利用简单的过滤器 过滤特殊字符实现 防止XSS攻击

最新推荐文章于 2022-10-28 08:26:30 发布
最新推荐文章于 2022-10-28 08:26:30 发布
阅读量5.1k 收藏 3
点赞数
分类专栏: 漏洞修补

利用简单的过滤器 过滤特殊字符实现 防止XSS攻击



web.xml配置文件 


[html] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1.  <filter>  
  2.   <filter-name>XSSFilter</filter-name>  
  3.   <filter-class>com.neusoft.common.filter.XSSFilter</filter-class>  
  4. </filter>  
  5. <filter-mapping>  
  6.   <filter-name>XSSFilter</filter-name>  
  7.   <url-pattern>/*</url-pattern>  
  8. </filter-mapping>  


[java] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. package com.neusoft.common.filter;  
  2.   
  3.   
  4. import java.io.IOException;  
  5.   
  6. import javax.servlet.Filter;  
  7. import javax.servlet.FilterChain;  
  8. import javax.servlet.FilterConfig;  
  9. import javax.servlet.ServletException;  
  10. import javax.servlet.ServletRequest;  
  11. import javax.servlet.ServletResponse;  
  12. import javax.servlet.http.HttpServletRequest;  
  13.   
  14. public class XSSFilter implements Filter {  
  15.   
  16.     @Override  
  17.     public void destroy() {  
  18.         // TODO Auto-generated method stub  
  19.   
  20.     }  
  21.   
  22.     @Override  
  23.     public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain arg2)  
  24.             throws IOException, ServletException {  
  25.         // TODO Auto-generated method stub  
  26.         arg2.doFilter(new XSSRequestWrapper((HttpServletRequest) arg0), arg1);  
  27.     }  
  28.   
  29.     @Override  
  30.     public void init(FilterConfig arg0) throws ServletException {  
  31.         // TODO Auto-generated method stub  
  32.   
  33.     }  
  34.   
  35. }  



[java] view plain copy print ? 在CODE上查看代码片 派生到我的代码片
  1. package com.neusoft.common.filter;  
  2.   
  3.   
  4. import java.util.regex.Pattern;  
  5.   
  6. import javax.servlet.http.HttpServletRequest;  
  7. import javax.servlet.http.HttpServletRequestWrapper;  
  8.   
  9.   
  10. public class XSSRequestWrapper extends HttpServletRequestWrapper {  
  11.   
  12.     public XSSRequestWrapper(HttpServletRequest request) {  
  13.         super(request);  
  14.     }  
  15.   
  16.     @Override  
  17.     public String[] getParameterValues(String parameter) {  
  18.         String[] values = super.getParameterValues(parameter);  
  19.         if (values == null) {  
  20.             return null;  
  21.         }  
  22.         int count = values.length;  
  23.         String[] encodedValues = new String[count];  
  24.         for (int i = 0; i < count; i++) {  
  25.             encodedValues[i] = stripXSS(values[i]);  
  26.         }  
  27.         return encodedValues;  
  28.     }  
  29.   
  30.     @Override  
  31.     public String getParameter(String parameter) {  
  32.         String value = super.getParameter(parameter);  
  33.         return stripXSS(value);  
  34.     }  
  35.   
  36.     @Override  
  37.     public String getHeader(String name) {  
  38.         String value = super.getHeader(name);  
  39.         //return stripXSS(value);  
  40.         return value;  
  41.     }  
  42.       
  43.     public String getQueryString() {    
  44.         String value = super.getQueryString();    
  45.         if (value != null) {    
  46.             value = stripXSS(value);    
  47.         }    
  48.         return value;    
  49.     }    
  50.   
  51.     private String stripXSS(String value) {  
  52.         if (value != null) {  
  53.             // Avoid anything between script tags  
  54.             Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
  55.             value = scriptPattern.matcher(value).replaceAll("");  
  56.             // Avoid anything in a  
  57.             // e­xpression  
  58.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",  
  59.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  60.             value = scriptPattern.matcher(value).replaceAll("");  
  61.             scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",  
  62.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  63.             value = scriptPattern.matcher(value).replaceAll("");  
  64.             // Remove any lonesome </script> tag  
  65.             scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);  
  66.             value = scriptPattern.matcher(value).replaceAll("");  
  67.             // Remove any lonesome <script ...> tag  
  68.             scriptPattern = Pattern.compile("<script(.*?)>",  
  69.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  70.             value = scriptPattern.matcher(value).replaceAll("");  
  71.             // Avoid eval(...) e­xpressions  
  72.             scriptPattern = Pattern.compile("eval\\((.*?)\\)",  
  73.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  74.             value = scriptPattern.matcher(value).replaceAll("");  
  75.             // Avoid e­xpression(...) e­xpressions  
  76.             scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",  
  77.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  78.             value = scriptPattern.matcher(value).replaceAll("");  
  79.             // Avoid javascript:... e­xpressions  
  80.             scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);  
  81.             value = scriptPattern.matcher(value).replaceAll("");  
  82.             // Avoid vbscript:... e­xpressions  
  83.             scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);  
  84.             value = scriptPattern.matcher(value).replaceAll("");  
  85.             // Avoid οnlοad= e­xpressions  
  86.             scriptPattern = Pattern.compile("onload(.*?)=",  
  87.                     Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
  88.             value = scriptPattern.matcher(value).replaceAll("");  
  89.   
  90.         }  
  91.         return value;  
  92.     }  
  93. }  


