XSS攻击漏洞修复 java

最新推荐文章于 2025-05-20 03:02:28 发布
最新推荐文章于 2025-05-20 03:02:28 发布
阅读量964 收藏 1
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_41208253/article/details/85139571
本文介绍了一种XSS过滤器的实现方式,通过自定义HttpServletRequestWrapper来对HTTP请求中的参数、头部信息等进行特殊字符过滤,防止XSS攻击。详细展示了如何通过正则表达式匹配并清除潜在的恶意脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    <filter-name>XssSqlFilter</filter-name>
    <filter-class>com.hzlh.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>
package com.hzlh.filter;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 对参数中特殊字符进行过滤
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 获取attribute,特殊字符过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value != null && value instanceof String) {
            cleanXSS((String) value);
        }
        return value;
    }

    /**
     * 对请求头部进行特殊字符过滤
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 转义字符,使用该方法存在一定的弊端
     * 
     * @param value
     * @return
     */
    private String cleanXSS2(String value) {
        // 移除特殊标签
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    private String cleanXSS(String value) {
        if (value != null) {
            //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);
            // 避免空字符串
            value = value.replaceAll(" ", "");
            // 避免script 标签
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免src形式的表达式
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的 </script> 标签
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的<script ...> 标签
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 eval(...) 形式表达式
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 e­xpression(...) 表达式
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 javascript: 表达式
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 vbscript:表达式
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 onload= 表达式
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

}

package com.hzlh.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * xss过滤器
 */
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //对请求进行拦截,防xss处理
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

