Java防止xss攻击

最新推荐文章于 2025-03-02 23:12:17 发布
最新推荐文章于 2025-03-02 23:12:17 发布
阅读量3.8k 收藏 4
点赞数
分类专栏: java web 文章标签: xss

首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符

今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击

web.xml


<filter> 
 <filter-name>XssEscape</filter-name> 
 <filter-class>www.ablanxue.com.filter.XssFilter</filter-class> 
</filter> 
<filter-mapping> 
 <filter-name>XssEscape</filter-name> 
 <url-pattern>/*</url-pattern> 
 <dispatcher>REQUEST</dispatcher> 
</filter-mapping>
Filter类(XssFilter.   Jav 



package www.ablanxue.com.filter;

import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements javax.servlet.Filter {

 @Override
 public void destroy() {
 // TODO Auto-generated method stub
 
 }

 @Override
 public void doFilter(ServletRequest request, ServletResponse response,
 FilterChain filterChain) throws IOException, ServletException {
 
 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
 filterChain.doFilter(xssRequest, response);
 }

 @Override
 public void init(FilterConfig arg0) throws ServletException {
 // TODO Auto-generated method stub
 
 }

}

最关键的类(XssHttpServletRequestWrapper.java)

继承servlet的HttpServletRequestWrapper,并重写相应的几个有可能带xss攻击的方法

package www.ablanxue.com.filter;

import java.io.StringReader;
import java.io.StringWriter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import com.blogspot.radialmind.html.HTMLParser;
import com.blogspot.radialmind.xss.XSSFilter;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
 HttpServletRequest orgRequest = null;

 public XssHttpServletRequestWrapper(HttpServletRequest request) {
 super(request);
 orgRequest = request;
 }

 /**
 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
 */
 @Override
 public String getParameter(String name) {
 String value = super.getParameter(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
 }

 /**
 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
 * getHeaderNames 也可能需要覆盖
 */
 @Override
 public String getHeader(String name) {

 String value = super.getHeader(xssEncode(name));
 if (value != null) {
 value = xssEncode(value);
 }
 return value;
 }

 /**
 * 将容易引起xss漏洞的半角字符直接替换成全角字符
 * 
 * @param s
 * @return
 */
 private static String xssEncode(String s) {
 
 
 if (s == null || s.isEmpty()) {
 return s;
 }

 StringReader reader = new StringReader(s);
 StringWriter writer = new StringWriter();
 try {
 HTMLParser.process(reader, writer, new XSSFilter(), true);

 
 String result = writer.toString();
 
 System.out.println("xssEncode-------------------------" + s + " = " + result);
 
 return result;
 } catch (NullPointerException e) {
 return s;
 } catch (Exception ex) {
 ex.printStackTrace();
 }

 return null;

 }

 /**
 * 获取最原始的request
 * 
 * @return
 */
 public HttpServletRequest getOrgRequest() {
 return orgRequest;
 }

 /**
 * 获取最原始的request的静态方法
 * 
 * @return
 */
 public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
 if (req instanceof XssHttpServletRequestWrapper) {
 return ((XssHttpServletRequestWrapper) req).getOrgRequest();
 }

 return req;
 }
}
 
 

  
  
依赖jar包

  
  
百度网盘下载

  
  
xssProtect-0.1.jar

  
  
antlr-runtime-3.0.1.jar

  
  


 
 
转载注明本文地址:http://www.ablanxue.com/shtml/201502/26346_1.shtml

通过重写getParameter()等方法,实现简单的过滤,从而防止Xss攻击

Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
Java防止xss攻击附相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
Java中的7种方法,保护你免受XSS攻击
tangjieqing的博客
12-12 1324
Java开发人员可以采用多种方法来防止XSS攻击。通过采取上面介绍的这些预防措施,可以提高应用程序的安全性,并保护用户的数据免受潜在的XSS攻击威胁。
Java Web 安全性基础:全面防止 XSS 攻击
最新发布
03-02 706
XSS 是一种客户端代码注入攻击攻击者通过在网页中插入恶意脚本,诱使用户执行这些脚本。这种攻击利用了浏览器对 JavaScript 等脚本的信任机制,使得攻击者可以绕过同源策略(Same-Origin Policy),窃取用户的 Cookie、会话信息或其他敏感数据。
java 防止xss攻击
笨鸟快飞的专栏
10-27 3503
关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escap
Java防止XSS攻击
u010786200的博客
12-24 6134
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
Java防止XSS攻击的三款开源jar包介绍
xssProtect项目提供了几个关键的jar包,来帮助开发者防止XSS攻击。这三个jar包分别是antlr-3.0.1.jar、antlr-runtime-3.0.1.jar和xssProtect-0.1.jar。 首先,让我们详细了解一下XSS攻击是如何工作的以及为什么需要...
JAVA防止XSS注入,附jar包
05-19
对于Java开发人员来说,防止XSS注入至关重要,因为这有助于确保应用程序的安全性。本篇文章将深入探讨如何使用Java来防御XSS攻击,并介绍提供的jar包以及如何应用它们。 首先,了解XSS攻击的基本原理。XSS攻击通常...
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
javaxss攻击_java 防止xss攻击
weixin_29053695的博客
02-12 446
关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()...
Java 防止XSS攻击
qq_40224726的博客
01-02 244
防止XSS 攻击集成springboot(详细) https://blog.youkuaiyun.com/bnxf_xv/article/details/89187126 确实很详细记录一下,以前也写过方式方法不太一样,但是道理相同
java接口防止XSS攻击
钓瞄的鱼的博客
11-13 2266
java接口防止XSS攻击一、什么是XSS二、XSS攻击的主要途径三、XSS攻击解决办法四、 解决代码1.配置过滤器2.实现 ServletRequest 的包装类,过滤其他请求参数3.添加在主入口@ServletComponentScan注解 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动
java xss_Java防止XSS攻击
weixin_36261487的博客
02-12 129
public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {/*** Constructs a request object wrapping the given request.**@paramrequest The request to wrap*@throwsIllegalArgumentExcept...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7929
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值