java防止XSS夸张脚本攻击

最新推荐文章于 2023-12-18 19:24:18 发布
最新推荐文章于 2023-12-18 19:24:18 发布
阅读量738 收藏
点赞数
分类专栏: java基础 文章标签: 脚本攻击 XSS java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/MengDiL_yl/article/details/90756707
版权
通过AOP全局处理请求,避免使用@RequestBody导致无法过滤的问题,重写Servlet的getInputStream方法,从ServletRequest获取请求体,从而加强XSS攻击防护。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先我们需要将所有的请求过滤,使用AOP对每个请求做处理,在使用@RequestBody注解的时候,其框架底层调用了getInputStream()方法,因此我们需要重写该方法

获取请求体,在方法参数中加入ServletRequest参数,(纯手写不易,如有写错的字母请留意)

public static String getBodyString(ServletRequest request){
    StringBuffer sb = new StringBuffer();
    InputStream inputStream = null;
    BufferedReader reader = null;
    try{
        inputStream = request.getInputStream();
        reader = new BufferedReader(new InputStreamReader(inputStream,Charset.forName("UTF-8")));
        String line = "";
    while((line = reader.readLine())!=null){
        sb.append(line);
}
}catch(IOException e){
e.printStackTeace();
}finally{
    if(inputStream != null){
        try{
            inputStream.close();
}catch(IOException e){e.printStackTeace();}
}if(reader != null){
    try{
        reader.close();
        }catch(IOException e){e.printStackTeace();}
}
}
return sb.toString();
}

重写getInputStream()方法:

@Override
public ServletInputStream getInputStream() throws IOException{
    String body = 上面的方法(this.getRequest);//this.getRequest该方法为该类继承HttpServletRequestWrapper类中方法
    ServletInputStream inputStream = null;
    if(StringUtils.isNotEmpty(body)){
        if(isJsonStr(body)){//判断body内容是不是json,该方法自行百度,手写确实较累见谅
            JSON jsonObject = (JSON) JSON.parse(body);
            jsonExec(jsonObject);
            body = jsonObject.toJSONString();
        }else{
            body = cleanXSS(body);//写一个方法,将字符串里面的js脚本全部用""替换,例如"<"、"script"等,全部用replaceAll替换""即可        
    }
        inputStream = new PostServletInputStream(body);
    }
    return inputStream;
}

//对jsonArray和jsonObject做递归处理
private void jsonExec(Object obj){
    if(obj instanceof JSONObject){
        cleanXSSForJsonStr((JSONObject) obj);//对json数据进行处理,取出来再用map存
    }else if(obj instanceof JSONArray){
        JSONArray jsonArray = (JSONArray) obj;
        jsonArray.forEach(array -> {
            if(array instanceof JSONObject || array instanceof JSONArray){
            jsonExec(array);
        }else{
            int index = jsonArray.indexOf(array);
            jsonArray.set(index,cleanXSS(String.valueOf(array)));//同理,取出来用map存
        }
    });

}
}

 

 

 

 

