XSS防脚本注入的过滤器

最新推荐文章于 2025-10-21 14:56:04 发布
转载 最新推荐文章于 2025-10-21 14:56:04 发布 · 1.1k 阅读 · 0

http://www.it165.net/safe/html/201306/655.html

XSS又叫CSS (CrossSite Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性.

我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,
1.web.xml配置过滤器


view source print ?
01. <!-- XSS过滤器  -->
02. <filter>
03. <filter-name>XSSFilter</filter-name>
04. <filter-class>
05. com.hanchao.filter.XssCheckFilter
06. </filter-class>
07. <init-param>
08. <param-name>errorPath</param-name>
09. <param-value>/views/error.<a href="http://www.it165.net/pro/webjsp/"target="_blank" class="keylink">jsp</a></param-value>
10. </init-param>
11. <init-param>
12. <param-name>excludePaths</param-name>
13. <param-value>/login</param-value>
14. </init-param
15. </filter>
16. <filter-mapping>
17. <filter-name>XSSFilter</filter-name>
18. <url-pattern>/*</url-pattern>
19. </filter-mapping>

2.过滤器代码:

 

view source print ?
001. package com.kongzhong.passport.filter;
002. import java.io.IOException;
003. import java.util.Enumeration;
004. import javax.servlet.Filter;
005. import javax.servlet.FilterChain;
006. import javax.servlet.FilterConfig;
007. import javax.servlet.ServletException;
008. import javax.servlet.ServletRequest;
009. import javax.servlet.ServletResponse;
010. import javax.servlet.http.HttpServletRequest;
011. import javax.servlet.http.HttpServletResponse;
012. import com.kongzhong.base.util.KzStringUtil;
013. public class XSSCheckFilter implements Filter {
014. private FilterConfig config;
015. private static String errorPath;//出错跳转的目的地
016. private static String[] excludePaths;//不进行拦截的url
017. private static String[] safeless = {"<script",   //需要拦截的JS字符关键字
018. "</script",
019. "<iframe",
020. "</iframe",
021. "<frame",
022. "</frame",
023. "set-cookie",
024. "%3cscript",
025. "%3c/script",
026. "%3ciframe",
027. "%3c/iframe",
028. "%3cframe",
029. "%3c/frame",
030. "src=\"javascript:",
031. "<body",
032. "</body",
033. "%3cbody",
034. "%3c/body",
035. //"<",
036. //">",
037. //"</",
038. //"/>",
039. //"%3c",
040. //"%3e",
041. //"%3c/",
042. //"/%3e"
043. };
044. public void doFilter(ServletRequest req, ServletResponse resp,
045. FilterChain filterChain) throws IOException, ServletException {   
046. Enumeration params = req.getParameterNames();
047. HttpServletRequest request = (HttpServletRequest) req;
048. HttpServletResponse response = (HttpServletResponse) resp;
049. //String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + "/";
050.  
051. boolean isSafe = true;
052. String requestUrl = request.getRequestURI();
053. //String queryUrl = request.getQueryString();
054. //System.out.println("params:" + params + " , requestUrl:" + requestUrl + " , queryUrl" + queryUrl);
055. if(isSafe(requestUrl)) {
056. requestUrl = requestUrl.substring(requestUrl.indexOf("/"));
057. if(!excludeUrl(requestUrl)) {
058. while (params.hasMoreElements()) {
059. String cache = req.getParameter((String) params.nextElement());
060. if(KzStringUtil.isNotBlank(cache)) {
061. if(!isSafe(cache)) {
062. isSafe = false;
063. break;
064. }
065. }
066. }
067. }
068. else {
069. isSafe = false;
070. }
071.  
072. if(!isSafe) {
073. request.setAttribute("err""您输入的参数有非法字符,请输入正确的参数!");
074. request.getRequestDispatcher(errorPath).forward(request, response);
075. return;
076. }
077. filterChain.doFilter(req, resp);
078. }
