jsp过滤非法字符输入,防止XSS跨站攻击

最新推荐文章于 2024-11-02 12:42:04 发布
置顶 最新推荐文章于 2024-11-02 12:42:04 发布
阅读量3.7k 收藏
点赞数
分类专栏: Java 文章标签: jsp string javascript filter 服务器 class

一。写一个过滤器

代码如下:

package com.liufeng.sys.filter;

import java.io.IOException;
import java.io.PrintWriter;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class IllegalCharacterFilter implements Filter {
 
 private String[] characterParams = null;
 private boolean OK=true;
 
 public void destroy() {
  // TODO Auto-generated method stub

 }
 /**
  * 此程序块主要用来解决参数带非法字符等过滤功能
  */
 public void doFilter(ServletRequest request, ServletResponse response,
   FilterChain arg2) throws IOException, ServletException {
 
  HttpServletRequest servletrequest = (HttpServletRequest) request;
  HttpServletResponse servletresponse = (HttpServletResponse) response; 
  boolean status = false;  
   java.util.Enumeration params = request.getParameterNames();
   String param="";
   String paramValue = "";
   servletresponse.setContentType("text/html");
   servletresponse.setCharacterEncoding("utf-8");
   while (params.hasMoreElements()) {
    param = (String) params.nextElement();
    String[] values = request.getParameterValues(param);
    paramValue = "";
    if(OK){//过滤字符串为0个时 不对字符过滤
    for (int i = 0; i < values.length; i++)
      paramValue=paramValue+values[i];
    for(int i=0;i<characterParams.length;i++)
     if (paramValue.indexOf(characterParams[i]) >= 0) {
      status = true;
      break;
     }
    if(status)break;
    }
   }
//   System.out.println(param+"="+paramValue+";");
   if (status) {
    PrintWriter out = servletresponse.getWriter();
    out
       .print("<script language='javascript'>alert(\"对不起!您输入内容含有非法字符。如:\\\"'\\\".等\");"
        // + servletrequest.getRequestURL()
         + "window.history.go(-1);</script>");

   }else
   arg2.doFilter(request, response);
 
 }

 public void init(FilterConfig config) throws ServletException {
  if(config.getInitParameter("characterParams").length()<1)
   OK=false;
  else
  this.characterParams = config.getInitParameter("characterParams").split(",");
 }

}

 

二。在web.xml文件中加入如下内容:

<!-- 非法字符过滤器 -->
 <filter>
  <filter-name>IllegalCharacterFilter</filter-name>
  <filter-class>
   com.liufeng.sys.filter.IllegalCharacterFilter
  </filter-class>
  <init-param>
   <param-name>characterParams</param-name>
   <param-value>',@</param-value><!-- 此处加入要过滤的字符或字符串,以逗号隔开 -->
  </init-param>
 </filter>
 <filter-mapping>
  <filter-name>IllegalCharacterFilter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

 

