不用过滤器,不用拦截器,java预防xss攻击

最新推荐文章于 2024-08-05 18:56:13 发布
最新推荐文章于 2024-08-05 18:56:13 发布
阅读量322 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cm_pq/article/details/124471166

第一步:创建一个BaseController。

public class BaseController {
    /**
     * 重写方法
     */
    @InitBinder
    public void initBinder(WebDataBinder binder) {
        binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));
    }

第二步,创建所需的StringEscapeEditor类

import org.springframework.web.util.HtmlUtils;
import org.springframework.web.util.JavaScriptUtils;

import java.beans.PropertyEditorSupport;

/**
 * 转义工具类(主要针对xss攻击)
 */
public class StringEscapeEditor extends PropertyEditorSupport {
    private boolean escapeHTML;// 编码HTML


    private boolean escapeJavaScript;// 编码javascript


    public StringEscapeEditor() {

        super();

    }


    public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {

        super();

        this.escapeHTML = escapeHTML;

        this.escapeJavaScript = escapeJavaScript;

    }


    @Override

    public String getAsText() {


        Object value = getValue();

        return value != null ? value.toString() : "";

    }


    @Override

    public void setAsText(String text) throws IllegalArgumentException {


        if (text == null) {

            setValue(null);

        } else {

            String value = text;

            if (escapeHTML) {

                value = HtmlUtils.htmlEscape(value);

            }

            if (escapeJavaScript) {

                value = JavaScriptUtils.javaScriptEscape(value);

            }

            setValue(value);

        }

    }

}

第三步: 其他Controller 继承 BaseController
在这里插入图片描述
知识点以及注意:
1.主要是使用 HtmlUtils.htmlEscape(value)进行转义的.
2.注意BaseController 上没有@controller注解.

