XSS拦截

最新推荐文章于 2024-12-11 13:51:00 发布
原创 最新推荐文章于 2024-12-11 13:51:00 发布 · 700 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #java

web.xml配置:

  <filter>
    <filter-name>XssSqlFilter</filter-name>
    <filter-class>具体处理类</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
  </filter-mapping>

具体实现代码

public class XSSFilter implements Filter {
    private FilterConfig filterConfig = null;

    @Override
    public void destroy() {
        this.setFilterConfig(null);
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper( (HttpServletRequest) request), response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.setFilterConfig(filterConfig);
    }

    public FilterConfig getFilterConfig() {
        return filterConfig;
    }

    public void setFilterConfig(FilterConfig filterConfig) {
        this.filterConfig = filterConfig;
    }
}
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (null == values) {
            return null;
        }

        String[] encodedValues = new String[values.length];

        for (int i = 0; i < values.length; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        if (null == value) {
            return null;
        }

        return cleanXSS(value);
    }

    @Override
    public String getHeader(String header) {
        String value = super.getHeader(header);

        if (null == value) {
            return null;
        }

        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        return HtmlUtils.htmlEscape(value);
    }
}

HtmlUtils.htmlUnescape(input): 可以将替换的字符串转换为未替换前的字符串

拦截XSS攻击
qq_29086005的博客
01-02 758
话不多说直接上代码 @Configuration public class XssConfiguration { /** * 描述 : xssObjectMapper * * @param builder builder * @return xssObjectMapper */ @SuppressWarnings("Spring...
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Java中使用Springmvc拦截拦截XSS攻击(XSS拦截
大漠孤烟
04-08 1万+
1.定义拦截器(设置要拦截的方法或者不拦截的)2.拦截器写法(这里用了两个,一个拦截html标签,一个拦截html事件属性)IllegalCharInterceptor拦截器写法如下:其中HTMLSprit.delHTMLTag()方法如下:JqqXssInterceptor拦截器写法如下:其中枚举类写法如下:...
java XSS漏洞过滤
xieedeni的博客
01-30 6394
利用 Javaxssprotect(Open Source Library)对出现 xss 漏洞的参数进行过滤。 项目web.xml配置过滤器: &lt;!--增加filter--&gt; &lt;!-- 解决xss漏洞 --&gt; &lt;filter&gt; &lt;filter-name&gt;xssAndSqlFilter&lt;/filter-name&gt; &...
spring boot xss拦截+OncePerRequestFilter+application/json
碎花爱洋裙
05-19 973
spring-boot-xss 版本 jdk1.8 spring boot 2.3.0 概念 XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 实例 将该字段存入数据库之后,当前端铺入div的时候,会出现弹窗 <script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script> 解决 可以通过Jsoup把xss恶性攻击的过滤出去 参考:spri
Java Xss漏洞拦截
chenqqabcdchenqqabcd的专栏
05-29 922
xssJava,filter
JSP Struts过滤xss攻击的解决办法
01-08
