配置过滤器filter对跨站脚本攻击XSS实现拦截

最新推荐文章于 2021-06-21 11:28:28 发布
最新推荐文章于 2021-06-21 11:28:28 发布
阅读量5.1k 收藏 5
点赞数 5
分类专栏: Web安全 JavaWeb Spring Filter 文章标签: filter XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woniumenga/article/details/47323829
版权
JavaWeb 同时被 3 个专栏收录
6 篇文章 0 订阅
订阅专栏
Spring
6 篇文章 0 订阅
订阅专栏
Filter
2 篇文章 0 订阅
订阅专栏

filter的原理图见上博原理图

1.web.xml中配置filter

  <filter>
  	<filter-name>XssFilter</filter-name>
  	<filter-class>com.wk.util.XssFilter</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>XssFilter</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>

2.编写相应的filter的java类 

package com.wk.util;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

	@Override
	public void destroy() {

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new XssHttpServletRequestWraper(
                (HttpServletRequest)request), response);//对request和response进行过滤
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {

	}

}
3.编写字符过滤类 

package com.wk.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * 
 * @author wk
 * @date 2015-8-6
 */
public class XssHttpServletRequestWraper extends HttpServletRequestWrapper {

	public XssHttpServletRequestWraper(HttpServletRequest request) {
		super(request);
	}

	@Override
	public String getParameter(String name) {
		return clearXss(super.getParameter(name));
	}

	@Override
	public String getHeader(String name) {
		return clearXss(super.getHeader(name));
	}

	@Override
	public String[] getParameterValues(String name) {
		String[] values = super.getParameterValues(name);
		if (values == null) {
			return null;
		}
		String[] newValues = new String[values.length];

		for (int i = 0; i < values.length; i++) {
			newValues[i] = clearXss(values[i]);
		}

		return newValues;
	}

	/**
	 * 处理字符转义
	 * 
	 * @param value
	 * @return
	 */
	private String clearXss(String value) {
		if (value == null || "".equals(value)) {
			return value;
		}
		value = value.replaceAll("<", "<").replaceAll(">", ">");
		value = value.replaceAll("\\(", "(").replace("\\)", ")");
		value = value.replaceAll("'", "'");
		value = value.replaceAll("eval\\((.*)\\)", "");
		value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
				"\"\"");
		value = value.replace("script", "");
		return value;
	}

}


4.当然喽,此处多说一句,在装饰类中不仅可以拦截XSS脚本攻击,还可以将请求参数中的空格去掉,这样就不用在每一个action中都要去掉提交参数值的前后空格了,至于Injection Flows等sql注入的问题也可以一概解决了

KinderWang
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 925
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1498
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6051
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
xss跨站脚本攻击-运维安全详细笔记
最新发布
06-30
xss跨站脚本攻击-运维安全详细笔记
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
防止XSS跨站脚本攻击:Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
XSSFilter源码
06-03
XSSFilter源码处理漏洞
XSS攻击防御的filter实现
书生的博客
09-01 7715
XSS攻击的基本概念主要是:     恶意用户在网页的可输入的地方输入可执行的脚本(如javascript)代码,从而使网页解析执行该脚本代码来达到攻击的效果, 比如在网站上写一篇文章时包含这段代码: ,如果该字符串在后台没有进行XSS攻击防范,就会导致导致其他人访问该文章时网页执行上面的脚本从而alert(1).防止XSS攻击最主要方式 :       把特殊标签符号转码,比如把”<”, “>
商城-搜索过滤-取消过滤项
shenzhen_zsw的专栏
06-17 300
商城-搜索过滤-取消过滤项6.取消过滤项 6.取消过滤项 我们能够看到,每个过滤项后面都有一个小叉,当点击后,应该取消对应条件的过滤。 思路非常简单: 给小叉绑定点击事件 点击后把过滤项从search.filter中移除,页面会自动刷新,OK 绑定点击事件: 绑定点击事件时,把k传递过去,方便删除 删除过滤项 removeFilter(k){ this.search.filt...
XSS过滤器Filter实现全过程
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
防止XSS攻击相关问题
weixin_43198403的博客
07-22 587
防止XSS 攻击相关问题 XSS XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。(摘自百度百科) 举一个简单的例子: 在网页的输入框中输入 <script>alert(“Hellow! XSS”)</scrip
XSS 防御方法总结
weixin_33932129的博客
08-03 2752
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
Filter指定路劲不进行拦截
雨说的博客
04-09 2万+
1.web.xml中配置 &amp;lt;!-- token filter--&amp;gt; &amp;lt;filter&amp;gt; &amp;lt;filter-name&amp;gt;tokenFilter&amp;lt;/filter-name&amp;gt; &amp;lt;filter-class&amp;gt;com.zpkj.template.filter.To
简述跨站脚本攻击XSS的工作原理
05-10
跨站脚本攻击XSS)是一种利用Web应用程序中的漏洞,将恶意脚本注入到受害者浏览器中的攻击方式。攻击者通过在目标网站中注入恶意脚本,使得用户在浏览网站时执行该脚本,从而达到攻击目的。 XSS攻击的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值