xss漏洞完美解决方法

最新推荐文章于 2025-10-19 22:41:12 发布
原创 最新推荐文章于 2025-10-19 22:41:12 发布 · 1.2w 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #xss漏洞防御 #java xss漏洞 #script标签

 搞什么安全漏洞检查,在加个防止恶意弹窗的吧

package com.wh.tms.xss;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper{

	public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
		
	}
	public String[] getParameterValues(String parameter) {
	      String[] values = super.getParameterValues(parameter);
	      if (values==null)  {
	                  return null;
	          }
	      int count = values.length;
	      String[] encodedValues = new String[count];
	      for (int i = 0; i < count; i++) {
	                 encodedValues[i] = cleanXSS(values[i]);
	       }
	      return encodedValues;
	    }
	    public String getParameter(String parameter) {
	          String value = super.getParameter(parameter);
	          if (value == null) {
	                 return null;
	                  }
	          return cleanXSS(value);
	    }
	    public String getHeader(String name) {
	        String value = super.getHeader(name);
	        if (value == null)
	            return null;
	        return cleanXSS(value);
	    }
	    private String cleanXSS(String value) {
	        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
	        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
	        value = value.replaceAll("'", "& #39;");
	        value = value.replaceAll("eval\\((.*)\\)", "");
	        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
	        value = value.replaceAll("script", "");
	        return value;
	    }

}

package com.wh.tms.xss;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter{

	FilterConfig filterConfig = null;
	 
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }
 
    public void destroy() {
        this.filterConfig = null;
    }
 
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper( (HttpServletRequest) request), response);
    }

}

在filter里完成恶意字符串的过滤,如果有更多的过滤,可以再clear方法中过滤更多的恶意输入.

主要防止<script>标签alert(xxx)这些

web.xml

<filter>
    	<filter-name>XssFilter</filter-name>
     	<filter-class>com.wh.tms.xss.XssFilter</filter-class>
	</filter>
	<filter-mapping>
	     <filter-name>XssFilter</filter-name>
	     <url-pattern>*.html</url-pattern>
	     <dispatcher>REQUEST</dispatcher>
	</filter-mapping>
	<filter-mapping>
	     <filter-name>XssFilter</filter-name>
	     <url-pattern>*.json</url-pattern>
	     <dispatcher>REQUEST</dispatcher>
	</filter-mapping>

这里是允许配置多个filter的,不过配置过多的话会降低运行效率.

