过滤器防止xss攻击

已于 2023-09-04 14:55:55 修改
阅读量1.1k 收藏 3
点赞数
文章标签: java 开发语言
于 2023-09-01 16:03:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yizhousai0662/article/details/132625682
版权

 1、新建过滤器XssFilter

public class XssFilter implements Filter {


    public void init(FilterConfig filterConfig) throws ServletException {
    }


    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,request.getParameterMap()), response);
    	
    }


    public void destroy() {
    }
}

 2、重写HttpServletRequestWrapper

将参数中有关xss攻击的非法字符全部处理掉

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private Map<String, String[]> params;
	
    public XssHttpServletRequestWrapper(HttpServletRequest request,Map<String, String[]> newParams) {
    	super(request);
    	params=new HashMap<String, String[]>();

		for(String key:newParams.keySet()){
			String[] value=newParams.get(key);
			int count = value.length;
	        String[] encodedValues = new String[count];
	        for (int i = 0; i < count; i++) {
	            encodedValues[i] =cleanXss(value[i]);
	        }
	        params.put(key, encodedValues);
		}

    }  
  
    @Override
    public String[] getParameterValues(String parameter) {

        String[] values = super.getParameterValues(parameter);
        if (values != null){
            String value = Arrays.toString(values);
            if(value.contains("%0d")||value.contains("%0a")){
                return new String[]{"errorparam"};
            }

            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++)
            {
                // 防xss攻击和过滤前后空格
                escapseValues[i] = cleanXss(values[i]);
            }
            return escapseValues;
        }
        return null;
    }
    @Override
    public String getParameter(String parameter) {

        String value = super.getParameter(parameter);
        return cleanXss(value);
    }
    
    
    @Override
    public Map<String, String[]> getParameterMap() {
		return params;		
	}
    
    @Override
    public String getHeader(String name) {
    	
        String value = super.getHeader(name);
        return cleanXss(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // Avoid eval(...) e­xpressions
            Pattern scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

    private String cleanXss(String value){
        if(!EmptyUtil.isEmpty(value)) {
            value = stripXSS(value);
            value = cleanXSS(value);

        }
        return value;
    }
    
    private String cleanXSS(String value) {
        //You'll need to remove the spaces from the html entities below
     	if(!EmptyUtil.isEmpty(value)){

            value = value.replaceAll("selectschool", "");
            value = value.replaceAll("keyword", "");
            value = value.replaceAll("startTime", "");
            value = value.replaceAll("endTime", "");
            value = value.replaceAll("selectschool", "");
            value = value.replaceAll("keytree", "");
            value = value.replaceAll("checkVal", "");
            value = value.replaceAll("relateType", "");
            value = value.replaceAll("classId", "");

            value = value.replaceAll("<xsstag", "");
            value = value.replaceAll("domxssExecutionSink", "");
            value = value.replaceAll("=javascript", "");
            value = value.replaceAll("script", "");
            value = value.replaceAll("iframe", "");
            

            value = value.replaceAll("<", "<").replaceAll(">", ">");
            value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
            value = value.replaceAll("'", "'");
            value = value.replaceAll("\"", "”");
            value = value.replaceAll(";", ";");

        
            value = value.replaceAll("&amp;","&");
            value = value.replaceAll("%26amp;","%26");
			value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
			value = value.replaceAll("(?i)script", "");
			value = value.replaceAll("iframe", "");
			value = value.replaceAll("window.open", "");

    	}
		return value;
	}


}

无言.默
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器Java Servlet API的一部分,...
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6485
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
最新发布
2301_77121488的博客
05-13 831
X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器的目的是通过检测响应中的反射性 XSS 攻击并阻止页面加载,从而保护用户免受攻击。X-XSS-Protection 响应头最早由 Microsoft 引入到 Internet Explorer 8 中,用于控制浏览器的 XSS 过滤器。随后其他浏览器厂商也在一定程度上实现了这一功能。
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3965
Springboot配置XSS过滤器XssFilter
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 697
过滤器和拦截器
七、抵御即跨站脚本(XSS)攻击
weixin_39309918的博客
10-20 1778
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
JSP使用过滤器防止Xss漏洞
10-17
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。 首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据未经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS:攻击者通过构造恶意链接,诱使用户点击...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
保姆级教学 XSS攻击过滤器
m0_59206144的博客
06-07 1707
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 6997
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
XSS过滤器
spum_的博客
08-27 246
【代码】XSS过滤器
JAVA代码审计XSS及Filter动态代理过滤
dzqxwzoe的博客
08-10 1191
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击和SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其中,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求中过滤XSS和SQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

无言.默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值