JSP Struts过滤xss攻击的解决办法 本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 配置struts.xml extends=struts-default,> ...-- 定义xss拦截器 --> 此处填写拦截器类名></interceptor>
java输入框输入%,被xss拦截原因
04-03
嗯,用户问的是Java输入框中输入%被XSS拦截的原因。首先,我需要理解XSS拦截的基本原理。XSS攻击通常涉及注入恶意脚本,所以应用会对用户输入进行过滤或转义。而用户提到输入%被拦截,这可能和URL编码或双重编码有关...
防sql注入和xss攻击, springmv拦截
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
XSS脚本注入拦截框架 antisamy
04-06
XSS脚本注入拦截框架 antisamy
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6828
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
[Spring Cloud] (9)XSS拦截
让人人都会写程序
05-24 952
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
xss过滤拦截
癸酉金鸡的博客
04-30 1291
SpringBoot过滤器过滤get及post请求中的XSS和SQL注入 (推荐) package com.orchard.pomeloweb.config; import com.google.common.collect.Maps; import com.orchard.common.filter.XssFilter; import org.springframework.boot.web....
绕过XSS过滤规则 : Web渗透测试高级XSS教程
xysoul的专栏
04-17 1928
相信大家在做渗透测试的时候都有过这样的经历,明明一个XSS的漏洞,但是却有XSS过滤规则或者WAF保护导致我们不能成功利用,比如我们输入alert("hi"),会被转换为alert(>xss detected,这样的话我们的XSS就不生效了,下面就教大家几种简单的绕过XSS的方法: 1、绕过 magic_quotes_gpc magic_quotes_gpc=ON是php中的安
七、在拦截器中进行XSS与SQL注入拦截
CN華少的博客
11-05 505
本次开发环境为: 系统:Windows 10 10.0 JDK:JRE: 1.8.0_152-release-1136-b43 amd64 JVM: OpenJDK 64-Bit Server VM by JetBrains s.r.o 开发工具:IntelliJ IDEA 2018.1.8 springboot框架:2.2.0 直接上干货,不多废话,相关问题欢迎在评论区指教。 1、首先准备本次会...
java拦截器做的xxs拦截
夜空繁星VV
12-11 453
【代码】java拦截器做的xxs拦截
asp的xss拦截
最新发布
04-19
### ASP.NET XSS防护机制及其实现方式 #### 1. 输入验证与清理 为了有效防御跨站脚本攻击 (XSS),输入数据的验证和清理是非常重要的一步。可以通过 `HttpUtility.HtmlEncode` 方法对用户的输入进行编码,从而防止恶意脚本被注入到页面中。 以下是具体的代码示例: ```csharp string userInput = "<script>alert('XSS');</script>"; string encodedInput = HttpUtility.HtmlEncode(userInput); Response.Write(encodedInput); ``` 此代码片段展示了如何将潜在危险的 HTML 字符串转换为无害的形式[^1]。 #### 2. 使用内置功能 Request Validation ASP.NET 提供了一个名为 **Request Validation** 的特性,默认情况下会自动启用。该功能会在服务器端检测任何可能包含有害标记的内容,并阻止它们进入应用逻辑层。 如果需要手动控制这一行为,则可以在 Web.config 文件中设置如下选项: ```xml <configuration> <system.web> <httpRuntime requestValidationMode="4.5" /> </system.web> </configuration> ``` 同时,在某些特殊场景下允许特定类型的未过滤输入时,可针对单个页面禁用请求验证: ```aspx-csharp <%@ Page ValidateRequest="false" %> ``` 但是需要注意的是,当关闭全局或者局部范围内的请求校验之后,开发者必须自行负责确保所有接收的数据都是经过适当处理过的[^2]。 #### 3. 输出编码 除了在接收到客户端提交的信息后立即对其进行净化之外,在向浏览器发送响应之前再次执行必要的转义操作同样重要。这通常涉及到对于动态生成部分采用合适的编码技术,比如 JavaScript 或者 URL 编码等等。 例如,在 Razor 视图引擎里渲染变量值的时候,默认已经包含了基本的安全保障措施——即会对字符串中的敏感字符做自动替换;然而如果我们显式调用了 `.ToString()` 方法或者其他类似的手段绕过了默认保护机制的话,就有可能重新暴露风险点出来。因此建议始终依赖框架本身所提供的工具完成最终呈现工作而不是尝试自己构建解决方案。 ```razor @Html.Raw(HttpUtility.JavaScriptStringEncode(Model.SomeProperty)) ``` 上面这段 Razor 模板演示了怎样利用辅助函数安全地传递 JSON 数据给前端脚本使用的同时保留原有的语义结构不变[^1]。 --- ### 总结 综上所述,通过严格的输入检查、充分利用平台自带的功能以及合理安排输出阶段的各项准备工作三管齐下的办法能够极大地降低遭受跨站点脚本入侵的可能性。当然实际项目开发过程中还应该考虑更多方面的因素并遵循最佳实践指南不断优化整体安全性设计。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值