}

https://blog.youkuaiyun.com/b954960630/article/details/78705512

Java 防御XSS攻击实战与示例代码
oscar999的专栏
01-08 2021
本篇介绍在Java 项目中如何快速修复XSS 漏洞。本篇使用的是黑名单的方式, 对于非法字符进行转义。 黑名单的方式虽然不能完全的解决XSS漏洞, 但是能有效的减轻攻击, 对于使用类似Coverity等代码静态扫描攻击扫描的漏洞修复之后就不会再报相关的警报了。
Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 2733
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,这样的资源可能不够友好。加上本人也在学习Java审计,希望通过记录和总结自己的学习历程,帮助到更多的人。因此有了本系列的文章。本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL漏洞XSS漏洞、SSRF漏洞、RCE漏洞等原理与实际案例分析。希望这些文章能给你带来收获。Java 代码审计入门-01:审计前的准备Java 代码审计入门-02:SQL漏洞原理与实际案例介绍。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 2284
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
XSS漏洞】详解:从原理到修复建议
2402_84408069的博客
05-20 1311
跨站脚本攻击XSS)是一种常见的网络安全漏洞攻击者通过在网页中注入恶意脚本,利用用户的浏览器执行这些脚本,从而造成各种危害。XSS的成因主要是由于服务器对用户输入和输出的数据缺乏严格的验证和过滤。XSS攻击的危害广泛,包括钓鱼欺骗、网站挂马、身份盗用、盗取用户信息、发送垃圾信息、劫持用户Web行为以及传播XSS蠕虫等。XSS攻击主要分为反射型、存储型和DOM型三种类型。为了防止XSS攻击,可以采取输入过滤、输出转义、使用HttpOnly标识和配合CSP策略等措施。
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2698
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
java实战:Java处理XSS漏洞的四种方法及代码示例
热门推荐
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
java xss漏洞修复_XSS漏洞修复方案 - zhang2xiang的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_33209661的博客
02-24 954
基本概念及解决办法比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义1、增加过滤器XssFilter.javapublic class XssFilter implements Filter {FilterConfig filterConfig = null;private List urlExclusion = nu...
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
qq_35320491的博客
07-11 1460
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Java处理xss漏洞
qq_30563727的博客
07-26 521
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
xss漏洞jar.rar
09-29
跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 或者当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。 可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击
java修复xss漏洞
weixin_43876557的博客
07-29 3768
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 2322
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
java web之xss漏洞修复
qq_35376719的博客
09-29 2542
修复跨站脚本攻击XSS漏洞,无需更改项目源码
JavaWeb解决xss漏洞
rhx_1989的专栏
10-25 3882
java web开发中,常遇到的xss漏洞问题的处理办法
Java代码漏洞检测-常见漏洞修复建议
dzqxwzoe的博客
05-29 3959
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
javaxss漏洞修复
最新发布
07-25
<think>首先,用户的问题是:“我想修复Java中的XSS漏洞 请问JavaXSS漏洞修复方法”。这是一个关于Java Web应用程序中跨站脚本(XSS漏洞修复的查询。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式,但在这个上下文中,没有数学表达式,所以不需要。 - 独立公式必须使用$$...$$格式,但同样,这里没有数学公式。 - LaTeX语法正确:确保任何数学内容都正确格式化,但这里不适用。 - 使用中文回答:整个回答必须用中文。 - 生成相关问题:在回答结束时,生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识:例如[^1],但需要基于提供的引用内容。用户提供了几个引用,我需要引用这些内容。 提供的引用: - [^1]: 关于XSS漏洞的基本描述。 - [^2]: Java处理XSS漏洞的配置,包括Spring Security的内容安全策略。 - [^3]: XssFilter的实现,包括代码示例。 - [^4]: 另一个XssFilter的doFilter方法引用。 用户要求修复Java中的XSS漏洞,所以我需要基于这些引用提供修复方法。引用内容涵盖了XSS漏洞的定义和几种修复方法。 回答结构: - 由于指令要求“回答结构清晰,帮助用户逐步解决问题”,我应该组织成一个逐步指南。 - 确保回答真实可靠,基于提供的引用。 关键修复方法从引用中提取: 1. **输入验证和过滤**:引用[3]和[4]提到使用XssFilter来过滤输入。 2. **输出编码**:虽然没有直接提到,但这是常见方法,隐含在内容安全策略中。 3. **内容安全策略(CSP)**:引用[2]提到使用Spring Security的contentSecurityPolicy。 4. **输入长度限制**:引用[2]提到输入长度限制。 步骤: 1. **理解XSS漏洞**:简要解释什么是XSS,基于引用[^1]。 2. **修复方法**: - 输入验证和过滤:使用XssFilter,如引用[3]和[4]所示。 - 输出编码:确保在输出数据时进行编码。 - 内容安全策略:配置CSP,如引用[2]所示。 - 输入长度限制:限制用户输入的长度。 - 其他最佳实践:如使用安全的API、避免内联脚本等。 3. **实现示例**:提供代码示例,基于引用[3]的XssFilter。 4. **总结**:强调多层防护。 生成相关问题:在结束时,添加相关问题,基于主题。 引用标识:在回答中,当引用特定内容时,添加[^1]、[^2]等。例如,提到XSS定义时引用[^1],提到CSP时引用[^2],提到XssFilter时引用[^3]。 完整回答结构: - 引言:解释XSS漏洞。 - 修复步骤: - 步骤1: 输入验证和过滤(使用XssFilter)。 - 步骤2: 输出编码。 - 步骤3: 配置内容安全策略。 - 步骤4: 输入长度限制。 - 代码示例:展示XssFilter的实现。 - 结论:总结关键点。 - 相关问题。 确保回答用中文。</think>### JavaXSS漏洞修复方法 跨站脚本攻击XSS)是一种常见的Web安全漏洞攻击者通过注入恶意脚本代码到用户访问的页面中,窃取用户数据或执行未授权操作[^1]。在Java Web应用中修复XSS漏洞需要多层防护策略,包括输入验证、输出编码、内容安全策略等。以下是逐步修复方法,基于最佳实践和常见实现方案。我将结合引用内容提供详细指南,确保方法真实可靠。 #### 步骤1: 输入验证和过滤 输入验证是修复XSS的第一道防线。通过过滤用户输入,移除或转义潜在恶意脚本。推荐使用自定义过滤器(如XssFilter)在请求处理前清理数据。 - **实现方式**:创建一个`XssFilter`类,继承`Filter`接口,在`doFilter`方法中包装请求对象,对参数进行过滤。 - **代码示例**(基于引用[3]和[^4]): ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { private static final Log log = LogFactory.getLog(XssFilter.class); @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; // 创建包装请求对象,添加XSS过滤逻辑 HttpServletRequest wrappedRequest = new XssHttpServletRequestWrapper(httpRequest); chain.doFilter(wrappedRequest, response); // 继续过滤链 } } ``` 在`XssHttpServletRequestWrapper`中,重写`getParameter`等方法,使用库如`org.apache.commons.text.StringEscapeUtils`转义HTML特殊字符(例如`<`转义为`<`)。这能阻止脚本注入[^3][^4]。 #### 步骤2: 输出编码 在数据输出到页面时进行编码,确保用户输入内容不被浏览器解释为可执行代码。这是防御XSS的关键补充。 - **实现方式**: - 在JSP或Thymeleaf模板中,使用内置编码函数,例如JSP的`<c:out value="${userInput}" />`或Thymeleaf的`th:text="${userInput}"`。 - 在Java代码中,使用`Encoder`类(如OWASP Java Encoder库)进行手动编码: ```java import org.owasp.encoder.Encode; String safeOutput = Encode.forHtml(userInput); // 转义HTML内容 ``` #### 步骤3: 配置内容安全策略(CSP) CSP通过HTTP头限制浏览器加载外部资源,防止内联脚本执行,有效缓解XSS攻击[^2]。 - **实现方式**:在Spring Security配置类中启用CSP。 - **代码示例**(基于引用[^2]): ```java import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .headers() .contentSecurityPolicy("script-src 'self'"); // 只允许加载同源脚本 } } ``` 此配置确保脚本仅从当前域加载,阻止外部恶意脚本注入[^2]。 #### 步骤4: 输入长度限制 限制用户输入长度,减少攻击面。例如,表单字段设置最大长度。 - **实现方式**: - 在前端HTML中使用`maxlength`属性:`<input type="text" maxlength="100">`。 - 在服务器端验证输入长度,例如Spring Boot中使用`@Size`注解: ```java public class UserForm { @Size(max = 100, message = "输入不能超过100字符") private String username; } ``` 这能防止攻击者注入过长的恶意代码[^2]。 #### 步骤5: 其他最佳实践 - **使用安全框架**:集成OWASP ESAPI或Spring Security提供内置XSS防护。 - **避免内联脚本**:在HTML中避免使用`onclick`等事件处理器,改用外部JS文件。 - **定期更新依赖**:确保库如Apache Commons或Spring Framework更新到最新版,修复已知漏洞。 - **测试与审计**:使用工具如OWASP ZAP进行渗透测试,验证修复效果。 #### 总结 修复Java中的XSS漏洞需要综合策略:优先过滤输入(使用XssFilter),编码输出,配置CSP,并限制输入长度。多层防护能显著降低风险。根据引用内容,这些方法已在实践中验证有效[^1][^2][^3][^4]。建议在开发早期集成这些措施,并参考OWASP Cheat Sheet获取最新指南。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值