这个比权限过滤的那个好弄

xss漏洞】存储型XSS漏洞修复
土豆的博客
05-03 6926
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储型XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
xss漏洞攻防
mackilo的博客
12-20 9506
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 9572
XSS 安全漏洞介绍及修复方案
XSS 攻击详解:原理、类型与防范策略
最新发布
技术分享
10-19 1684
XSS(跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在受信任网站中注入恶意脚本,在用户浏览器中执行。主要分为存储型(脚本存储在服务器)、反射型(通过URL参数传播)和DOM型(完全在客户端执行)。XSS可导致会话劫持、数据窃取等严重后果。防范措施包括:输入验证与过滤、输出编码转义、内容安全策略(CSP)、设置HttpOnly/Secure Cookie等安全响应头,以及使用现代前端框架的自动转义功能。防御核心原则是"不信任任何用户输入",需采用多层次防护策略。
XSS漏洞解决方案
weixin_40277684的博客
10-23 2669
XSS漏洞主要从请求和响应内容两个方面防护。 配置过滤器 一:web.xml文件 <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>com.common.filter.XSSFilter</fi...
XSS(跨站脚本攻击)漏洞解决方案
热门推荐
菜鸟
07-11 3万+
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决一下,作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下: 首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨
XSS攻击处理方法
欢迎
09-10 2007
一:因为项目使用了freemarker模板,需要全局转义freemarker输出   二:使用插件 xss.js,在使用html(),append()等地方,将具体的每个字段内容转义 filterXSS(字段内容),然后在使用的地方直接使用。 也可以在append()等方法的地方使用,而不必用在具体的字段上,但有个缺点,需要自定义配置过滤项,否则片接的html代码片段如果带有样式和私有的属性...
XSS跨站脚本攻击漏洞修复技巧
2401_84208172的博客
05-18 2069
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资源为止,类似这样的攻击都是很常见的,所以我们如果是在外网或者很有危险的网络上发布程序,一般都需要对这些问题进行修复。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
2. **Multipart/form-data请求处理**:在描述中提到,XSSProject还解决了multipart/form-data类型的Request请求的XSS过滤问题。这意味着它能够处理文件上传、表单提交等涉及复杂数据格式的场景,确保这些数据在存储...
xss解决方案.zip
03-13
针对XSS攻击,本方案提供了一种通过包装`HttpServletRequest`来防御方法。 在提供的文件中,我们可以看到以下几个关键组件: 1. `XssAndSqlHttpServletRequestWrapper.java`: 这个类是对`HttpServletRequest`的...
S2026003基于pyqt的xss漏洞智能检测系统.zip
09-15
基于PyQt的XSS漏洞智能检测系统是一个综合性的安全工具,它将Python语言和PyQt5框架的优势与网络安全检测需求相结合,提供了一个全面、便捷、高效的XSS检测解决方案。通过使用Requests库进行网络通信,Python内置的...
XSS 攻击的检测和修复方法
Java徐师兄的博客
07-13 4692
XSS 攻击是一种常见和危险的 Web 攻击,开发者需要对输入数据进行过滤和转义,使用安全的编程语言和框架以及安全的数据库操作,采用 CSP 等措施来防止 XSS 攻击。同时,用户也需要注意不要轻易点击不明来源的链接,避免被诱导访问恶意网站,从而保护自己的信息安全。// 去除输入数据中的 HTML 和 PHP 标签 $data = strip_tags($data);
XSS安全漏洞修复解决方案
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
使用filter解决xss攻击
fangleijiang的专栏
06-25 9535
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
解决XSS攻击常用方法
liuerchong的博客
07-24 3261
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 解决方式一:强制修改html敏感标签内容 /** * xss特殊字符拦截与过滤 * */ public class
xss漏洞如何修复(非常详细),零基础入门到精通,看这一篇就够了_xss漏洞修复
Galaxy_0的博客
02-06 2110
修复XSS漏洞方法包括:对用户输入进行过滤和转义,使用CSP策略限制外部资源的加载,以及使用HttpOnly属性保护Cookie等。XSS(跨站脚本攻击)漏洞是一种常见的网络安全问题,它允许攻击者在受害者的浏览器中注入恶意脚本,这些脚本可以窃取用户的敏感信息,如登录凭证、信用卡信息等,为了保护网站和用户免受XSS攻击,我们需要采取一些措施来修复这些漏洞,本文将详细介绍如何修复XSS漏洞
常用的XSS漏洞防御手段,从零基础到精通,收藏这篇就够了!
yy1715713348的博客
02-25 667
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
复现XSS漏洞及分析
qq_61739597的博客
09-01 3687
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
深信服 漏洞研究工程师
09-03
深信服漏洞研究工程师的面试过程可以分为多个环节。根据引用提供的信息,一面主要由项目经理进行询问,主要关注候选人的项目经历和实习经历。这个环节会询问你最近一次实习的工作内容、遇到的挑战以及你的解决方法。二面则由一位有多年国外生活经验的面试官进行,他对肢体交流很看重,会提问一些安全漏洞的基本知识、XSS的原理和防护手段、XSRF和XSS的区别以及CVE漏洞TOP AWAKS等内容。此外,他还对候选人在项目介绍过程中的肢体交流和互动给予评价。三面则是由主管进行面试,会进行自我介绍、项目介绍以及一些基本问题的询问。另外,面试过程中还有HR面,会问一些项目和性格相关的问题,并进行薪资谈判。根据引用的描述,候选人需要回答问题并展示自己的特点和优势。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [深信服技术服务工程师面试总结.docx](https://download.youkuaiyun.com/download/weixin_43522969/12789669)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [深信服面经 安全攻防研究工程师 2022/10/14](https://blog.youkuaiyun.com/qq_36921652/article/details/127328773)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值