配置过滤器filter对跨站脚本攻击XSS实现拦截

最新推荐文章于 2024-09-25 15:53:18 发布
最新推荐文章于 2024-09-25 15:53:18 发布
阅读量7.6k 收藏 7
点赞数 2
分类专栏: Java

1.web.xml中配置filter

[html]  view plain  copy
  1. <filter>  
  2.     <filter-name>XssFilter</filter-name>  
  3.     <filter-class>com.wk.util.XssFilter</filter-class>  
  4. </filter>  
  5. <filter-mapping>  
  6.     <filter-name>XssFilter</filter-name>  
  7.     <url-pattern>/*</url-pattern>  
  8. </filter-mapping>  

2.编写相应的filter的java类

[java]  view plain  copy
  1. package com.wk.util;  
  2.   
  3. import java.io.IOException;  
  4.   
  5. import javax.servlet.Filter;  
  6. import javax.servlet.FilterChain;  
  7. import javax.servlet.FilterConfig;  
  8. import javax.servlet.ServletException;  
  9. import javax.servlet.ServletRequest;  
  10. import javax.servlet.ServletResponse;  
  11. import javax.servlet.http.HttpServletRequest;  
  12.   
  13. public class XssFilter implements Filter {  
  14.   
  15.     @Override  
  16.     public void destroy() {  
  17.   
  18.     }  
  19.   
  20.     @Override  
  21.     public void doFilter(ServletRequest request, ServletResponse response,  
  22.             FilterChain chain) throws IOException, ServletException {  
  23.         chain.doFilter(new XssHttpServletRequestWraper(  
  24.                 (HttpServletRequest)request), response);//对request和response进行过滤  
  25.     }  
  26.   
  27.     @Override  
  28.     public void init(FilterConfig arg0) throws ServletException {  
  29.   
  30.     }  
  31.   
  32. }  
3.编写字符过滤类

[java]  view plain  copy
  1. package com.wk.util;  
  2.   
  3. import javax.servlet.http.HttpServletRequest;  
  4. import javax.servlet.http.HttpServletRequestWrapper;  
  5. /** 
  6.  *  
  7.  * @author wk 
  8.  * @date 2015-8-6 
  9.  */  
  10. public class XssHttpServletRequestWraper extends HttpServletRequestWrapper {  
  11.   
  12.     public XssHttpServletRequestWraper(HttpServletRequest request) {  
  13.         super(request);  
  14.     }  
  15.   
  16.     @Override  
  17.     public String getParameter(String name) {  
  18.         return clearXss(super.getParameter(name));  
  19.     }  
  20.   
  21.     @Override  
  22.     public String getHeader(String name) {  
  23.         return clearXss(super.getHeader(name));  
  24.     }  
  25.   
  26.     @Override  
  27.     public String[] getParameterValues(String name) {  
  28.         String[] values = super.getParameterValues(name);  
  29.         if (values == null) {  
  30.             return null;  
  31.         }  
  32.         String[] newValues = new String[values.length];  
  33.   
  34.         for (int i = 0; i < values.length; i++) {  
  35.             newValues[i] = clearXss(values[i]);  
  36.         }  
  37.   
  38.         return newValues;  
  39.     }  
  40.   
  41.     /** 
  42.      * 处理字符转义 
  43.      *  
  44.      * @param value 
  45.      * @return 
  46.      */  
  47.     private String clearXss(String value) {  
  48.         if (value == null || "".equals(value)) {  
  49.             return value;  
  50.         }  
  51.         value = value.replaceAll("<""<").replaceAll(">"">");  
  52.         value = value.replaceAll("\\(""(").replace("\\)"")");  
  53.         value = value.replaceAll("'""'");  
  54.         value = value.replaceAll("eval\\((.*)\\)""");  
  55.         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",  
  56.                 "\"\"");  
  57.         value = value.replace("script""");  
  58.         return value;  
  59.     }  
  60.   
  61. }  


4.当然喽,此处多说一句,在装饰类中不仅可以拦截XSS脚本攻击,还可以将请求参数中的空格去掉,这样就不用在每一个action中都要去掉提交参数值的前后空格了,至于Injection Flows等sql注入的问题也可以一概解决了


转载:http://blog.csdn.net/woniumenga/article/details/47323829

zougangx
关注
专栏目录
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1618
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目的计算机安全漏洞。 1、严重性:危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
XSS跨站点脚本攻击拦截
weixin_34347651的博客
04-28 354
2019独角兽企业重金招聘Python工程师标准>>> ...
过滤器Filter
最新发布
yrc1314的博客
09-25 826
通过浏览器的开发者工具,我们可以看到在后续的请求当,都会在请求头携带JWT令牌到服务端,而服务端需要统一拦截所有的请求,从而判断是否携带的有合法的JWT令牌。那怎么样来统一拦截到所有的请求校验令牌的有效性呢?
拦截XSS攻击
qq_29086005的博客
01-02 686
话不多说直接上代码 @Configuration public class XssConfiguration { /** * 描述 : xssObjectMapper * * @param builder builder * @return xssObjectMapper */ @SuppressWarnings("Spring...
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 739
过滤器拦截
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
WEB漏洞篇——跨站脚本攻击XSS
m0_56634355的博客
06-05 4775
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
预防XSS攻击和SQL注入XssFilter
05-19
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
java 过滤器filter防sql注入的实现代码
09-01
为了防止这种攻击,开发者通常会使用过滤器Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现防止SQL注入的功能。 首先,我们需要创建一个实现了`javax...
xss跨站点脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2600
前段时间,博主在帮忙朋友给一个国营单位做的一个项目,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 524
为什么80%的码农都做不了架构师?>>> ...
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1766
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2409
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击指攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
如何绕过大写过滤器实现XSS攻击
NOSEC2019的博客
10-15 1216
虽然我们不是在安全公司工作,但喜欢参加Hackerone上的漏洞悬赏项目,喜欢寻找漏洞。 而最近发现的漏洞让我感觉javascript代码的注入漏洞的确会让人防不胜防。 我们在目标网站上找到了一个和XSS有关的漏洞,其网页涉及到某种谷歌分析代码,可通过URL进行XSS攻击。 http://website.com/dir/subdir 以上URL的后半部分会直接出现在javascript代...
XSS防脚本注入的过滤器
MyDriverC
10-09 1067
XSS又叫CSS (CrossSite Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性. 我们这里只是一个简单的例子,不全,我们在springmvc做一个小的demo, 1.web.xm
跨站脚本攻击(XSS)详解
Karka_的博客
01-02 1309
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面执行,弹出框显示/xss/。
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值