基于SpringBoot 和Mybatis设计一套通用的Java基础类,包含BaseEntity、BaseMapper、BaseService、BaseController
横竖撇折点
04-30 381
【代码】基于SpringBoot 和Mybatis设计一套通用的Java基础类,包含BaseEntity、BaseMapper、BaseService、BaseController
Java Xss漏洞拦截
chenqqabcdchenqqabcd的专栏
05-29 880
xssJava,filter
java 防止xss攻击
笨鸟快飞的专栏
10-27 3522
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
java防止xss攻击 过滤_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_42322782的博客
02-17 850
web.xml添加过滤器xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
javaXSS过滤处理过滤器
深望的博客
11-06 3145
防止XSS攻击过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
防止常见XSS 过滤 SQL注入 JAVA过滤器filter(转载)
wb284551926的博客
05-08 641
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入所谓SQL注入,就是通过把SQL命令插入到Web表单提交或...
XSS漏洞分析和防御
1ance's blog
05-03 1223
XSS:跨站脚本攻击(Cross Site Script) 形成原因是:未对用户输入的数据做好过滤,导致HTML页面被注入恶意脚本,从而在用户浏览网页时,被攻击者控制用户浏览器(反射一些用户信息如cookie等给攻击者)。 通常利用方法:XSS漏洞一般是通过php的输出函数将javascript的代码(恶意代码)输出到HTML页面,所以XSS漏洞关键是寻找参数未做过滤的输出函数。 php的常用输出: echo print() print_r() printf() sprintf() var_dump()
xss特殊字符拦截与过滤
04-01
标题《xss特殊字符拦截与过滤》以及描述《滤除content中的危险HTML代码,主要是脚本代码,滚动字幕代码以及脚本事件处理代码》提示我们这个文件内容是关于XSS(跨站脚本攻击)防护的编程实现。XSS攻击是指攻击者通过...
定义一个java全局过滤器,处理xss攻击
猿脑2.0的博客
06-14 497
请注意,这个过滤器只是一个基本的示例,实际的XSS防护可能需要更复杂的策略,包括但不限于使用更全面的清理库、配置HTTP头部以防止某些类型的XSS攻击(如Content Security Policy)等。此外,XSS防护应该是一个多层次的方法,包括客户端和服务器端的验证和清理。在Java中编写一个XSS(跨站脚本攻击过滤器通常涉及创建一个过滤器类,该类会拦截传入的请求和响应,并清理可能包含恶意脚本的内容。方法,以确保所有的输入参数都被清理掉潜在的XSS攻击代码。)来清理字符串,以防止脚本注入。
java web Xss及sql注入过滤器.zip
04-22
1. **过滤器实现**:一个名为`XssSqlFilter`的类,该类实现了`Filter`接口,用于拦截HTTP请求,检查并清理请求参数,防止XSS攻击过滤器的配置通常在`WebSecurityConfig`类中完成,通过`@EnableWebSecurity`注解...
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 790
过滤器拦截器
BaseController.java
04-23
BaseController类,里边包装了编码经常使用的方法,如:获取文件类型、默认205、处理分页,排序参数、封装参数成map、写入文件流到页面响应、处理响应的结果 返回json字符串 并打印日志信息等方法
Java XSS:例子和预防
allway2的博客
07-24 5147
成熟的框架(例如Spring)通常具有安全功能,如果使用得当,可以保护您的应用免受最常见类型的攻击。对于我们的第一个示例,我们将展示可以通过查询参数完成的基本XSS攻击。在简要解释了XSS是什么以及为什么它会对您的应用程序的安全构成如此危险的威胁后,我们这样做了。对于某些类型的数据,使用“允许列表”方法可能是有意义的,其中您有一个可以接受的有效数据列表,而其他所有数据都被拒绝。我们示例中的视图有一个故意的错误,以允许未转义的内容按原样显示。他们只受攻击者的独创性和您的应用程序的漏洞的约束。...
java框架010——Filter(过滤器)
weixin_45084986的博客
10-14 358
一、Filter(过滤器)简介 1、Filter 的基本功能是对 Servlet 容器调用 Servlet 的过程进行拦截,从而在 Servlet 进行响应处理的前后实现一些特殊的功能。 2、在 Servlet API 中定义了三个接口类来开供开发人员编写 Filter 程序:Filter, FilterChain, FilterConfig 3、Filter 程序是一个实现了 Filter 接口的 Java 类,与 Servlet 程序相似,它由 Servlet 容器进行调用和执行 4、Filter 程序
JavaWeb学习记录——baseController的debug
最新发布
qq_51316845的博客
08-05 1363
今天在做JavaWeb日志管理系统时发现,前端5173端口向后端8080端口发送服务时,返回的数据中data为空,以下是debug的学习记录。首先在后端开启了调试模式,结果偶然发现是自己mysql的服务没启(这下尴尬了)。发现自己写的SysUser sysUser = userService.findByUsername(username)没有查询到用户。后来理清了业务逻辑,由于我写了一个合法的用户名,本就该查询不到,因此此处写的是正确的。
一个封装好的BaseController
qq_1259799716的博客
07-27 618
import java.io.File; import java.math.BigDecimal; import java.nio.charset.StandardCharsets; import java.util.ArrayList; import java.util.Date; import java.util.List; import java.util.concurrent.locks.Lock; import javax.servlet.http.HttpServletRequest; imp
JavaWeb】controller包处理
qq_39921135的博客
08-02 294
那么controller层也应该有接口和实现类,我们这里实现的接口就是HttpServlet,也就是间接实现了Servlet接口,但是Servlet是技术接口,而我们再说Controller层接口的时候,一般说的都是业务接口。业务接口和技术接口是有区别的,我们所说的业务接口是跟前后端对接的时候所说的一个接口,而Servlet技术本身的技术规范的接口含义还是不一样的。
Java】mybatis实现模板Controller、Service、Mapper,实现代码复用BaseController、BaseService、BaseMapper
tangxz的博客
12-15 4883
1、先看看service的类图吧 2、难点: BaseController要知道自己的Service是哪里来的。 BaseServiceImpl要知道自己的Mapper是哪里来的。 解决问题: // 将service的类型通过泛型传进来,然后使用@Autowired通过类型来进行注入 public abstract class MyBaseController<T,S extends MyBaseService<T>> { @Autowired S servic
Java过滤器防御XSS与SQL注入实战
"本文介绍了如何使用Java过滤器来防范XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值