的博客
10-18 720
作为Web网站来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,那我们如何去防止这种事发生呢?看看这篇文章
xss攻击的了解
七月
10-12 935
常见的xss攻击方法 1.绕过XSS-Filter,利用&lt;&gt;标签注入Html/JavaScript代码; 2.利用HTML标签的属性值进行xss攻击。例如:&lt;img src=“javascript:alert(‘xss’)”/&gt;;(当然并不是所有的Web浏览器都支持Javascript伪协议,所以此类XSS攻击具有一定的局限性) 3. 空格、回车和Tab。如果XSS ...
实战项目如何抵御即跨站脚本(XSS)攻击
一生烟雨的博客
12-04 1428
实战项目如何抵御即跨站脚本(XSS)攻击
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 2964
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
XSS的预防 – Hutool应用 – Spring提供解决方案
weixin_45129599的博客
11-21 634
本页目录 什么是XSS攻击?举例:如何预防XSS?方案一Spring提供了一些特定的工具类供我们使用转义:HtmlUtils.htmlEscape()反转义:HtmlUtils.htmlUnescape()方案二 Hutool包下的Xss解决方案清除所有Html标签:cleanHtmlTag清除script标签:filter将HTML编码进行转义:escape将HTML编码进行反转义:unesca...
SpringBoot集成Hutool或mica防止XSS攻击实现
toudousi的博客
07-20 1312
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
xss攻击实例
frinck的博客
10-16 5045
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????反射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1450
SpringBoot集成Hutool、mica防止XSS攻击实现
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2594
springboot增加xss过滤器,防止xss攻击
Java 防止XSS攻击(Spring boot & Spring 方式)
bad_boy的博客
02-17 1676
——SpringBoot application.properties 开启xss配置 # XSS配置 xss.enabled=true # 不过滤路径, 以逗号分割 xss.excludes=/open/* # 过滤路径, 逗号分割 xss.urlPatterns=/* 过滤器配置 package com.xlj.tools.config; import cn.hutool.core.util.StrUtil; import com.fasterxml.jackson.databind.Obj
SpringBoot 抵御XSS攻击
小青龙,创造,变强
02-27 652
SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击
常用工具类Hutool(一)的导入导出功能的实现
weixin_53998054的博客
08-16 5771
导入导出功能的实现
XSS平台的搭建
最新发布
weixin_42515203的博客
07-07 201
XSS平台的搭建
xss攻击 beef
09-06
XSS攻击是一种跨站脚本攻击,它利用网页应用程序对用户输入的信任来注入恶意的客户端脚本。而beef则是一种用于进行XSS攻击的平台。beef-xss是beef平台的一部分,它允许攻击者在受害者的浏览器中执行恶意代码。 使用beef-xss进行XSS攻击需要在Kali上安装beef-xss工具,并输入"beef-xss"命令来获取恶意代码。如果没有安装beef,需要先进行安装,并按照提示一直输入"y"进行安装。 在进行XSS攻击之前,建议先了解XSS的基本知识和攻击原理。可以参考引用中的实验目的和实验内容,以及引用中提供的Beef-XSS平台基本使用视频。beef平台有很多功能模块,其中Exploit模块是最常用的,但对于初学者来说,使用Browser模块就足够了。 <span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值