java解决PDF中的XSS攻击

最新推荐文章于 2025-02-06 14:31:46 发布
最新推荐文章于 2025-02-06 14:31:46 发布
阅读量1.3k 收藏 3
点赞数 1
文章标签: java pdf xss 开发语言 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwtwbb/article/details/136230176
版权
本文介绍了如何在Java中使用ApachePDFBox库解析PDF文件,并实现文件上传的安全性检查,包括验证PDF是否包含JavaScript脚本,以及将File转换为MultipartFile的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、依赖

<dependency>
      <groupId>org.apache.pdfbox</groupId>
      <artifactId>pdfbox</artifactId>
      <version>2.0.26</version>
</dependency>

2、

public String uploadFile(MultipartFile file) throws Exception
    {
        if(file.getContentType().equals(MediaType.APPLICATION_PDF_VALUE) &&
                FileUtils.containsJavaScript(FileUtils.multipartFileToFile(file))){
            throw new CustomException("所上传文件可能具有XSS攻击,请重新上传安全文件!");
        }
        String name = FileUploadUtils.upload(localFilePath, file);
        return name;
    }

   /**
     * File转MultipartFile
     * @param file 文件对象
     * @return Multipart文件对象
     */
    public static File multipartFileToFile(MultipartFile mulFile) throws IOException {
        InputStream ins = mulFile.getInputStream();
        String fileName = mulFile.getOriginalFilename();
        String prefix = getFileNameNoSuffix(fileName) + UUID.randomUUID().toString();
        String suffix = "." + getSuffixNameName(fileName);
        File toFile = File.createTempFile(prefix, suffix);
        OutputStream os = new FileOutputStream(toFile);
        int bytesRead = 0;
        byte[] buffer = new byte[8192];
        while ((bytesRead = ins.read(buffer, 0, 8192)) != -1) {
            os.write(buffer, 0, bytesRead);
        }
        os.close();
        ins.close();
        return toFile;
    }

   /**
     * 获取不带扩展名的文件名
     */
    public static String getFileNameNoSuffix(String filename) {
        if ((filename != null) && (filename.length() > 0)) {
            int dot = filename.lastIndexOf('.');
            if ((dot > -1) && (dot < (filename.length()))) {
                return filename.substring(0, dot);
            }
        }
        return filename;
    }

    /**
     * 获取文件扩展名
     */
    public static String getSuffixNameName(String filename) {
        if ((filename != null) && (filename.length() > 0)) {
            int dot = filename.lastIndexOf('.');
            if ((dot > -1) && (dot < (filename.length() - 1))) {
                return filename.substring(dot + 1);
            }
        }
        return filename;
    }

    /**
     * 校验pdf文件是否包含js脚本
     **/
    public static boolean containsJavaScript(File file) throws IOException {
        RandomAccessFile is = new RandomAccessFile(file, "r");
        try{
            PDFParser parser = new PDFParser(is);
            parser.parse();
            PDDocument doc = parser.getPDDocument();
            String CosName = doc.getDocument().getTrailer().toString();
            if(CosName.contains("COSName{JS}")){
                return true;
            }
        }catch (Exception e){
            System.out.println("PDF效验异常:"+e.getMessage());
        }finally {
            is.close();
        }
        return false;
    }
    /**
     * File转MultipartFile
     * @param file 文件对象
     * @return Multipart文件对象
     */
    public static MultipartFile getMultipartFile(File file) {
        FileItem item = new DiskFileItemFactory().createItem("file"
                , MediaType.MULTIPART_FORM_DATA_VALUE
                , true
                , file.getName());
        try (InputStream input = new FileInputStream(file);
             OutputStream os = item.getOutputStream()) {
            // 流转移
            IOUtils.copy(input, os);
        } catch (Exception e) {
            throw new IllegalArgumentException("Invalid file: " + e, e);
        }

