java 防止xss和sql注入

最新推荐文章于 2024-08-26 04:06:38 发布
最新推荐文章于 2024-08-26 04:06:38 发布
阅读量1k 收藏 4
点赞数
文章标签: java springmvc防止xss攻击 java springmvc防止sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sinat_36596988/article/details/79265980
版权

思路 写个过滤器,然后写个自己写个新的XssHttpServletRequestWrapper类继承HttpServletRequestWrapper这个类(ps:这个extends ServletRequestWrapper implements HttpServletRequest),重写里面的getParameterValues,getParameterMap,getParameter,getHeader方面,重写的目的是在方法里面新增防止xss和sql的cleanXSS(自己编写)方法。

先看下过滤器的代码

package cn.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import cn.tools.XssHttpServletRequestWrapper;
/*
 * 参数拦截器
 * */
public class XssFilter implements Filter {

	public void destroy() {
	}

	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest)request); 
		chain.doFilter(xssRequest, response);
	}

	public void init(FilterConfig fConfig) throws ServletException {
	}
}

在看下XssHttpServletRequestWrapper类的代码


package cn.tools;

import java.util.HashMap;  
import java.util.Map;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
	public XssHttpServletRequestWrapper(HttpServletRequest request) {  
		super(request);  
	}  
	@Override   
	public String[] getParameterValues(String parameter) {  
		String[] values = super.getParameterValues(parameter);  
		if (values == null) {  
			return null;  
		}  
		int count = values.length;  
		String[] encodedValues = new String[count];  
		for (int i = 0; i < count; i++) {  
			encodedValues[i] = cleanXSS(values[i]);  
		}  
		return encodedValues;  
	}  
	@Override 
	public Map getParameterMap() {  
		Map map = super.getParameterMap();  
		Map encodedMap = new HashMap();  
		encodedMap.putAll(map);  

		for (Map.Entry entry : encodedMap.entrySet()) {  
			String[] value = entry.getValue();  
			String[] encodedValues = new String[value.length];  
			for (int i = 0; i < value.length; i++) {  
				encodedValues[i] = cleanXSS(value[i]);  
			}  
			encodedMap.put(entry.getKey(), encodedValues);  
		}  
		return encodedMap;  
	}  
	@Override 
	public String getParameter(String parameter) {  
		String value = super.getParameter(parameter);  
		if (value == null) {  
			return null;  
		}  
		return cleanXSS(value);  
	}  
	@Override 
	public String getHeader(String name) {  
		String value = super.getHeader(name);  
		if (value == null)  
			return null;  
		return cleanXSS(value);  
	}  
	//关键方法 防止xss
	private String cleanXSS(String value) {  
		value = value.replaceAll("<", "<").replaceAll(">", ">");
		value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");
		value = value.replaceAll("'", "'");
		value = value.replaceAll("_", "_");
		value = value.replaceAll("eval\\((.*)\\)", "");
		value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
		value = value.replaceAll("script", "");
		return value;
	}  


}  



<!-- xss过滤 -->
	<filter>
		<filter-name>xssfilter</filter-name>
		<filter-class>cn.filter.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>xssfilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>
	<filter-mapping>
		<filter-name>xssfilter</filter-name>
		<url-pattern>*.jsp></url-pattern>
	</filter-mapping>


