tomcat 防xss 的一种实现

最新推荐文章于 2025-06-20 17:25:10 发布
最新推荐文章于 2025-06-20 17:25:10 发布
阅读量4.1k 收藏 1
点赞数 1
CC 4.0 BY-SA版权
分类专栏: javaweb 文章标签: tomcat filter java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/keygod1/article/details/53786309
本文介绍了使用Servlet过滤器来防御XSS攻击的方法,重点在于如何在Filter中获取并处理POST请求的内容。通过创建HttpServletRequestWrapper的子类FormDataXssRequest,并在XssFilter中替换非法字符,实现了对POST请求数据的过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

我的解决方法, 通过Servlet 过滤器 过滤请求

关键在于是如何在Filter取到post里的内容

通过继承javax.servlet.http.HttpServletRequestWrapper;类替换post里的非法字符

1:FormDataXssRequest类

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 防xss,替换request
 * Created by keygod on 2016/3/10.
 */
public class FormDataXssRequest extends HttpServletRequestWrapper {
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request
     * @throws IllegalArgumentException if the request is null
     */
    public FormDataXssRequest(HttpServletRequest request) {
        super(request);
    }
    //替换非法字符
    private String clean(String s){
        s=s.replaceAll("<","&lt;").replaceAll("script","").replaceAll("eval\\((.*)\\)","");
        return s;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values==null){
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for(int i= 0;i<count;i++){
            encodedValues[i] = clean(values[i]);

        }
        return encodedValues;
    }

}

2:XssFilter

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Created by keygod on 2016/12/21.
 */
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    //替换了request
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;

        String currentURL = req.getRequestURI();//截取当前文件名用于比较
        String head = req.getHeader("Content-Type");

        if(currentURL.contains(".jsp")||currentURL.contains(".do")||currentURL.equals("/")){
            System.out.println(head);
            if(head!=null){
                if(!head.contains("application/x-www-form-urlencoded")){//payload
                //文件上传
//                    chain.doFilter(new PayloadXssRequest(req),res);

                    chain.doFilter(req,res);
                }else {//form data

                    chain.doFilter(new FormDataXssRequest(req),res);
//                    chain.doFilter(req,res);
                }
            }else {
                chain.doFilter(req,res);
            }
        }else {
            chain.doFilter(req,res);
        }