079. private static boolean isSafe(String str) {
080. if(KzStringUtil.isNotBlank(str)) {    
081. for (String s : safeless) {
082. if(str.toLowerCase().contains(s)) {
083. return false;
084. }
085. }
086. }
087. return true;
088. }
089.  
090. private boolean excludeUrl(String url) {      
091. if(excludePaths != null && excludePaths.length > 0) {                  
092. for (String path : excludePaths) {
093. if(url.toLowerCase().equals(path)) {
094. return true;
095. }
096. }
097. }
098. return false;
099. }
100.  
101. public void destroy() {
102. }
103. public void init(FilterConfig config) throws ServletException {
104. this.config = config;
105. errorPath = config.getInitParameter("errorPath");
106. String excludePath = config.getInitParameter("excludePaths");
107. if(KzStringUtil.isNotBlank(excludePath)) {
108. excludePaths = excludePath.split(",");
109. }
110. }
111. }
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 3179
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
网络安全之基于过滤器xss脚本攻击
zyxpython的博客
05-07 835
过滤器和拦截器
javascript过滤XSS
05-06
用javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
JavaScriptXSS攻击的过滤技术实战
最新发布
weixin_42610010的博客
10-21 873
可通过escapeHtml配置项替换默认的转义函数,实现更严格的编码策略:此功能适用于需要符合特定合规标准(如SOC2、GDPR)的系统,确保输出始终处于“双重保护”状态。综上,js-xss不仅是一款实用工具,更是一套完整的安全工程解决方案。掌握其核心机制与配置技巧,是构建健壮Web应用不可或缺的能力。在现代Web应用安全体系中,内容过滤机制的核心之一是白名单控制策略。与黑名单相比,白名单通过明确允许特定标签和属性的方式,从根本上缩小了攻击面,提升了系统的可预测性与安全性。
xss过滤.zip
06-04
xss攻击,将参数名和参数值都做xss过滤,保证一定的安全性。
xss php 转义_整理php注入XSS攻击通用过滤
weixin_39963523的博客
03-09 528
对网站发动XSS攻击的方式有很多种,仅仅使用php的一些内置过滤函数是对付不了的,即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的安全。那么如何预 XSS 注入?主要还是需要在用户数据过滤方面得考虑周全,在这里不完全总结下几个 Tips1. 假定所...
XSS跨站点脚本攻击
11-23 360
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
XSS过滤
bylfsj的博客
09-26 628
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
精选资源
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
java 过滤器filtersql注入的实现代码
09-01
为了止这种攻击,开发者通常会使用过滤器(Filter)来对用户输入进行预处理,确保输入的数据不会对系统造成危害。本文将详细介绍如何使用Java Filter实现止SQL注入的功能。 首先,我们需要创建一个实现了`javax...
精选资源
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的...三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
JSP过滤器Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
xss过滤
weixin_30535167的博客
07-09 389
content="""<p class='c1' id='i1'> asdfaa<span class='c2' style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf</p><p> <strong class='c2' id='i2'&g...
关于XSS过滤
lanisa的专栏
10-30 1803
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScriptXSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
Xss过滤器
weixin_43326384的博客
11-30 757
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
SpringBoot XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 4122
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
XSS攻击的过滤
yangliyun123的专栏
11-14 736
我的网站用了富文本编辑框,可以输入图片、表情、代码等等,这就会带来问题,就是XSS攻击,我使用的方法是thinkphp的remove_xss 但是在使用过程中遇到了2个问题 一个是当有新的标签产生时,需要对其中的标签数组进行修改,第二,它会将逗号都清除,对于第二点 我修改了他的正则匹配的对象。 function remove_xss($val) {
【Springboot】Xss过滤
xia744510124的专栏
07-17 1134
声明:大部分代码我都是重别人博客里面复制过来的,只是稍稍的修改了一下,能够支持对文件的过滤,话不多说了,直接贴代码了! 配置文件(application.properties) # 如果不想进行Xss过滤,可以注释掉或者设置为false common.xss-filter-open=true 过滤配置类(XssFilterConfig.java) @Configuration @Cond...
Java过滤器XSS与SQL注入实战
"本文介绍了如何使用Java过滤器XSS跨站脚本攻击和SQL注入攻击,通过在web.xml配置文件中定义过滤器,并编写相应的Filter实现类来拦截和处理恶意输入,保护Web应用程序的安全性。" 在Web开发中,安全性是至关...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值