GavinYCF
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
防止xss和sql注入:JS特殊字符过滤正则
lyxkgc的博客
09-16 1264
防止xss和sql注入:JS特殊字符过滤正则
【转载】目前主流过滤XSS的三种技术
weixin_30697239的博客
11-07 2457
目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。 编码 像一些常见的字符,如"<"、">"等。...
XSS的防御方法解析
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
01-06 859
XSS漏洞的总体防御原则: 输入做过滤,输出做转义 1、用户输入过滤 对用户输入的script等HTML标签和一些JS关键字进过滤。常见的过滤方法由白名单和黑名单两种。 其中Java的JSOUP采用了白名单的方式对用户的输入进行了过滤,在使用时需要指定一个可配置的Whitelist。在JSOUP中提供了一系列的Whitelist基本配置,能够满肚大多数的过滤要求,在有必要的情况下也可以自己配修改配置。 此外还有OWASP ESAPI也能较好的防御XSS漏洞。 2、转义输入与输出的特殊字符 在HTML中,&l
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1503
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
xss过滤总结
weixin_42109829的博客
12-04 2979
一。简述 一。简述 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序. 例如: 1.盗用cookie,获取敏感信息。 2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以...
防止 常见几种网络攻击 【CSRF】【xss】【sql注入】
DuTianTian_csdn的博客
06-26 913
xss  跨站脚本攻击XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击实施XSS攻击需要具备两个条件:一、需要向web页面注入恶意代码;二、这些恶意代码能够被浏览器成功的执行。解决方法::一、是在表单提交或者url参数传递前,对需要的参数进行过滤,请看如下XSS过滤工具类代码二、 过滤用户输入的 检查用户输入的...
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ?
码猿技术专栏
10-28 269
大家好,我是不才陈某~XSS 漏洞到底是什么?在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个alert就起作用了来看图。那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了...
正向代理,反向代理及XFF
qq_44875284的博客
07-21 3602
记录一下正向代理,反向代理和XFF
xss绕过字符过滤_xss绕过过滤方法
weixin_39654848的博客
12-21 877
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了。这个貌似很彻底,因为一旦<>被转换掉,什么就会转换成“<script src=1.js></script>”,不能执行,因此,很多人认为只要用户的输入没有构成<&...
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
vue+element项目中过滤输入框特殊字符小结
10-16
主要介绍了vue+element项目中过滤输入框特殊字符小结,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
java过滤器防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
JSP Struts过滤xss攻击的解决办法
10-19
主要介绍了JSP Struts过滤xss攻击的解决办法的相关资料,需要的朋友可以参考下
springboot如何实现使用过滤器防止xss攻击和sql注入
06-09
1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值