XSS漏洞 解决

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量911 收藏
点赞数
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyl388569/article/details/67637894
版权

转译参数


     将容易引起xss漏洞的半角字符直接替换成全角字符 

    public String xssEncode(String s)  
    {  
        if (s == null || s.isEmpty())  
        {  
            return s;  
        }  
          
        String result = stripXSS(s);  
        if (null != result)  
        {  
            result = escape(result);  
        }  
          
        return result;  
    }  
      
    private String stripXSS(String value)   
    {  
                if (value != null)   
                {  
                    // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to  
                    // avoid encoded attacks.  
                    // value = ESAPI.encoder().canonicalize(value);  
                    // Avoid null characters  
                    value = value.replaceAll("", "");  
                    // Avoid anything between script tags  
                    Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid anything in a src='...' type of expression  
                    scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome </script> tag  
                    scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome <script ...> tag  
                    scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid eval(...) expressions  
                    scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid expression(...) expressions  
                    scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid javascript:... expressions  
                    scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid vbscript:... expressions  
                    scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid οnlοad= expressions  
                    scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                      
                    scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                      
                    scriptPattern = Pattern.compile("</iframe>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome <script ...> tag  
                    scriptPattern = Pattern.compile("<iframe(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                }  
                return value;  
        } 
even388
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨站脚本攻击(二)
yansong_8686的专栏
12-07 888
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Java Xss半角转全角防攻击
狮子座人生
10-22 1255
/** * 将容易引起xss漏洞的半角字符直接替换成全角字符 * * @param s * @return */ private String xssEncode(String s) { if (s == null || s.equals("")) { return s; } try { s = URLDecoder.dec...
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6786
XSS 安全漏洞介绍及修复方案
xss漏洞之进制转换
:)
07-18 459
SQL注入的事件已经是上个世纪最令人头疼的攻击方法,21世纪又出现了HTML注入漏洞,随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。   1.HTML标签注入:     &lt;script&gt;alert('Hello World!')&lt;/script&gt;   ...
Java Web应用程序的反跨站点脚本(XSS)过滤器
最佳 Java 编程
05-09 312
这是为Java Web应用程序编写的一个好简单的反跨站点脚本(XSS)过滤器。 它的主要作用是从请求参数中删除所有可疑字符串,然后将其返回给应用程序。 这是我以前关于该主题的帖子的改进。 您应该将其配置为链(web.xml)中的第一个过滤器,通常最好让它捕获对您站点的所有请求。 实际的实现包括两个类,实际的过滤器非常简单,它将HTTP请求对象包装在一个专门的HttpServle...
项目防止脚本攻击sxx存储性漏洞
kang1011的博客
10-21 2359
项目防止脚本攻击sxx存储性漏洞 <a 标签跳转,等等 现象: 如上页面一些更新修改添加操作,输入js一些可执行脚本,对网站进行攻击。 解决: 可引入以下的工具类,对保存的字段做过滤拦截,防止js脚本攻击。 package com.xx; import java.util.regex.Pattern; public class XSSUtils { public static String striptXSS(String value) { if (va
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
360webscan解决xss漏洞
05-26
在IT安全领域,XSS...总的来说,解决360 webscan检测到的WordPress XSS漏洞需要结合系统更新、代码审查、安全设置优化和第三方组件管理等多个方面的工作,同时持续关注安全动态,保持警惕,才能确保网站的安全性。
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
XSS攻击Filter
qq_35830057的博客
11-26 249
private String stripXSS(String value) { if (value != null) { // NOTE: It‘s highly recommended to use the ESAPI library and uncomment the following line to // avoid e...
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 2019
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
XSS相关
m0_48867141的博客
04-02 4395
xss之waf探测 借助Cookie值 Citrix Netscaler Citrix Netscaler”会在HTTP返回头部Cookie位置加入“ns_af”的值,可以以此判断为Citrix Netscaler的WAF,国内此类WAF很少,这货居然是searchsecurity认定的2013最好的防火墙 恶意请求示例: GET / HTTP/1.1 Host: target.com User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:...
java XSS防护esapi
热门推荐
时光的脚印
09-22 1万+
跨站脚本攻击的防御主要考虑过滤用户输入,和后台输出。 1. 过滤用户输入: 对所有后台请求使用filter过滤,在filter中将request中有隐患的关键字过滤掉,由于request中值不能直接修改,所以对request使用装饰者模式,filter代码如下: import java.io.IOException; import javax.servlet.Filter;
javascript 过滤字符串中script并且替换xss注入攻击
gyq04551的博客
12-05 2111
function scriptReplace(str) { if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含 var str1 = str.replace('script', '</*script*/>');//替换的内容 return st...
java 防止 XSS 攻击的常用方法总结.
hebeind100的博客
03-19 428
  java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几种...
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2543
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值