最后你在表单post过来的数据如果有特殊字符会被替换掉、

javaSQL注入XSS攻击
私聊前往站内信:https://i.youkuaiyun.com/#/msg/chat/weixin_44976692
01-15 2万+
通过了解防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
SpringBoot中如何防止XSS攻击sql注入
2302_77596945的博客
05-23 1754
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
java 防止XssSQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
Java_防止XSS攻击_SQL注入
一叶知秋
11-25 3499
Java_防止XSS攻击XSS攻击简介导入依赖自定义XssHttpServletRequestWrapper自定义XssFilter过滤器基于注解基于配置web.xml XSS攻击简介 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript。 导入依赖 借助第三方工具类hutool-all,HtmlUtil对请求对值进行过滤 自定义XssHttpServletRequestWrapper /
防止XssSQL注入攻击-Java
weixin_34242658的博客
06-04 259
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐...
Java后端安全最佳实践:防御SQL注入XSS攻击
最新发布
weixin_41364682的博客
08-26 110
Java后端安全最佳实践:防御SQL注入XSS攻击 大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿! 一、Web安全威胁概述 Web应用程序面临着多种安全威胁,其中SQL注入跨站脚本攻击XSS)是最常见的两种攻击方式。 二、SQL注入攻击 SQL注入攻击是通过在Web应用程序的输入字...
Java--防止防止SQL注入XSS注入
猩猩是个好程序员的博客
03-16 602
使用Apache commons-lang的StringUtils来增强Java字符串处理功能。 StringEscapeUtils一个方便做转义的工具类,主要是为了防止sql注入xss注入攻击的功能。 import javax.servlet.http.HttpServletRequest; import org.apache.commons.lang.StringEscapeUtils; ...
防止xsssql注入:JS特殊字符过滤正则
10-27
总结起来,防止XSSSQL注入需要综合运用多种技术,包括但不限于前端的特殊字符过滤、后端的输入验证安全编程。对于JavaScript中的特殊字符过滤,提供的函数`stripscript`是一个基础的示例,但实际应用中应考虑更...
java web Xsssql注入过滤器.zip
04-22
本项目"java web Xsssql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
如何预防SQL注入XSS漏洞(spring,java)
dianxu8537的博客
11-28 194
SQL注入简介 SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子, 比如:我们一个登录界面,要求用户输入用户名密码: 用户名: ' or 1=1-- 密码: 点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话: 如: String sql="select * from users where username='"+userName...
xss攻击sql注入
03-19
xss攻击sql注入
防止SQL注入XSS攻击Filter
06-03
防止SQL注入XSS攻击Filter
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤字符转义
java过滤器,防止XSSSQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Java后端XSS攻击防护防止SQL注入
Logger
01-07 3006
最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
Java web防护xss/sql注入的正确姿势
Javee的博客
08-15 1462
Java web防护xss/sql注入的正确姿势 这里以springboot搭建的微服务为例,可以在网关中自定义全局拦截器,对入参进行过滤。防护的方法有很多,这里以黑名单为例,暂定项目中只存在POSTGET两种传参: 自定义防XSS/SQL注入攻击网关全局过滤器 package com.javee.getway.filter; import com.javee.getway.common.constant.WebBaseConstant; import com.javee.getway.common.m
Java防止SQL注入问题 解决XSS攻击 (个人梳理)
博桑根本提不起劲的博客
01-20 533
Java防止SQL注入问题 解决XSS攻击 (个人梳理) 【Java防止SQL注入问题 解决XSS攻击 (个人梳理) 文章目录【Java防止SQL注入问题 解决XSS攻击 (个人梳理)前言一、sql注入案例之一(拼接sql)二、避免被sql注入1.不要用拼接sql的形式XSS攻击总结版权声明最后 写给读此文章的你 前言 sql注入是什么,就是用户通过在表单中填写包含 SQL 关键字的数据来使数据库执行非常 规代码的过程。简单来说,就是客户端插入的数据做了代码才能干的 事情。这个问题的来源是
解决sql注入xss漏洞
05-17 640
WebMvcConfig.java registry.addInterceptor(new SqlInjectInterceptor()).addPathPatterns("/**"); SqlInjectInterceptor.java @Component public class SqlInjectInterceptor implements HandlerInterceptor{ @Override public void afterCompletion(HttpSer.
Java过滤器防御XSSSQL注入实战
通过Java过滤器,我们可以对用户输入进行安全检查,防止XSSSQL注入攻击,提升Web应用程序的安全性。这只是一个基础的防御措施,实际应用中还需要结合其他安全策略,如使用安全的库、更新补丁、进行安全编码训练等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gentle+

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值