绝对好用的安全Filter(过滤SQL和XSS)

最新推荐文章于 2023-05-29 17:21:27 发布
最新推荐文章于 2023-05-29 17:21:27 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 安全 文章标签: XSS Filter SQL注入 脚本注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/godson_2003/article/details/100780593
版权
博主在经历安保测评后,发现网上常见的XSS防护代码并不理想。本文分享了一个经过实战验证、能有效防止XSS攻击的过滤器代码,帮助开发者节省时间和提高安全性。同时,文中还提醒注意一个可能导致问题的代码bug,并提供了修正方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近被安保测评搞得头疼,本来网站上有XSS处理,代码也是参考网络,结果发现不好使。此处呵呵了。。。。 一般情况下百度出来的结果都是不好用的例子,虽然代码还挺全面,就是拦不住你说气人不气人。

 

下面发一个经过我实际应用好使的XSS过滤器,帮大家节省时间

 

/**
 * 安全的Filter(过滤SQL和XSS)
 * 
 * 
 * <!-- 解决xss & sql漏洞 -->
    <filter>
        <filter-name>SafeFilter</filter-name>
        <filter-class>cn.he.xss.HttpServletRequestSafeFilter</filter-class>
        <init-param>
            <param-name>filterXSS</param-name>
            <param-value>true</param-value>
        </init-param>
        <init-param>
            <param-name>filterSQL</param-name>
            <param-value>true</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>SafeFilter</filter-name>
        <url-pattern>/*</url-pattern>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

 *
 */
public class HttpServletRequestSafeFilter implements Filter{
    public static final String FILTER_XSS = "filterXSS";
    public static final String FILTER_SQL = "filterSQL";
    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean filterXSS = false;
        boolean filterSQL = false;

        if (StringUtils.isNotEmpty(filterConfig.getInitParameter(FILTER_XSS))) {
            filterXSS = Boolean.valueOf(filterConfig.getInitParameter(FILTER_XSS));
        }

        if (StringUtils.isNotEmpty(filterConfig.getInitParameter(FILTER_SQL))) {
            filterSQL = Boolean.valueOf(filterConfig.getInitParameter(FILTER_SQL));
        }

        chain.doFilter(new HttpServletRequestSafeWrapper((HttpServletRequest) request, filterXSS, filterSQL), response);
    }

}<
最低0.47元/天 解锁文章
Java--Filter过滤器防止XSS SQL注入
JustinQin
11-17 3068
一、攻击说明 XSS 跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到...
java过滤器,防止XSSSQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting)SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
SpringBoot 防止XSS攻击SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3959
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSSSQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
Filter用作安全登陆
make__It的博客
12-19 399
Filter用作安全登陆   上一篇文章写到用springmvc拦截器来做登陆验证(http://blog.youkuaiyun.com/make__it/article/details/78840576),但是它有不足的地方。 这篇用filter来做安全登陆,何为安全登陆,简单点说就是登陆之后才能访问页面,不登陆什么页面都访问不了。也可以看出springmvc的拦截器之拦截对controller的访问,
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
防止常见XSS 过滤 SQL注入 JAVA过滤filter
热门推荐
hithedy的专栏
02-03 2万+
1、首先配置web.xml,添加如下配置信息: xssAndSqlFilter com.cup.cms.web.framework.filter.XssAndSqlFilter xssAndSqlFilter * 2、编写过滤器   /** * */ package com.cup.cms.web.framework.filter; import java.io.I
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTMLSQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.youkuaiyun.com/u011974797/article/details/121792680
xss filter java_防止常见XSS 过滤 SQL注入 JAVA过滤filter
weixin_39625098的博客
02-13 131
xssAndSqlFiltercom.cup.cms.web.framework.filter.XssAndSqlFilterxssAndSqlFilter*2、编写过滤器/****/package com.cup.cms.web.framework.filter;import java.io.IOException;import javax.servlet.Filter;import javax...
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,文章会分享出整个Filter文件包,包含四个java文件: 5.1,public class CrosXssFilter implements Filter 5.2,public class CrosXssFilterConfig implements WebMvcConfigurer 5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter 5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper 6,服务器白名单校验的java文件: 6.1,public class ServerWhiteListUtil 7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可 原文链接:https://blog.youkuaiyun.com/zlxls/article/details/107432468
SpringBoot防止XssSql注入攻击过滤
meser88的博客
11-08 1124
package org.demo.monitor; import com.ctrip.framework.apollo.model.ConfigChangeEvent; import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener; import lombok.extern.slf4j.Slf4j; import org.springframework.context.EnvironmentAware; im.
springmvc使用过滤filter实现过滤XSSSQL脚本等功能
chenghuagui9785的博客
05-31 1168
springmvc使用过滤filter实现过滤XSSSQL脚本等功能,然后在初始化init方法加载需要过滤XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
防止XSS攻击Filter
johennes的专栏
07-31 1392
今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入XSS攻击 一个是Filter负责将请求的request包装一下。 一个是request包装器,负责过滤掉非法的字符。 将这个过滤器配置上以后,世界总算清净多了。。 代码如下: import java.io.IOException; import javax.servlet.Filter;
配置拦截器防xsssql注入
香菇猫的博客
11-19 6639
web项目防sql注入
java中文过滤器以及安全过滤
yjw3160的专栏
07-30 649
首先 建一个名为SetEncodingFilter的普通类,让其继承HttpServlet实现Filter类内容如下: /* ×中文过滤器 */public class SetEncodingFilter extends HttpServlet implements Filter { protected String encoding = null; protected boolean i
XSS过滤JAVA过滤filter 防止常见SQL注入
HERO笔记
05-26 269
Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入...
SQL注入修复、XSS漏洞 过滤器及Cookie劫持攻击
qq_43420577的博客
05-29 995
然后在WEB.XML里面配置。一、解决sql注入问题。三、cookie劫持。
Java过滤器防御XSSSQL注入实战
通过Java过滤器,我们可以对用户输入进行安全检查,防止XSSSQL注入攻击,提升Web应用程序的安全性。这只是一个基础的防御措施,实际应用中还需要结合其他安全策略,如使用安全的库、更新补丁、进行安全编码训练等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值