防止xss攻击

最新推荐文章于 2023-06-29 15:15:33 发布
最新推荐文章于 2023-06-29 15:15:33 发布
阅读量368 收藏
点赞数
分类专栏: java 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/x386277405/article/details/78049817
版权

防止xxs攻击过滤,代码清单如下

package com.security;

import java.io.IOException;
import java.util.Arrays;
import java.util.List;
import java.util.Map;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @title 请去数据防止XSS过滤
 * @Description:
 * @author Frank E-mail: frank@lan360.com
 * @date 2017年8月22日
 */
public class RequestParameterXSSFilter implements Filter{
//此处是不过滤的参数  
    private List<String> excludeNames; 
    public List<String> getExcludeNames() {  
        return excludeNames;  
    }  
    
@Override
public void init(FilterConfig filterConfig) throws ServletException {
//不过滤属性
String exclude = filterConfig.getInitParameter("exclude");  
        if (exclude != null && exclude.length() > 0) {  
            excludeNames = Arrays.asList(exclude.split(","));  
        }  
}

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
 	request = new XSSHttpServletRequestWrapper((HttpServletRequest) request);  
      		chain.doFilter(request, response);  
}

private class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {  
        public XSSHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
        }
        @Override  
        public Map getParameterMap() {  
        Map paramsMap=super.getParameterMap();
        if (paramsMap!=null && !paramsMap.isEmpty()) {
	for (Object name : paramsMap.keySet()) {
	//以下划线开头的数据不过滤
		if (name.toString().indexOf("_")>-1) {
			break;
		}
		String[] value =(String[]) paramsMap.get(name);
		if (value!=null && value.length>0) {
			value[0]=replaceXss(value[0]);
		}
	}
   }
            return paramsMap;  
        }
    }  
    /**
     * @title 过滤数据规则
     * @Description:
     * @param @param value
     * @param @return
     * @return
     * @author Frank E-mail: frank@lan360.com
     * @date 2017年8月23日
     */
    protected String replaceXss(String value) {  
        if (value != null && value.length() > 0) {
            //此处还能加更多的过滤规则  
        value = value.replaceAll("#","").replaceAll("&", "");
        value = value.replaceAll("<", "<").replaceAll(">", ">");
            value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
            value = value.replaceAll("'", "'");
            value = value.replaceAll("eval\\((.*)\\)", "");
            value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        }  
        return value;  
    }  
	@Override
	public void destroy() {
	// TODO Auto-generated method stub
	}
}

ManrayHsu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3475
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
防御Xss攻击的几种方法
shadow_zed的博客
03-03 4160
防御Xss攻击的几种方法 关于xss是什么,以及它带来的危害,这里不多赘述 宁杀错,不放过。对用户输入的内容进行HTML编码 使用Spring提供的工具类org.springframework.web.util.HtmlUtils String result = HtmlUtils.htmlEscape("<script>alert('springboot中文社区');...
JAVA-添加HTTP响应头预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2028
http响应头缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
如何防止XSS攻击
qq_36752945的博客
07-20 7626
如何防止XSS攻击 XSS攻击(跨站点脚本攻击),意即黑客恶意篡改你网页的前端代码,在里面注入一些恶意的 html+javascript的脚本,在你的浏览器内运行,获取你的信息,进行一些恶意操作。 xxs攻击的两种方式 一、反射型攻击 黑客在钓鱼网站设置其URL链接,URL链接可为色情动图、诱惑小视频,此URL链接内嵌有其恶意脚本,你点后 ,恶意脚本被返回至你的浏览器里。此时脚本就会运行,一旦控制了浏览器可得到大量东西,浏览器内包含cookie,可利用cookie伪造你的用户登录的session 状态,去以
如何防止XSS攻击
半夏_2021的博客
05-05 6304
如何防止XSS攻击
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
防止XSS攻击xssProtect
01-09
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
XSS攻击的预防措施
qq_45335911的博客
09-07 6345
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
如何预防 XSS 攻击
春风化雨
12-17 5462
1、XSS 攻击 XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。 原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。 2、预防策略 预防 XSS 的核心:对输入的数据做必要的过滤处理。 ...
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9218
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
xss漏洞攻防
mackilo的博客
12-20 8795
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
H_Q_Li的博客
10-21 2829
Ruo-Yi 前后端分离防止XSS攻击和自定义可以重复读取InputStream流
若依源码学习8:防XSS攻击以及全局异常处理
小宇哥x的博客
04-12 4988
1、防 XSS 攻击 1.1、什么是XSS攻击? **XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性和DOM-baseed型可以归类为非持久性XSS攻击。存储型可以.
WEB安全(十五)如何防止XSS攻击
jinyangjie的博客
02-17 5572
一、什么是XSS攻击 **XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。**XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 二、防止XSS攻击 1、X-XSS-Protection设置 目前该属性被所有的主流浏览器默认开启XSS保护。该参数是设置在响应头中目的是用来防范XSS攻击的。它有如下几种配置
前端安全系列(一):如何防止XSS攻击
WLsweety的博客
02-08 2673
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。
怎么全局防止xss攻击
最新发布
07-09
5. 安全的开发实践:编写安全的代码是防止XSS攻击的关键。开发人员应遵循安全的开发实践,如避免拼接用户输入到动态脚本、样式或HTML标签中,使用安全的编码函数等。 请注意,这些方法可以帮助减少XSS攻击的风险,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值