    }

    @Override
    public void destroy() {

    }
}
Spring Boot从入门到进阶教程系列 -- 集成Freemarker配置(包含预XSS攻击,多角色权限标签实现)
shadowsick的专栏
06-22 2201
上一个教程我们讲解如何配置SpringMVC以及自定义JSON响应实体,本次教程我们将整合Freemarker配置到Spring Boot,因为我们日常开发必须是要用到模版技术,比如Freemarker,Velocity等最常用;如对上篇教程感兴趣的可点以下链接【Spring Boot从入门到进阶教程系列 -- SpringMVC配置(包含自定义FastJSON配置)】下面我们直接开启代码之旅步骤...
springmvc XSS攻击
二次加工是一种痛
09-03 4139
spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,止X
XSS攻击解决办法
01-20
XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
tomcat
斜杠码农
08-06 310
项目xss攻击设置httponly 在网络上找到的拦截器等,没有达到效果,tomcat7可以通其配置来设置 1、修改tomcat/conf/context.xml &lt;Context useHttpOnly="true"&gt;&lt;/context&gt;  2、修改tomcat/conf/web.xml &lt;session-config&gt;  &lt;cookie-conf...
【网络安全】文件上传型XSS攻击解析
最新发布
anquan2233的博客
06-20 1281
文件上传XSS攻击已从传统Web应用延伸至云原生架构,御策略需要结合内容检测、响应头控制、运行时监控等多维手段。2025年OWASP报告显示,采用本文提出的御方案可使攻击成功率从行业平均的18.7%降至2.3%。硬件级隔离:基于Intel SGX构建可信执行环境AI内容识别:训练CNN模型检测图像隐写攻击区块链存证:对上传文件进行哈希存证,实现溯源审计通过技术创新与基础安全实践的深度结合,可构建抵御新型攻击的纵深御体系。
nginx常用配置系列-HTTPS配置
weixin_34232617的博客
06-27 276
接上篇,nginx配置系列 HTTPS现在已经很流行,特别是AppStore上线的应用要求使用HTTPS进行通信,出于安全考虑也应该使用HTTPS,HTTPS配置需要准备证书文件,现在也有很多免费证书可以申请,比如阿里云 证书相关有两个文件,一个key文件server.key,一个证书文件server.crt(证书文件的格式有很多(pem,p12,crt等)一般使用pem或crt,nginx都...
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2617
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.youkuaiyun.com/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
使用filter过滤xss攻击
winnie825的专栏
09-13 635
  先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替换脚本字符等; 3. 为保证xml与正则表达式的特殊字符不冲突,使用&lt;![CDATA[]]&gt;标签存放正则表达式,但是在类...
Spring4.2.9+mybatis3.4.4集成(整合Jackson、XSS版)支持JDK1.6、Tomcat6
05-12
XSS(Cross-Site Scripting)是一种常见的Web应用安全漏洞,允许攻击者注入恶意脚本到页面中。为了XSS,可以采取以下措施: 1. **使用安全的视图技术**:例如Spring MVC的`@ResponseBody`和`@ControllerAdvice`...
tomcat实现websocket聊天室
11-05
WebSocket是Web交互技术的一种新标准,它允许在服务器和客户端之间建立持久的连接,从而实现实时、双向的数据传输。Tomcat,作为Apache软件基金会的一个开源项目,是Java Servlet、JavaServer Pages(JSP)和Java ...
MyTomcat:实现一个简单的Tomcat
03-11
在MyTomcat中,你需要实现一种机制来存储和检索会话信息,这通常通过Session对象实现。会话ID可以通过Cookie在客户端和服务器之间传递。当收到带有会话ID的请求时,服务器查找对应的会话数据并恢复用户状态。 4. **...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
热门推荐
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求头 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
使用过滤器XSS攻击
Leon_Jinhai_Sun的博客
10-23 545
import org.apache.commons.lang.StringEscapeUtils; public class Test001 { public static void main(String[] args) { String name = "<script>"; System.out.println(StringEscapeUtils.escapeHtm...
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 2285
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
Tomcat 学习之 Filter 过滤器
zjs246813的博客
02-22 3174
Tomcat 中,Filter一种用于拦截请求和响应的组件,可以在请求到达 Servlet 之前或响应离开 Servlet 之后对其进行处理。权限控制:可以使用 Filter 来检查请求的用户是否具有访问特定资源的权限日志记录:可以使用 Filter 来记录请求和响应的信息,以便进行监控和故障排除性能监控:可以使用 Filter 来测量请求的处理时间和响应时间,以便进行性能优化数据加密和解密:可以使用 Filter 来对请求和响应进行加密和解密,以保护敏感信息的安全。
tomcat启动报错too low setting for -Xss
qq_41028058的博客
03-27 628
具体报错如下 Caused by: java.lang.IllegalStateException: Unable to complete the scan for annotations for web application [] due to a StackOverflowError. Possible root causes include a too low setting for ...
tomcat启动报错:too low setting for -Xss,造成原因是.....org.bouncycastle.asn1.ASN1EncodableVector...
weixin_45387269的博客
02-04 783
org.bouncycastle.asn1.ASN1EncodableVector 出现问题: maven使用tomcat7:tun 插件启动报错 解决办法: idea中配置一行命令即可 -DjarsToSkip=bcprov*.jar
tomcat内存溢出,修改设置。-Xss256m -Xms512m -Xmx800m -XX:MaxPermSize=512m
Gavid0124的专栏
10-07 2901
问题描述: 1. java.lang.OutOfMemoryError: Java heap space          JVM堆的设置是指java程序运行过程中JVM可以调配使用的内存空间的设置.JVM在启动的时候会自动设置Heap size的值,其初始空间(即-Xms)是物理内存的1/64,最大空间(-Xmx)是物理内存的1/4。可以利用JVM提供的-Xmn -Xms -Xmx等选项可...
反射型 XSS 疑问及延伸(CSRF)
weixin_34261739的博客
04-08 540
有关反射型 XSS 的疑问 学习 XSS (Cross-Site Scripting,跨站脚本攻击) 的时候可以了解到 XSS 分为三种:持久型 (type-2),反射型 (type-1) 和基于 DOM 型 (type-0) 。 在看反射型的时候,总结一下大多数帖子给出的解释:恶意脚本本身是作为请求参数发送到站点页面存在漏洞的地方(通常是搜索框),然后脚本反射(出现)在新渲染(或者部分刷新)的页...
tomcat8.5 响应头缺省xss御头
12-31
### 如何在 Tomcat 8.5 中添加默认的 XSS 护 HTTP 响应头 为了增强 Web 应用的安全性,在 Tomcat 8.5 上可以通过配置来添加默认的跨站脚本攻击 (XSS) 护 HTTP 响应头。具体操作方式如下: #### 修改 `web.xml` 文件以启用安全头部设置 可以在全局范围内的 `$CATALINA_BASE/conf/web.xml` 或者特定应用程序下的 `WEB-INF/web.xml` 文件中加入过滤器定义,用于向所有的HTTP响应附加必要的安全头部。 ```xml <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <!-- 开启 XSS 屏蔽 --> <init-param> <param-name>xssProtectionEnabled</param-name> <param-value>true</param-value> </init-param> <!-- 设置 XSS 安全模式 --> <init-param> <param-name>xssProtectionModeBlock</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 这段 XML 片段会激活内置于 Tomcat 的 HttpHeaderSecurityFilter 并开启针对 XSS 攻击的保护措施[^1]。 另外一种方法是直接编辑服务器级别的配置文件 `$CATALINA_HOME/conf/server.xml` 来实现相同的效果: ```xml <Host ... > ... <!-- 启动 XSS Filter --> <Valve className="org.apache.catalina.valves.XssPreventionValve"/> ... </Host> ``` 此 Valve 将自动为所有经过它的请求添加适当的 HTTP 头部信息,从而提供额外的一层御机制对抗潜在的 XSS 漏洞利用尝试[^2]。 值得注意的是,除了上述两种途径外,还可以考虑采用更细粒度的方式——即通过编程手段动态地控制这些头部信息的应用场景以及具体内容。这通常涉及到编写自定义 Servlet 过滤器或其他形式的服务端逻辑处理单元。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值