XSS漏洞解决方案之一:过滤器

最新推荐文章于 2024-05-18 18:30:00 发布
最新推荐文章于 2024-05-18 18:30:00 发布
阅读量1.3w 收藏 11
点赞数 1
分类专栏: 漏洞修补
XSS漏洞解决方案之一:过滤器
一:web.xml文件  
<!-- 解决xss漏洞 -->  
  <filter>  
    <filter-name>xssFilter</filter-name>  
     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>  
  </filter>  
  
  <!-- 解决xss漏洞 -->  
  <filter-mapping>  
    <filter-name>xssFilter</filter-name>  
    <url-pattern>/*</url-pattern>  
  </filter-mapping>  

  <!-- 解决xss漏洞 -->
  <filter>
    <filter-name>xssFilter</filter-name>
     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>
  </filter>

  <!-- 解决xss漏洞 -->
  <filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

    二:过滤器:XSSFilter.java    
package com.rigel.sandbox.core.filter;  
  
import java.io.IOException;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;  
  
public class XSSFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
  
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
  
}  

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

@Override
public void init(FilterConfig filterConfig) throws ServletException {
}

@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {

XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}

@Override
public void destroy() {
}

}

 

       三:包装器:XssHttpServletRequestWrapper.java  
package com.rigel.sandbox.core.util;  
  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  
  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
        orgRequest = request;  
    }  
  
    /** 
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
     */  
    @Override  
    public String getParameter(String name) {  
        String value = super.getParameter(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
  
    /** 
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
     * getHeaderNames 也可能需要覆盖 
     */  
    @Override  
    public String getHeader(String name) {  
  
        String value = super.getHeader(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
  
    /** 
     * 将容易引起xss漏洞的半角字符直接替换成全角字符 
     *  
     * @param s 
     * @return 
     */  
    private static String xssEncode(String s) {  
        if (s == null || s.isEmpty()) {  
            return s;  
        }  
        StringBuilder sb = new StringBuilder(s.length() + 16);  
        for (int i = 0; i < s.length(); i++) {  
            char c = s.charAt(i);  
            switch (c) {  
            case '>':  
                sb.append(">");// 转义大于号   
                break;  
            case '<':  
                sb.append("<");// 转义小于号   
                break;  
            case '\'':  
                sb.append("'");// 转义单引号   
                break;  
            case '\"':  
                sb.append(""");// 转义双引号   
                break;  
            case '&':  
                sb.append("&");// 转义&   
                break;  
            default:  
                sb.append(c);  
                break;  
            }  
        }  
        return sb.toString();  
    }  
  
    /** 
     * 获取最原始的request 
     *  
     * @return 
     */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
     * 获取最原始的request的静态方法 
     *  
     * @return 
     */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
}
GavinYCF
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Laravel开发-laravel-xss-filter
08-28
Laravel开发-laravel-xss-filter 过滤XSS的用户输入,但不要过滤其他HTML
XSS漏洞解决方案之一:过滤器(转载)
wb284551926的博客
11-25 574
一:web.xml文件   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 &lt;!-- 解决xss漏洞 --&gt;    &lt;filter&gt;      &lt;filter-name&gt;xssFilter&...
XSS跨站脚本攻击漏洞修复技巧
最新发布
2401_84208172的博客
05-18 1044
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 1884
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
XSS漏洞修补及预防--使用过滤器
热门推荐
YouXu
03-16 1万+
什么是XSS攻击 : XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6534
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
django-xss-cleaner:Django XSS 清理器
07-07
或者在模板中,使用过滤器: ```html {{ user_input|xss_clean }} ``` django-xss-cleaner库提供了详尽的文档和示例,帮助开发者更好地理解和使用这个工具。它是一个非常实用的组件,对于任何使用Django开发Web应用...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
java 过滤脚本_XSS防脚本注入的过滤器
weixin_29220405的博客
02-16 314
XSS又叫CSS(CrossSiteScript) ,跨站脚本***。它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。XSS属于被动式的***,因为其被动且不好利用,所以许多人常呼略其危害性.我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,1.web.xml配置过...
XSSFilter for java
懒虫一个V
06-25 5604
Here is a good and simple anti cross-site scripting (XSS) filter written for Java web applications. What it basically does is remove all suspicious strings from request parameters before returning the
代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全
今天是几号的博客
06-22 1795
如果服务器是正常关闭,则会执行destroy方法。概念:Web中的过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤……1. init:在服务器启动后,会创建Filter对象,然后调用init方法。查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本。2. doFilter:每一次请求被拦截资源时,会执行。Hibernate 配置文件:Hibernate.cfg.xml。配置文件获取框架名称及版本,利用漏洞库验证是否存在漏洞
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1517
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1267
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
XSS-绕过for循环过滤
H2223的博客
08-03 137
代码大意:将#后面的数据放入div便签中,并过滤标签中的所有属性尝试输入#在页面中输出的是:,显然for循环没有达到预期的效果只删除了src属性,onerror没有被删除,但没有src就无法执行javascript:alert(1)...
"Flash XSS漏洞挖掘及修复指南:分析、实例和预防方法
Flash XSS漏洞是指在使用Flash技术的网站中存在的一种跨站脚本攻击漏洞。本文旨在介绍Flash XSS漏洞的挖掘过程,包括对漏洞进行分析的要求和案例研究。 1. 引言 Flash XSS漏洞是指通过Flash技术在网站中注入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值