JSP过滤器防止Xss漏洞

最新推荐文章于 2024-03-06 18:45:07 发布
最新推荐文章于 2024-03-06 18:45:07 发布
阅读量1.2w 收藏 9
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Web 前端 JAVA沉思录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/smile_7x/article/details/19169467
本文介绍了一种利用Servlet过滤器机制,通过定制XssFilter,将request请求代理,覆盖getParameter和getHeader方法,将参数名和参数值中的指定半角字符强制替换成全角字符,从而在业务层处理时避免XSS漏洞和SQL注入,提高安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

   在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。

那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。

XssFilter.java

package filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

public void init(FilterConfig config) throws ServletException {
}

public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException 
{
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}

public void destroy() {
}
}







XssHttpServletRequestWrapper.java




package filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
}

/**
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}

/**
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
* getHeaderNames 也可能需要覆盖
*/
@Override
public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}

/**
* 将容易引起xss漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static String xssEncode(String s) {
if (s == null || s.isEmpty()) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '>':
sb.append('>');//全角大于号
break;
case '<':
sb.append('<');//全角小于号
break;
case '\'':
sb.append('‘');//全角单引号
break;
case '\"':
sb.append('“');//全角双引号
break;
case '&':
sb.append('&');//全角
break;
case '\\':
sb.append('\');//全角斜线
break;
case '#':
sb.append('#');//全角井号
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}

/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if(req instanceof XssHttpServletRequestWrapper){
return ((XssHttpServletRequestWrapper)req).getOrgRequest();
}

return req;
}
}






在web.xml中添加




 <filter>
<filter-name>xssFilter</filter-name>
<filter-class>filter.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>xssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>







                

        

    

    
  



    



                



	

		

			

				
					
JavaWeb之防止XSS攻击

				
			

			

				

					qq_37630321的博客
				

				

					03-07
					
					2871
					
				

			

		

		

			
				
XSS攻击
XSS攻击,言而言之,就是脚本攻击,下面向大家展示一下脚本攻击

使用过滤器来解决XSS攻击

代码:
1、过滤器
/**
 * 解决XSS攻击过滤器
 * @author 紫炎易霄
 */
public class XssFilter implements Filter{
	@Override
	public void init(FilterConfig filterConfig)...

			
		

	



                

            
              



	

		

			

				
					
JSP过滤器防止Xss漏洞的实现方法(分享)

				
			

			

				

					10-19
				

			

		

		

			
				
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家个参考。一起跟随小编过来看看吧

			
		

	



              


  
              

                


	

		

			

				
					
jsp 前端防止 xss 注入攻击

				
			

			

				

					玩家六的专栏
				

				

					04-19
					
					8901
					
				

			

		

		

			
				
对输出到 html 上的值过滤操作,主要可以使用如下两种方式:HtmlEncode方式:var HtmlEncode = function(str){
    var hex = new Array('0','1','2','3','4','5','6','7','8','9','a','b','c','d','e','f');
    var preescape = str;
    var e

			
		

	





	

		

			

				
					
Java Web使用过滤器防止Xss攻击,解决Xss漏洞    防止解决XSS注入攻击过滤器filter XssHttpServletRequestWrapper

				
			

			

				

					飞熊的博客
				

				

					10-11
					
					2700
					
				

			

		

		

			
				
前段时间,博主在帮忙朋友给一个国营单位的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。


package com.yl.filter;

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
i

			
		

	



		

			
		



	

		

			

				
					
jsp防止xss攻击

				
			

			

				

					lilovfly的专栏
				

				

					08-04
					
					6738
					
				

			

		

		

			
				
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下:
 ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。

			
		

	





	

		

			

				
					
JSP使用过滤器防止Xss漏洞

				
			

			

				

					10-17
				

			

		

		

			
				
本文将详细介绍如何使用过滤器(Filter)在JSP中有效地防止XSS攻击。  首先,我们需要了解XSS攻击的基本原理。当用户在Web表单中输入数据,这些数据经适当的验证和编码直接显示在页面上时,攻击者可以通过注入恶意...

			
		

	





	

		

			

				
					
JSP过滤器防止Xss漏洞的实现方法(分享).docx

				
			

			

				

					01-20
				

			

		

		

			
				
JSP过滤器提供了一种更为统一和高效的方式来解决这个问题。在上述例子中,我们创建了一个名为`XssFilter`的Servlet过滤器,它实现了`javax.servlet.Filter`接口。这个过滤器在请求到达业务层之前拦截它们,并使用`...