        return new CommonsMultipartFile(item);
    }
PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
起而行动,方能平定心中的惶恐
04-07 1万+
Java项目-上传文件-解决PDF文件XSS攻击
javaXSS过滤处理过滤器
深望的博客
11-06 3130
防止XSS攻击的过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
解决上传文件的PDF-XSS攻击
李洪亮的博客
07-22 2076
【代码】解决上传文件的PDF-XSS攻击
xss漏洞如何修复(非常详细),零基础入门到精通,看这一篇就够了_xss漏洞修复
最新发布
Galaxy_0的博客
02-06 1644
修复XSS漏洞的方法包括:对用户输入进行过滤和转义,使用CSP策略限制外部资源的加载,以及使用HttpOnly属性保护Cookie等。XSS(跨站脚本攻击)漏洞是一种常见的网络安全问题,它允许攻击者在受害者的浏览器中注入恶意脚本,这些脚本可以窃取用户的敏感信息,如登录凭证、信用卡信息等,为了保护网站和用户免受XSS攻击,我们需要采取一些措施来修复这些漏洞,本文将详细介绍如何修复XSS漏洞。
JAVA代码审计之XSS漏洞
2401_84434570的博客
05-15 442
1.)objectview对象 可以利用反射机制动态的加载classid的类名,且当实例化对象归属于Component的子类或实现类,且类型为string类型以及为public修饰符修饰时,可以进行控制setxxx方法对值进行控制。但是结合其他漏洞,就可以达到1click实现RCE漏洞的效果,如宝塔rce,小皮面板rce,cs rce,蚁剑反制,goby反制均为如此。漏洞原理:关于XSS漏洞的漏洞原理核心其实没啥好说的,网上一查一大堆。其实XSS的漏洞本身单独从一个漏洞的角度而要,利用效果其实不会特别好。
java写下载pdf文件,但是浏览器不是下载而是预览,并且下载发票名称既要防止XSS注入,也要中文不乱码,怎么解决
m0_47743175的博客
04-12 2642
java写下载pdf文件,但是浏览器不是下载而是预览,并且下载发票名称既要防止XSS注入,也要中文不乱码,怎么解决
关于pdf文件xss攻击问题,配置xssFilter方法
u011071941的博客
12-21 2837
【代码】关于pdf文件xss攻击问题,配置xssFilter方法。
【渗透测试】借助PDF进行XSS漏洞攻击
网络安全从业者的学习笔记
01-26 9668
在平时工作渗透测试一个系统时,常常会遇到文件上传功能点,其中大部分会有白名单或者黑名单机制,很难一句话木马上传成功,而PDF则是被忽略的一个点,可以让测试报告更丰富一些。
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
XSS跨站脚本攻击Java开发中防范的方法
01-09
针对XSS攻击,在Java Web应用开发中可以采取多种措施进行防御,以确保应用程序的安全性。 ##### 输入验证 - **参数过滤**:对用户提交的所有数据进行严格的过滤,防止特殊字符和潜在的恶意脚本注入。 - **编码转换*...
Java防止XSS攻击
u010786200的博客
12-24 6145
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7953
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
Java 防止XSS攻击(Spring boot & Spring 方式)
bad_boy的博客
02-17 1883
——SpringBoot application.properties 开启xss配置 # XSS配置 xss.enabled=true # 不过滤路径, 以逗号分割 xss.excludes=/open/* # 过滤路径, 逗号分割 xss.urlPatterns=/* 过滤器配置 package com.xlj.tools.config; import cn.hutool.core.util.StrUtil; import com.fasterxml.jackson.databind.Obj
java接口防止XSS攻击的常用方法总结
热门推荐
分享传递价值
08-16 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻...
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 5249
上传文件流防XSS
Java中的7种方法,保护你免受XSS攻击
tangjieqing的博客
12-12 1420
Java开发人员可以采用多种方法来防止XSS攻击。通过采取上面介绍的这些预防措施,可以提高应用程序的安全性,并保护用户的数据免受潜在的XSS攻击威胁。
PDF XSS
Restart的博客
01-19 5142
本文转载自https://www.cnblogs.com/xiaozi/p/9951622.html 漏洞测试: 下面,我们介绍如何把 JavaScript 嵌入到 PDF 文档之中。我使用的是迅捷 PDF 编辑器未注册版本 1、启动迅捷 PDF 编辑器打开一个 PDF 文件,或者使用“创建 PDF 文件”功能,通过将其他文档和资源转换为“可移植文档格式”来创建 PDF 文件。 2、单击左侧的“页面”标签,选择与之对应的页面缩略图,然后从选项下拉菜单中选择“页面属性”命令 选择“页面属性”命令 3、在“页面
OpenSSL 信息泄露漏洞(CVE-2016-2183)
01-11
### 关于 OpenSSL CVE-2016-2183 信息泄露漏洞详情 OpenSSL 中存在一个信息泄露漏洞,编号为 CVE-2016-2183。该漏洞源于 OpenSSL 的 CBC 密码模式实现中的错误处理机制不当,在特定条件下可能会导致敏感数据的意外暴露[^1]。 受影响版本包括但不限于: - OpenSSL 1.0.2h 及之前版本 - OpenSSL 1.0.1t 及之前版本 此漏洞可能允许远程攻击者利用精心构建的数据包触发条件竞争状况,从而获取部分解密后的明文内容,进而造成信息泄露风险。 ### 修复方案概述 为了有效解决上述提到的信息泄露问题,官方已发布更新补丁来修正这一缺陷。具体措施如下: #### 更新至最新稳定版 OpenSSL 对于不同分支的支持情况分别为: - 对于 OpenSSL 1.x 版本系列,应升级到至少包含对应修复程序的子版本。 ```bash yum update openssl # CentOS/RHEL 用户适用命令 apt-get install --only-upgrade openssl # Debian/Ubuntu 用户适用命令 ``` #### 手动编译安装(适用于自定义环境) 如果无法直接通过软件源获得最新的安全更新,则可以选择下载并手动编译安装经过修补的新版本。 ```bash wget https://www.openssl.org/source/openssl-<version>.tar.gz tar -xf openssl-<version>.tar.gz cd openssl-<version> ./config no-ssl2 shared zlib-dynamic make depend && make sudo make install ``` 完成以上操作之后,务必重启所有依赖于 OpenSSL 库的服务进程以确保变更生效,并验证新版本是否正常工作。 此外,针对 Windows Server 平台还提供了专用的安全维护工具用于自动化部署和检测过程,能够帮助系统管理员更加快捷方便地实施必要的防护措施[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值