Web安全问题:Xss攻击及解决方法

最新推荐文章于 2023-06-06 08:54:27 发布
最新推荐文章于 2023-06-06 08:54:27 发布
阅读量443 收藏 1
点赞数
原文链接:https://blog.csdn.net/qq_38892496/article/details/91582868
版权

转自:https://blog.csdn.net/qq_38892496/article/details/91582868
作者:y_mk
什么是Xss攻击?
那么该如何防止XSS攻击呢?
实现思路:

使用转义解决。将<转义为&lt >转义为&gt

①使用过滤器,拦截所有请求,重写request

②重写获取值的方法,将特殊代码转换成html

首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。

             ——摘自百度百科  https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc

其实就是使用Javascript脚本注入进行攻击

例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。

Demo:

<script>alert('这是黑客攻击')</script>

如何防止Xss攻击
通过装饰类转换成Html代码

把上方的Demo代码通过装饰类转换成如下html元素代码

&lt;script&gt;alert('这是黑客攻击')&lt;/script&gt;
  1. 创建修饰类,重写getParameter方法
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
	HttpServletRequest request;
 
	public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}
 
	
    //需要重写getParameter(name)方法,将value进行转义
	public String getParameter(String name) {
		String value = request.getParameter(name);
		System.out.println("name: " + name + "," + value);
		if (!StringUtils.isEmpty(value)) {
			//转化为html,<script>标签都会转化为html格式  &lt;script&gt;
			//工具类来自于org.apache.commons.lang3.StringEscapeUtils

			value = StringEscapeUtils.escapeHtml4(value);
		}
		return value;
	}
}
  1. 创建过滤器拦截,需要重写doFilter方法
        @Override
        public void init(FilterConfig filterConfig) throws ServletException {
 
	}
        @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// 拦截request请求
		HttpServletRequest req = (HttpServletRequest) request;
		// 创建修饰类
		XssAndSqlHttpServletRequestWrapper xssAndSqlWrapper = new XssAndSqlHttpServletRequestWrapper(req);
		// 不返回就不放行
		chain.doFilter(xssAndSqlWrapper, response);
	}
        @Override
	public void destroy() {
 
	}
  1. 配置filter(注解配置,也可以直接在web.xml写)
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
  1. 如果是SpringBoot项目,记得加 @ServletComponentScan 注解
  2. 只要是文本框、表单等,需要提交并在页面展示的,一般都需要做防XSS攻击。
这结局或许就完美在可悲
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WEB安全实战(五)XSS 攻击的另外一种解决方案(推荐)
紫羽风的博客
11-20 2万+
序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对最近工作中的一些新的问题。那么之前是怎么解决这个问题的呢?为什么又要换解决方案?下面就详细的跟大家分享一下。 旧方案 公司的测试团队发现这个问题之后,就要求尽快的解决,在网上查了很多相关的资料,也翻阅了基本安全方面的书,基于 XSS 的攻击原理,自己写了一个 Filter,并在该
WEB安全实战(三)XSS 攻击的
热门推荐
紫羽风的博客
10-31 2万+
前言 上篇文章中提到了 XSS 攻击,而且,也从几个方面介绍了 XSS 攻击带来的严重影响。那么,这篇文章中,主要是针对 XSS 攻击做一个基本的御,看看可以通过几种方式来修复这个特别常见的安全漏洞。 由于公司用的是 SpringMVC,因此,这次就主要基于 SpringMVC 来解决这些漏洞。当然,其实这些解决方案都是大同小异,对于什么环境来说根本无所谓。了解了原理,什么环
XSS java后端修改 websphere部署web.xml不生效问题解决
weixin_45310771的博客
11-19 823
web.xml添加过滤器: xssFilter过滤器尽量添加到web.xml最上方。 、、、省略、、、 <filter> <filter-name>xssFilter</filter-name> <filter-class>com.***.***.***.XssFilter</filter-class></filter> <filter-mapping> <filter-name&gt
java web xss_javaWeb项目如何xss攻击详解
weixin_42131316的博客
02-13 788
关于xss的概念和解决方案网上很多,这里主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。其中,输入时的过...
XSS攻击解决办法
01-20
XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
WEB前端常见受攻击方式及解决办法总结
10-15
WEB前端常见受攻击方式及解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见的攻击方式及其范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
JSP Struts过滤xss攻击解决办法
10-19
**JSP Struts过滤XSS攻击解决办法** 在Web应用程序开发中,XSS(Cross Site Scripting)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中注入恶意脚本,从而盗取用户数据或执行其他恶意操作。JSP与Struts...
.net core xss攻击御的方法
01-03
XSS攻击全称跨站脚本攻击 ,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...
SpringBoot XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3327
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
HttpServletRequestWrapper介绍
weixin_48453772的博客
06-06 1318
HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request,没有提供对应的set方法修改属性,所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,获取认证token统一去除token前缀等需要进行请求参数的处理,此时HttpServletRequestWrapper 就应运而生。
.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletReq
zy1176896650的博客
03-23 9033
今天在做照片上传,莫名其妙的报出来一堆错,同样的功能做过好多次了,从来没见过如此错误:java.lang.ClassCastException: org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.multipart.MultipartHttpServletRe...
org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.mult.
lanren312的博客
03-28 5562
项目是springboot+shiro,前期做过上传功能,直接用发现报错: MultipartHttpServletRequest params = (MultipartHttpServletRequest) request; 控制台报错信息: java.lang.ClassCastException: org.apache.shiro.web.servlet.ShiroHttpServletRequest cannot be cast to org.springframework.web.mul
cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest
as20060104的专栏
12-22 1万+
MultipartHttpServletRequest   multipartRequest= (MultipartHttpServletRequest)request;   转型报错cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest 添加jar包commons-io.jar
RequestFacade cannot be cast to org.springframework.web.multipart.MultipartHttpServletRequest
MTone1的博客
11-07 4535
我的代码 package com.etc.controller; import com.etc.service.UpLoadService; import org.apache.commons.fileupload.servlet.ServletFileUpload; import org.springframework.beans.factory.annotation.Autowired; i...
SpringBoot :cannot be cast to org.springframework.web.accept.ContentNegotiationManager
weixin_34245169的博客
05-03 455
2019独角兽企业重金招聘Python工程师标准>>> ...
web项目配置止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1539
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
xss攻击原理与解决方法
05-13
XSS(Cross-site scripting)攻击是一种常见的Web安全漏洞,攻击者在Web页面中注入恶意脚本代码,当其他用户浏览该页面时就会执行这段恶意脚本,从而导致安全问题XSS攻击一般分为反射型、存储型和DOM型三种类型。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值