反射型xss解决方法,增加过滤器,防止反射型 XSS攻击漏洞

最新推荐文章于 2025-03-25 09:46:45 发布
最新推荐文章于 2025-03-25 09:46:45 发布
阅读量4.6k 收藏 12
点赞数 2
分类专栏: SSH框架 文章标签: xss webview 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuli_qiyou/article/details/122539550
版权

web.xml配置

    <filter>
		<filter-name>XSSFilter</filter-name>
		<filter-class>com.xxx.filter.NewXssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>*.jsp</url-pattern>
	</filter-mapping>

添加XSS过滤器,NewXssFilter.java

package com.xxx.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import com.picc.platform.common.utils.NewXssHttpServletRequestWrapper;

public class NewXssFilter implements Filter {  
    FilterConfig filterConfig = null;  
    public void destroy() {  
       this.filterConfig = null;  
   }  
  
  public void doFilter(ServletRequest request, ServletResponse response,  
           FilterChain chain) throws IOException, ServletException {  
	  NewXssHttpServletRequestWrapper NewXssrequest = new  NewXssHttpServletRequestWrapper((HttpServletRequest)request);
	 HttpServletResponse NewXssresponse = (HttpServletResponse)response;
	 chain.doFilter(NewXssrequest, NewXssresponse);
   }  
  
   public void init(FilterConfig filterConfig) throws ServletException {  
       this.filterConfig = filterConfig;  
   }
 
}

NewXssHttpServletRequestWrapper.java

package com.xxx.common.utils;

import java.util.Iterator;
import java.util.Map;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;

public class NewXssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	
	HttpServletRequest orgRequest = null;

	public NewXssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		// TODO Auto-generated constructor stub
		orgRequest = request;
	}

	public String getParameter(String name) {
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	public Map<String, String[]> getParameterMap() {
		Map<String, String[]> paramMap = super.getParameterMap();
		Set<String> keySet = paramMap.keySet();
		for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {
			String key = (String) iterator.next();
			String[] str = paramMap.get(key);
			for (int i = 0; i < str.length; i++) {
				str[i] = xssEncode(str[i]);
			}
		}
		return paramMap;
	}
	

	private static String xssEncode(String s) {

		if (s == null || s.isEmpty()) {
			return s;
		}
		return StringEscapeUtils.escapeHtml4(s);

	}
	
	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof NewXssHttpServletRequestWrapper) {
			return ((NewXssHttpServletRequestWrapper) req).getOrgRequest();
		}

		return req;
	}

}

java 防止反射_解决反射型XSS漏洞攻击
weixin_29777019的博客
02-25 3327
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。一、首先从前端考虑过滤一些非法字符。前端的主控js中,在 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤input输入内容1 // 过滤xss反射型漏洞2 filterinputtxt: function (html) {3 html = html.repl...
解决反射型XSS漏洞攻击
weixin_30466953的博客
03-03 4717
对于程序员来说安全防御,无非从两个方面考虑,要么前端要么后台。 一、首先从前端考虑过滤一些非法字符。 前端的主控js中,在<textarea> 输入框标签中,找到点击发送按钮后,追加到聊天panel前 进行过滤Input输入内容 1 // 过滤XSS反射型漏洞 2 filterInputTxt: function (html) ...
【JAVA代码审计】————4、XSS
Fly_鹏程万里
02-13 1159
前言 最近几天比较忙,没有连载文章,今天正好有时间就写写吧,连载的都是基础的漏洞,大神路过留个脚印就可以撤了,哈哈,俗话说不喜勿喷,那咱们就开干! 跨站脚本(XSS)原理 先看下百度百科对XSS的介绍: 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往W...
XSS跨站脚本攻击解决办法
surpassone的专栏
09-14 1066
跨站脚本攻击首先先知道什么是跨站脚本攻击。 跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。 详解
XSS漏洞简介、危害与分类及验证
最新发布
Python84310366的博客
03-25 1216
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1717
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
spring boot 2.x解决反射性xss
虫二
07-22 2110
spring boot 2.x解决反射性xss
反射型XSS漏洞的条件+类型+危害+解决
gb4215287的博客
02-04 3681
XSS攻击需要具备两个条件:需要向web页面注入恶意代码;这些恶意代码能够被浏览器成功的执行。 XSS攻击有2种: 反射型攻击; 存储型攻击 XSS反射型攻击,恶意代码并没有保存在目标网站,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击的。 XSS存储型攻击,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性,比较常见场景是在博客,论坛、OA、CRM等社交...
漏洞修复-反射型XSS【中危】
weixin_46247049的博客
11-15 916
工作中渗透测试检测出,反射型XSS漏洞进行修复的记录。使用过滤器即可修复。
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
网络安全 - Web 安全攻防 - 反射型 XSS 实验包 - ReflectiveXSSLab.zip
09-22
反射型 XSS 是一种常见的 Web 安全漏洞攻击者通过在 URL 参数中注入恶意脚本,当其他用户点击该链接时,恶意脚本会在用户的浏览器中执行,可能导致用户信息泄露、会话劫持等安全问题。 该实验包通常包含多个不同...
php反射型xss,利用反射型XSS漏洞,模拟获取登录账户的Cookie
weixin_39819152的博客
04-01 880
目录结构一、测试环境二、测试目标三、原理描述四、操作步骤1.在服务器上搭建并启用hacker测试网站2.在服务器上测试站点根目录内创建一个存放攻击脚本的文件夹3.在xss文件夹下创建攻击脚本、cookie存储文件4.浏览器客户端向服务端提交特殊构造的XSS攻击脚本5.检查服务端获取到的cookie信息6.验证服务端获取到的cookie的有效性一、测试环境:PhpStudy+DVWA二、测试目标:从...
php反射型xss,反射型XSS测试及修复
weixin_28744613的博客
04-01 1467
反射型XSS一般出现的位置,如GET参数中测试搜索功能F12查看源码,查找出现1111的位置第一个位置在title处尝试闭合掉title标签,然后测试JS代码,成功弹窗查看源码,XSS执行第二处位置在搜索框,此处XSS无法执行,因为位于value属性内,需要将其闭合测试时注意闭合掉多余的双引号”接下来对XSS漏洞进行源码修复第一处XSS在title位置,输入的搜索参数ks直接echo输出,没有进行...
java前端提示反射型xss_搜索框反射型xss问题解决(网站开发)
weixin_39621669的博客
02-28 751
什么是反射型XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等。利用该漏洞攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,攻击发起者拥有该授权用户的所有...
反射型XSS的逆袭之路
weixin_30446613的博客
01-06 160
0×00背景 这是一次结合各自技巧的渗透过程,由于原作者的截图不多,我们只是简单叙述一下思路~ 目标是一家本地的游戏公司,起因是找到一个反射型xss,但是却被对方公司忽略,而作者身边的一个妹子也在这家公司工作,便起了搞定这家公司的决心。 以下正片 ===================================================== 0×01信息收集 目标公司...
XSS-反射型
热门推荐
qq_39416206的博客
03-14 1万+
xss反射型
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值