			
		

	





	

		

			

				
					
JSP spring boot / cloud 使用filter防止XSS

				
			

			

				

					01-08
				

			

		

		

			
				
JSP spring boot / cloud 使用filter防止XSS
一.前言
XSS(跨站脚本攻击)
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
二.思路
基于filter拦截,将特殊字符替换为html转意字符 (如: “<” 转意为 “<“) , 需要拦截的点如下:
  请求头 requestHeader
  请

			
		

	





	

		

			

				
					
jsp防止xss转义方法

				
			

			

				

					huyuminNo1的专栏
				

				

					08-19
					
					2262
					
				

			

		

		

			
				
输入的参数,必须经过转码才能输出到页面上,如果不经转换而原样直接输出到页面上,则会产生XSS漏洞。 比如:在输入框,输入姓名“张三confirm(123)” 如果直接在页面上输出的话,就会弹窗显示123,其实就是执行了用户设定的js操作了,这就产生了xss漏洞xss漏洞很好预防,只要转码就行了。 预防方式,只要输出时处理: (1)jtsl:&lt;c:out value="${name}" ...

			
		

	





	

		

			

				
					
javascript过滤XSS

				
			

			

				

					05-06
				

			

		

		

			
				
用javascript写的过滤XSS代码,危险代码被转义而不是被删除.
根目录下js-xss-master/dist/test.html是例子.

			
		

	





	

		

			

				
					
jsp自定义标签过滤XSS安全字符

				
			

			

				

					jianjun2114的博客
				

				

					04-18
					
					961
					
				

			

		

		

			
				
1.创建自定义标签类


public class XssTag extends SimpleTagSupport {

   @Override
    public void doTag() throws JspException, IOException {
        
    }

    
}


2.创建xss.tld文件,并注册标签类


<?xml version="1...

			
		

	





	

		

			

				
					
jsp过滤非法字符输入,防止XSS跨站攻击

				
			

			

				

					zhangzhifei1991的专栏
				

				

					10-20
					
					1462
					
				

			

		

		

			
				
一。写一个过滤器
代码如下:
package com.liufeng.sys.filter;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.Filter

			
		

	





	

		

			

				
					
jsp过滤非法字符输入 防止XSS跨站攻击

				
			

			

				

					Love~jiaojiao的博客
				

				

					04-12
					
					6406
					
				

			

		

		

			
				
一。写一个过滤器

 

代码如下:

 

package com.liufeng.sys.filter;

 

import java.io.IOException;

import java.io.PrintWriter;

 

import javax.servlet.Filter;

import javax.servlet.FilterCha

			
		

	





	

		

			

				
					
如何防止XSS攻击

				
			

			

				

					qq_32907491的博客
				

				

					08-08
					
					626
					
				

			

		

		

			
				
XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。

			
		

	





	

		

			

				
					
前端安全系列(一):如何防止XSS攻击

				
			

			

				

					Innocence_0的博客
				

				

					12-31
					
					1966
					
				

			

		

		

			
				
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。

			
		

	





	

		

			

				
					
基于Servlet的web应用如何防止XSS攻击

				
			

			

				

					Cloud-Future的博客
				

				

					07-31
					
					1314
					
				

			

		

		

			
				
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。
本文主要介绍了基于Servlet的web应用如何防止XSS攻击。
1. XSS漏洞的类型


反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面内容),一般容易出现在搜索页面。


存储型XSS:<持久化> 代码是存储在服务

			
		

	





	

		

			

				
					
xss靶场和jsp语句学习

				
			

			

				

					2301_80217595的博客
				

				

					03-06
					
					1147
					
				

			

		

		

			
				
XSS注入漏洞又称为"跨站脚本攻击(Cross Site Scripting)",为了不和层叠样式表(Cascading Style Sheets,CSS)混淆,所以将跨站脚本攻击缩写为XSSXSS注入攻击的原理其实和SQL注入攻击的原理很相似,攻击者将恶意的Script代码插入到网页中,当正常用户浏览该页面时,被嵌入的恶意Script代码就会被执行,从而达到恶意攻击正常用户的目的。(1)反射型XSS攻击者输入可控数据到HTML页面中(通常是url),所以输入的数据没有被存储,只能在单次请求中生效。

			
		

	





	

		

			

				
					
XSS漏洞

					
最新发布

				
			

			

				

					08-08
				

			

		

		

			
				