重启你的服务器就OK了。

这样,增加此过滤器后能提高网站的安全,防止SQL注入,防止跨站脚本XSS等。

熊哥club
关注
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击
本本本添哥
03-31 442
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
nginx防护规则,拦截非法字符防止SQL注入、防XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
云博客_资源宝分享
02-18 3565
nginx防护规则,拦截非法字符防止SQL注入、防XSS,nginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
jsp防止xss攻击
lilovfly的专栏
08-04 6661
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
过滤过滤用户输入非法字符
11-03
过滤过滤用户输入非法字符,如“” “%” “+”等需要的两个类XssFilter.java和XssHttpServletRequestWrapper.java
java 过滤用户提交表单非法字符
chengyue2007的专栏
05-04 648
一。写一个过滤器 代码如下: package com.liufeng.sys.filter; import java.io.IOException;import java.io.PrintWriter; import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig...
jsp过滤输入输入html特殊字符
天生我才必有用!
10-31 4337
在html中的特殊字符输入之后,再次显示的时候,有可能会出现问题。如,在评论的时候输入:alert(1);在展示的时候,就会是弹框而不是显示这段话了。所以,在保存的时候,需要将html中的特殊字符进行过滤并且转换,显示的时候,自动会展示原来的样子。 代码HtmlCodeUtil public class HtmlCodeUtil { /// /// 替换html中的特
Java 过滤不安全字符
臣臣的小家
06-20 669
导读:   public static String htmlEncode(String pstrWord)   {   if((pstrWord != null)&&(pstrWord != ""))   {   StringBuffer pobjBuffer = new StringBuffer();   int j = pstrWord.length();   for (int i
前端jsp中处理特殊字符方法总结
起床困难户的博客
08-27 1018
          前段时间修改一个前端jsp页面的,测试组发现一个问题可让我纠结很久了,现在终于解决了来总结一下,下次就方便了。   问题: jsp页面输入框中输入了类似 &lt;script&gt;alert("测试脚本")&lt;/script&gt; 这样的恶意脚本,在页面加载的时候会弹出 alert提示框,很是讨厌。   解决方案: 第一种:如果是页面回显的话或者在标签内使...
JSP使用过滤防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
java 过滤非法字符_Java正则表达式过滤并消除非法字符
weixin_33102135的博客
02-16 2302
package sd;import java.util.regex.Matcher;import java.util.regex.Pattern;/**** @author 大汉**/public class P {public static void main(String[] args) {// 除了字母数字下划线之外的字符为非法字符Pattern pattern = Pattern.comp...
JSP过滤防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
jsp字符过滤
11-25
// 过滤非法字符 paramValue = paramValue.replaceAll("[<>\"\'%]", ""); } req.setParameter(paramName, paramValues); } chain.doFilter(request, response); } } ``` 在这个例子中,我们使用正则...
JSP特殊字符处理
坐看云起云落。
09-04 4846
JSP中用form表单(Post请求)可以传送特殊字符服务器,但当使用get请求或者通过链接地址(也是get请求)时,如遇到+、-等特殊字符就会截断其后的值。本文没有解决get请求中含这些字符的问题,但给出了一种转换方法。如上所说,post请求可以传送特殊字符。所以,可以将get请求转换成post请求。又js中可以获取form元素并提交请求,所以可以将get请求需要传送的数据放在type类型为hi
过滤特殊字符
再见,江南
01-31 385
jsp中的代码: *     function regex(s) {         var str = /[~!@#$%^&*()-=+//\|]/;         s = s.value;//获取value值         if (str.test(s)) {             alert('不能有特殊字符');             return;
js过滤url中的特殊字符
xiaoxiaohui520134的博客
06-20 4133
在URL传递参数中,有一些特殊字符,而这些些符号在URL中是不能直接传递的,如果要在URL中传递这些特殊符号,那么就要使用他们的编码了。 下表中列出了一些URL特殊符号及编码十六进制值 1. + URL 中+号表示空格 %2B 2. 空格 URL中的空格可以用+号或者编码 %20 3. / 分隔目录和子目录 %2F 4. ? 分隔实际的 URL 和参数 %3F 5. % 指定
防止恶意提交的方法
lansexingkong的专栏
06-15 5163
做web开发的时候,经常会遇到表单提交的内容,比如帖子,评论等。这时候我们就的注意防止用户的恶意攻击了。我做了一下总结,如果还有其它好的方法,不妨分享一下! 1.添加验证码的控制,可以有效的防止用户的恶意攻击了,除非他知道你 的验证码的算法。 2.像discuz中那样form表单中增加forhash的隐藏域,判断是否是从我的网站中提交的。 3.可以判断两次提交的时间间隔,用
jsp xss
jindingwang的专栏
06-05 2107
对于的用户输入搜索出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 3038
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
JavaScript 生成二维码
最新发布
qq_30049249的博客
11-02 219
我试过了,这一款js库支持中英文混合。进入网站后,可以直接点击运行哟~
jsp如何防止xss跨站脚本攻击
06-07
JSP 可以通过以下几种方式来防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面中对用户输入的数据进行检查和过滤,例如过滤掉 HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面中输出变量时,使用 HTML 编码或 JavaScript 编码等方式对变量进行编码,防止恶意脚本在页面中执行。 3. CSP 内容安全策略:在 HTTP 响应头中添加 Content-Security-Policy(CSP)字段,限制页面中能够加载的外部资源,例如 JavaScript、CSS 和图片等。这样可以有效地减少 XSS 攻击的风险。 4. HTTPS 安全协议:使用 HTTPS 安全协议来加密数据传输,防止中间人攻击和数据窃取等安全风险,进一步保护用户信息的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值