XSS攻击漏洞修复 java

最新推荐文章于 2025-05-20 03:02:28 发布
原创 最新推荐文章于 2025-05-20 03:02:28 发布 · 964 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了一种XSS过滤器的实现方式,通过自定义HttpServletRequestWrapper来对HTTP请求中的参数、头部信息等进行特殊字符过滤,防止XSS攻击。详细展示了如何通过正则表达式匹配并清除潜在的恶意脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    <filter-name>XssSqlFilter</filter-name>
    <filter-class>com.hzlh.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>
package com.hzlh.filter;

import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 对参数中特殊字符进行过滤
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 获取attribute,特殊字符过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value != null && value instanceof String) {
            cleanXSS((String) value);
        }
        return value;
    }

    /**
     * 对请求头部进行特殊字符过滤
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 转义字符,使用该方法存在一定的弊端
     * 
     * @param value
     * @return
     */
    private String cleanXSS2(String value) {
        // 移除特殊标签
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    private String cleanXSS(String value) {
        if (value != null) {
            //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);
            // 避免空字符串
            value = value.replaceAll(" ", "");
            // 避免script 标签
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免src形式的表达式
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的 </script> 标签
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的<script ...> 标签
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 eval(...) 形式表达式
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 e­xpression(...) 表达式
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 javascript: 表达式
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 vbscript:表达式
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 onload= 表达式
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

}

package com.hzlh.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * xss过滤器
 */
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //对请求进行拦截,防xss处理
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }

}

https://blog.youkuaiyun.com/b954960630/article/details/78705512

Java 防御XSS攻击实战与示例代码
oscar999的专栏
01-08 2021
本篇介绍在Java 项目中如何快速修复XSS 漏洞。本篇使用的是黑名单的方式, 对于非法字符进行转义。 黑名单的方式虽然不能完全的解决XSS漏洞, 但是能有效的减轻攻击, 对于使用类似Coverity等代码静态扫描攻击扫描的漏洞修复之后就不会再报相关的警报了。
Java 代码审计入门-03】XSS 漏洞原理与实际案例介绍
shaozheng0503的博客
12-27 2733
为什么会有这一系列的文章呢?因为我发现网上缺乏成系统的Java代码审计教程,大多是分散的点。对于新人来说,这样的资源可能不够友好。加上本人也在学习Java审计,希望通过记录和总结自己的学习历程,帮助到更多的人。因此有了本系列的文章。本系列面向拥有Java基本语法基础的朋友,内容涵盖审计环境介绍、SQL漏洞XSS漏洞、SSRF漏洞、RCE漏洞等原理与实际案例分析。希望这些文章能给你带来收获。Java 代码审计入门-01:审计前的准备Java 代码审计入门-02:SQL漏洞原理与实际案例介绍。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 2284
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
XSS漏洞】详解:从原理到修复建议
2402_84408069的博客
05-20 1311
跨站脚本攻击XSS)是一种常见的网络安全漏洞攻击者通过在网页中注入恶意脚本,利用用户的浏览器执行这些脚本,从而造成各种危害。XSS的成因主要是由于服务器对用户输入和输出的数据缺乏严格的验证和过滤。XSS攻击的危害广泛,包括钓鱼欺骗、网站挂马、身份盗用、盗取用户信息、发送垃圾信息、劫持用户Web行为以及传播XSS蠕虫等。XSS攻击主要分为反射型、存储型和DOM型三种类型。为了防止XSS攻击,可以采取输入过滤、输出转义、使用HttpOnly标识和配合CSP策略等措施。
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2698
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
java实战:Java处理XSS漏洞的四种方法及代码示例
热门推荐
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
java xss漏洞修复_XSS漏洞修复方案 - zhang2xiang的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_33209661的博客
02-24 954
基本概念及解决办法比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义1、增加过滤器XssFilter.javapublic class XssFilter implements Filter {FilterConfig filterConfig = null;private List urlExclusion = nu...
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
qq_35320491的博客
07-11 1460
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Java处理xss漏洞
qq_30563727的博客
07-26 521
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以防止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,防止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
xss漏洞jar.rar
09-29
跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 或者当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。 可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击
java修复xss漏洞
weixin_43876557的博客
07-29 3768
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 2322
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
java web之xss漏洞修复
qq_35376719的博客
09-29 2542
修复跨站脚本攻击XSS漏洞,无需更改项目源码
JavaWeb解决xss漏洞
rhx_1989的专栏
10-25 3882
java web开发中,常遇到的xss漏洞问题的处理办法
Java代码漏洞检测-常见漏洞修复建议
dzqxwzoe的博客
05-29 3958
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
javaxss漏洞修复
最新发布
07-25
这是一个关于Java Web应用程序中跨站脚本(XSS漏洞修复的查询。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式,但在这个上下文中,没有数学表达式,所以不需要。 - 独立公式必须使用$$...$$格式,但...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值