如何使用Kali进行信息收集?
hack0919的博客
05-28 2627
信息的收集决定着渗透的成功与否
CSRF知识总结
hackzkaq的博客
09-15 861
更多渗透技能 ,公众号:渗透师老A 一.CSRF基础知识 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站, 在第三方网站中,向被攻击网站发送跨站请求。 利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的 csrf与xss区别 XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。 它允许恶意用户将代码注入到网页上
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
Java中的跨站脚本攻击XSS)处理技术
最新发布
Oaklkm的博客
12-18 2216
跨站脚本攻击XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
javaweb——解决XSS跨站脚本攻击的方法
热门推荐
两只橙的博客
03-20 1万+
1.编写一个过滤器处理转义字符,防止SQL注入package com.xinrui.flower.filter;import java.io.IOException;import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
22、resful接口开发和过滤器(条件查询)
panjunxiao的博客
09-15 1388
现在在工作当中,逐渐多的出现不使用页面展示渲染展示数据,直接使用数据接口,这样的好处: 1、首先可以实现动静分离。将数据库的查询操作和页面渲染彻底分开。 2、网站可以支持脚本批量开发。 restful简答介绍; restful必须是要支持 POST 、PUT 、GET 、DELETE 、OPSITION 等原本HTTP协议的请求方法,而且URL必须符合规范。 传统的请求模式和REST模式的请求模式...
PHP+Mysql实现毒鸡汤生成器源码解析
- XSS攻击防护:确保对用户输入进行适当的编码,以防止跨站脚本攻击。 - 输入验证:确保所有的数据输入都符合预期的格式,防止非法数据破坏应用逻辑。 6. **源码的使用和部署**: - 了解如何从压缩包中解压源码...
编程语言安全性排行榜:Ruby 最佳,C 语言漏洞最多
weixin_43932460的博客
03-26 647
我们经常会听到这样的声音:“XX 语言比 XX 语言更安全。”其实,编程语言的安全性也取决于多种因素,为了避免引起歧义,我们先来阐述一下评判方法。 本文中关于安全性的评判标准是基于 Whitesource 的综合数据库,该数据库汇集了来自多个来源的开源漏洞信息,如国家漏洞数据库(NVD)、安全咨询、Github 问题跟踪程序和流行的开源项目问题跟踪程序。 海风教育在线辅导0元一对一试听课等你来领取...
使用了@RequestBody, 再使用request.getInputStream(),报 IOException :stream close;
fsdf8sad7的博客
03-21 3768
原因:spring 先使用 InputStream stream = request.getInputStream(), 将数据解析放到被@RequestBody注解的对象上面。 这是后stream 已经读取完毕, read()已经指向到了数据的末尾 ,相当于这个stream已经失效了,所以spring顺手关闭了这个流。 网上有很多解决办法,根据每个人实际的情况不同,解决办法也不同。 由于我当...
JAVA后端防止XSS攻击(SQL注入、HTML、SCRIPT)基础方法
Codeyi的博客
09-11 1万+
今天在工作中发现自己开发的系统存在XSS漏洞,特写此文章记录解决方案,话不多说截止开车。 防止XSS攻击我们需要做的除了在硬件层面(防火墙、IP白名单)验证外,后端代码也需要做相应的处理,最简单直接的方式添加Filter过滤器。 /** * @Project : codeyi-web * @Package Name : com.codeyi.common.xss * @Company *...
文本预处理之判断是否包含非法字符或非英文字符(Java)
qy20115549的博客
05-25 3815
非英文字符删除 下面的代码用来去除非英文字符。例如将汉字、数字等字符全部去除 public static String isEnglishWord(String[] authors) { ArrayList<String> words = new ArrayList<>(); FileUtils.getStringArrList(authors,words); ...
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9363
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
java防止跨站脚本攻击_java后台防止XSS脚本攻击
weixin_34184847的博客
02-16 425
package com.ideatech.common.util;import java.util.regex.Pattern;//具体过滤关键字符public class XSSUtil {private static Pattern[] patterns = new Pattern[]{// Script fragmentsPattern.compile("(.*?)", Pattern.CA...
Java防止XSS攻击
Zsigner的博客
06-22 3444
转自:https://www.cnblogs.com/myyBlog/p/8890365.html 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws...
SSM传统框架使用Filter方式解决Xss攻击,支持指定请求、指定参数进行处理
泯灭于众生,高歌于孤夜!
11-25 1495
创建拦截器 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.ArrayList; import java.util.List; public class XssFilter implements Filter...
XSS注入以及无操作权限返回的BaseController
bailaoshi666的博客
04-23 336
1.所有的控制器继承这个类 2.代码 public class BaseController { @Autowired private UserService userService; // @InitBinder // public void initBinder(WebDataBinder binder) { // /** // ...
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值