XSS攻击过滤器

最新推荐文章于 2024-11-12 11:05:54 发布
原创 最新推荐文章于 2024-11-12 11:05:54 发布 · 709 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS过滤 


import java.io.InputStream;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang3.StringEscapeUtils;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

public class XssRequestWrapper extends HttpServletRequestWrapper {

	public XssRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	private static Policy policy = null;

	static {
		// String path =
		// URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";
//		String path
//		 =XssRequestWrapper.class.getClassLoader().getResource("antisamy-config.xml").getFile();
		// System.out.println("policy_filepath:"+path);
		InputStream is = XssRequestWrapper.class.getClassLoader()
				.getResourceAsStream("antisamy-config.xml");
//		 if(path.startsWith("file")){
//		 path = path.substring(6);
//		 }
		try {
			policy = Policy.getInstance(is);
		} catch (PolicyException e) {
			e.printStackTrace();
		}
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public Map<String,String[]> getParameterMap(){
		Map<String,String[]> request_map = super.getParameterMap();
		Iterator iterator = request_map.entrySet().iterator();
		while(iterator.hasNext()){
			Map.Entry me = (Map.Entry)iterator.next();
			//System.out.println(me.getKey()+":");
			String[] values = (String[])me.getValue();
			for(int i = 0 ; i < values.length ; i++){
//				System.out.println(values[i]);
				values[i] = xssClean(values[i]);
			}
		}
		return request_map;
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public String getParameter(String name) {
		String v = super.getParameter(name);
		if (v == null)
			return null;
		return xssClean(v);
	}

	@SuppressWarnings({ "rawtypes", "unchecked" })
	public String[] getParameterValues(String name) {
		String[] v = super.getParameterValues(name);
		if (v == null || v.length == 0)
			return v;
		for (int i = 0; i < v.length; i++) {
			v[i] = xssClean(v[i]);
		}
		return v;
	}

	private String xssClean(String value) {
		AntiSamy antiSamy = new AntiSamy();
		try {
			// CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
			final CleanResults cr = antiSamy.scan(value, policy);
			// 安全的HTML输出
			// return cr.getCleanHTML();
//			String str = StringEscapeUtils.escapeHtml4(cr.getCleanHTML());
//			str.replaceAll((antiSamy.scan(" ", policy)).getCleanHTML(), "");
			String str = cr.getCleanHTML();
			return str;
		} catch (ScanException e) {
			e.printStackTrace();
		} catch (PolicyException e) {
			e.printStackTrace();
		}
		return value;
	}
}




import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {  
    
	@SuppressWarnings("unused")
	  private FilterConfig filterConfig;
	  public void destroy() {
	    this.filterConfig = null;
	  }
	  public void doFilter(ServletRequest request, ServletResponse response,
	      FilterChain chain) throws IOException, ServletException {
	    chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
	  }
	  public void init(FilterConfig filterConfig) throws ServletException {
	    this.filterConfig = filterConfig;
	  }	
      
      
}













过滤器防止xss攻击
yizhousai0662的博客
09-01 1614
将参数中有关xss攻击的非法字符全部处理掉。
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 832
过滤器和拦截器
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
Spring Boot XSS 攻击过滤插件使用
冷冷的博客
12-03 1495
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。 xss 攻击流程 简单 xss 攻击示例 若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。 解决方案 XSS 过滤说明 对表单绑定的字符串类型进行 xss 处理。 对 json 字符串数据进行
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
xss特殊字符拦截与过滤
04-01
在Web开发中,这样的防护措施非常重要,因为它能够过滤掉用户输入中的危险代码,降低XSS攻击的风险。通常这类防护措施会在Web框架层面或者中间件层面提供,用户只需要简单配置即可实现防护,但开发者也可以根据需要...
xss攻击 java过滤器_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_36036029的博客
02-26 243
Java Web使用过滤器防止Xss攻击,解决Xss漏洞发布时间:2018-11-11 10:41,浏览次数:286, 标签:JavaWebXssweb.xml添加过滤器 xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter *过滤器代码package com.quickly.exception.common.filter...
保姆级教学 XSS攻击过滤器
m0_59206144的博客
06-07 1952
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
java过滤器,防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
javaxss必备jar包及过滤器代码
08-21
包含xssProtect-0.1.jar等三个必需jar包,相关过滤器代码
解决XSS攻击漏斗的过滤器解决方案(二)
mhanyue的博客
11-21 771
http://blog.csdn.net/mhanyue/article/details/78563846 继上篇中未解决的问题,又重新对过滤器进行了调整。具体代码如下: XssFilter.java /** * 功能描述:XSS漏洞过滤器 * XssFilter.java 创建与 2017年11月20日 下午2:50:46 * @author mhanyue * @version
XSS过滤器
spum_的博客
08-27 432
【代码】XSS过滤器
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
最新发布
logic1001的博客
11-12 2584
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Java 防范XSS攻击
每天进步一点点 时间会让你成为巨人
11-21 2008
Connection refused(DESCRIPTION=(TMP=)(VSNNUM=169869568)(ERR=12505)(ERROR_STACK=(ERROR=(CODE=12505)(EMFI=4))))   出现这个直i接的结果就是连接不上数据库 ,程序不能登录, 等不到session 所有的页面都不能执行操作,只要重新配置一下监听就可以了 。
java防止xss攻击 过滤_Java Web使用过滤器防止Xss攻击,解决Xss漏洞
weixin_42322782的博客
02-17 865
web.xml添加过滤器xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
Xss过滤器
weixin_43326384的博客
11-30 751
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
深入解析XSS攻击防御与XssFilter过滤器配置
XssFilter通常作为一个过滤器部署在Web应用中,用来拦截和清理用户输入的数据,从而减少XSS攻击的风险。在web.xml文件中配置XssFilter的基本步骤如下: ```xml <filter-name>XssFilter <filter-class>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值