### XSS漏洞原理

XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web应用程序安全漏洞攻击者通过在网页中注入恶意脚本,使得其他用户在浏览该页面时,浏览器会执行这些恶意代码。由于这些脚本是在受害者的浏览器中执行的,因此它们可以访问用户的敏感信息(如Cookie、Session ID等),篡改网页内容,或者将用户重定向到恶意网站。攻击通常利用了Web应用程序对用户输入内容缺乏充分过滤或转义的漏洞[^1]。

XSS漏洞主要分为以下三种类型:

1. **反射型XSS**:攻击者通过诱导用户点击一个包含恶意脚本的链接,使脚本在用户浏览器中执行。这种类型的XSS通常不会存储在目标服务器上,而是通过URL参数传递恶意代码[^1]。
2. **存储型XSS**:恶意脚本被存储在服务器上(如数据库、评论区等),当其他用户访问包含这些脚本的页面时,脚本会在他们的浏览器中执行。这种类型的XSS危害更大,因为它影响所有访问该页面用户。
3. **DOM型XSS**:这种类型的XSS发生在客户端JavaScript直接操作文档对象模型(DOM)而不进行适当的安全检查时。恶意代码通过修改页面的DOM来触发攻击。

### XSS防护方法

为了有效防止XSS攻击,需要在Web应用程序的不同层面对输入和输出进行严格控制。以下是常见的防护措施:

1. **对输入进行过滤和转义**:
   - 对用户输入的内容进行严格的校验,过滤掉可能包含恶意代码的字符(如`<`, `>`, `&`, `"`等)。
   - 使用HTML实体编码(如将`<`转义为`<`,`>`转义为`>`)来确保用户输入的内容不会被解析为HTML或JavaScript代码。

2. **对输出进行上下文相关的编码**:
   - 根据输出的位置(HTML、JavaScript、CSS、URL等)采用不同的编码方式。例如,在HTML中使用HTML实体编码,在JavaScript中使用JavaScript转义函数。
   - 使用现成的库或框架(如OWASP的Encoder库)来确保输出编码的安全性[^2]。

3. **启用HttpOnly和Secure标志**:
   - 为Cookie设置`HttpOnly`标志,防止JavaScript访问敏感Cookie信息。
   - 为Cookie设置`Secure`标志,确保Cookie仅通过HTTPS传输[^3]。

4. **使用内容安全策略(CSP)**:
   - CSP是一种HTTP响应头,可以限制浏览器只加载指定来源的脚本,从而防止内联脚本和外部恶意脚本的执行。
   - 通过配置CSP策略,可以阻止经许可的脚本执行,显著降低XSS攻击的成功率[^3]。

5. **避免内联JavaScript**:
   - 尽量避免在HTML中直接使用内联JavaScript(如`onclick`, `onload`等事件处理程序),改用外部JavaScript文件,并通过事件监听器绑定行为[^3]。

6. **使用Web应用防火墙(WAF)**:
   - 配置WAF来检测和拦截常见的XSS攻击模式。例如,ModSecurity是一个常用的开源WAF,能够有效过滤恶意请求[^3]。

### 示例

#### 示例1:反射型XSS攻击
假设一个Web页面通过URL参数显示用户的搜索词,代码如下:
```html
<h3>您搜索的关键词是:<%= request.getParameter("keyword") %></h3>
```
如果用户访问的URL是:
```
http://example.com/search?keyword=<script>alert('XSS')</script>
```
攻击者注入的脚本将在页面中执行,导致XSS漏洞。

#### 示例2:防护措施实现
为了防止上述XSS漏洞,可以对输入进行HTML实体编码。例如,在Java中使用JSTL的`fn:escapeXml`函数:
```jsp
<%@ taglib prefix="fn" uri="http://java.sun.com/jsp/jstl/functions" %>
<h3>您搜索的关键词是:<%= fn:escapeXml(request.getParameter("keyword")) %></h3>
```
这样,用户输入的`<script>`标签将被转义为`<script>`,从而不会被浏览器解析为JavaScript代码。

#### 示例3:使用HttpOnly和Secure标志
在设置Cookie时,添加`HttpOnly`和`Secure`标志:
```java
Cookie cookie = new Cookie("sessionid", "abc123");
cookie.setHttpOnly(true);
cookie.setSecure(true);
response.addCookie(cookie);
```

#### 示例4:配置内容安全策略(CSP)
在HTTP响应头中添加CSP策略,限制脚本来源:
```http
Content-Security-Policy: script-src 'self';
```
该策略仅允许加载同源的JavaScript脚本,阻止内联脚本和外部恶意脚本的执行。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值