使用Filter防止XSS攻击

最新推荐文章于 2025-04-22 14:29:39 发布
最新推荐文章于 2025-04-22 14:29:39 发布
阅读量8.9k 收藏 4
点赞数 1
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lizehui_168/article/details/86485541
版权

什么是XSS攻击?

XSS攻击使用Javascript脚本注入进行攻击

例如在表单中注入: <script>location.href='http://www.itmayiedu.com'</script>

注意:谷歌浏览器 已经防止了XSS攻击,为了演示效果,最好使用火狐浏览器

解决方案?

使用Fileter过滤器过滤注入标签(将表单中的代码转义成HTML代码)


XSSFilter

public class XssFiterimplements Filter {

public void init(FilterConfigfilterConfig)throws ServletException {

}

public void doFilter(ServletRequestrequest, ServletResponseresponse, FilterChainchain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest)request;

XssAndSqlHttpServletRequestWrapper xssRequestWrapper =new XssAndSqlHttpServletRequestWrapper(req);

chain.doFilter(xssRequestWrapper,response);

}

public void destroy() {

}

}


XssAndSqlHttpServletRequestWrapper

 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;
 
/**
 * 防止XSS攻击
 */
public class XssAndSqlHttpServletRequestWrapperextends HttpServletRequestWrapper {
HttpServletRequest request;
public XssAndSqlHttpServletRequestWrapper(HttpServletRequestrequest) {
super(request);
this.request =request;
}
@Override
public String getParameter(Stringname) {
String value =request.getParameter(name);
System.out.println("name:" +name + "," + value);
if (!StringUtils.isEmpty(value)) {
// 转换Html
value = StringEscapeUtils.escapeHtml4(value);
}
return value;
}
}
 
 


本节课用到maven坐标

<!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
<dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-lang3</artifactId>
    <version>3.4</version>
</dependency>
 

xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1117
在JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
使用filter过滤xss攻击
lionzl的专栏
12-02 1537
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
别再问我XSS怎么防!搞懂这几点,安全起飞!从零基础到精通,收藏这篇就够了
最新发布
Libra1313的博客
04-22 1117
XSS攻击是Web应用程序的头号大敌,轻则用户信息泄露,重则网站被黑。防御XSS攻击,需要我们对用户输入进行严格的过滤、验证和编码,确保恶意脚本无法执行。在PHP中,是你的得力助手。同时,合理的HTTP头部设置和正确的DOM操作方法,也能让你的应用更加安全。记住,安全无小事,防患于未然!```黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
使用filter解决xss攻击
fangleijiang的专栏
06-25 9402
使用filter解决xss攻击的实现思路,其实是通过正则的方式对请求的参数做脚本的过滤,但是这需要对所要过滤的脚本做很多的枚举。下面这个demo是我在工作中用到的,希望对大家有所帮助。 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest org
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 450
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
XSS攻击使用Filter转义
熊浪的博客
09-09 947
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
JSP spring boot / cloud 使用filter防止XSS
10-19
为了防止XSS攻击,一种有效的方法是在Web应用中使用Filter来拦截请求,并对可能的输入进行处理,将特殊字符如“<”、“>”等转换为HTML转义字符,从而避免恶意代码被执行。 JSP与Spring Boot/Cloud结合使用时,...
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在...总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发人员应该始终关注输入验证和输出编码,以构建更安全的Web应用程序。
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
xss filter
xiaomin1991222的专栏
11-25 208
package com.dep.aop; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Map.Entry; import java.util.Set; import javax.servlet.http.HttpServletReques...
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5685
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
xss漏洞攻击Filter实现xss漏洞
化名三爷
07-18 2269
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
XSS Filter实现
iteye_21082的博客
02-07 261
下面的filter主要是解决防止XSS攻击 一个是Filter负责将请求的request包装一下。 转自优快云 ,MARK下链接: http://blog.youkuaiyun.com/yuwenruli/article/details/6870753   另外还看到一个实现: http://www.stripesframework.org/display/stripes/XSS+filte...
深入解析XSS攻击防御与XssFilter过滤器配置
XSS攻击(跨站脚本攻击)和SQL注入是两种常见且危险的网络攻击手段,它们能够对网站安全造成严重威胁。下面将详细介绍这两种攻击形式,...通过上述措施的结合使用,可以显著减少XSS攻击和SQL注入对Web应用安全的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值