post攻击 xxs_如何拦截post请求的xss攻击

最新推荐文章于 2025-06-01 11:58:58 发布
最新推荐文章于 2025-06-01 11:58:58 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: post攻击 xxs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42298093/article/details/113477819
这篇博客介绍了XssHttpServletRequestWrapper类,用于增强HttpServletRequest的安全性,通过白名单策略允许特定HTML标签,同时使用正则表达式过滤SQL注入。核心内容包括参数和头信息的验证,以及HTML标签和SQL注入的过滤方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {//白名单数组

private static final String[] WHITE_LIST = {"content"};

// 定义script的正则表达式

private static final String REGEX_SCRIPT = "

// 定义style的正则表达式

private static final String REGEX_STYLE = "

// 定义HTML标签的正则表达式

private static final String REGEX_HTML = "<[^>]+>";

// 定义空格回车换行符

private static final String REGEX_SPACE = "\\s*|\t|\r|\n";

//定义所有w标签

private static final String REGEX_W = "]*?>[\\s\\S]*?<\\/w[^>]*?>";

//定义sql注入

private static String reg = "(\\b(select|update|union|and|or|delete|insert|trancate|char|into|substr|ascii|declare|exec|count|master|into|drop|execute)\\b)";public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}@Override

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values == null) {

return null;

}int count = values.length;String[] encodedValues = new String[count];for (int i = 0; i < count; i++) {

//白名单放行的只有HTML标签,sql标签还是要验证

if (isWhitelist(parameter)) {

if (sqlValidate(values[i])) {

encodedValues[i] = values[i];

}

encodedValues[i] = null;

}

encodedValues[i] = removeHtml(values[i]);

}return encodedValues;}@Override

public String getParameter(String parameter) {

String value = super.getParameter(parameter);

if (value == null) {

return null;

}

//白名单放行的只有HTML标签,sql标签还是要验证

if (isWhitelist(parameter)) {

if (sqlValidate(value)) {

return value;

}

return null;

}

return removeHtml(value);

}@Override

public String getHeader(String name) {

String value = super.getHeader(name);

if (value == null) {

return null;

}if (isWhitelist(name)) {

if (sqlValidate(value)) {

return value;

}

return null;

}

return removeHtml(value);

}

//\\b 表示 限定单词边界 比如 select 不通过 1select则是可以的

private static Pattern sqlPattern = Pattern.compile(reg, Pattern.CASE_INSENSITIVE);/**

* sql注入过滤器

* @param str

* @return

*/

private static boolean sqlValidate(String str) {

if (sqlPattern.matcher(str).find()) {

System.out.println("未能通过过滤器:str=" + str);

return false;

}

return true;

}/**

* 是否白名单,白名单的放行

*

* @param paramName

* @return

*/

private static boolean isWhitelist(String paramName) {

String lowerParam = paramName.toLowerCase();

String name = Arrays.stream(WHITE_LIST).filter(y -> y.toLowerCase().equals(lowerParam)).findAny().orElse(null);

return name != null;

}/**

* 移除HTML标签

* @param htmlStr

* @return

*/

private static String removeHtml(String htmlStr){

Pattern p_w = Pattern.compile(REGEX_W, Pattern.CASE_INSENSITIVE);

Matcher m_w = p_w.matcher(htmlStr);

htmlStr = m_w.replaceAll(""); // 过滤script标签

Pattern p_script = Pattern.compile(REGEX_SCRIPT, Pattern.CASE_INSENSITIVE);

Matcher m_script = p_script.matcher(htmlStr);

htmlStr = m_script.replaceAll(""); // 过滤script标签

Pattern p_style = Pattern.compile(REGEX_STYLE, Pattern.CASE_INSENSITIVE);

Matcher m_style = p_style.matcher(htmlStr);

htmlStr = m_style.replaceAll(""); // 过滤style标签

Pattern p_html = Pattern.compile(REGEX_HTML, Pattern.CASE_INSENSITIVE);

Matcher m_html = p_html.matcher(htmlStr);

htmlStr = m_html.replaceAll(""); // 过滤html标签

Pattern p_space = Pattern.compile(REGEX_SPACE, Pattern.CASE_INSENSITIVE);

Matcher m_space = p_space.matcher(htmlStr);

htmlStr = m_space.replaceAll(""); // 过滤空格回车标签

htmlStr = htmlStr.replaceAll(" ", ""); //过滤

return htmlStr.trim(); // 返回文本字符串

}

}

JavaWeb之防止XSS攻击
qq_37630321的博客
03-07 2864
XSS攻击 XSS攻击,言而言之,就是脚本攻击,下面向大家展示一下脚本攻击 使用过滤器来解决XSS攻击 代码: 1、过滤器 /** * 解决XSS攻击的过滤器 * @author 紫炎易霄 */ public class XssFilter implements Filter{ @Override public void init(FilterConfig filterConfig)...
Java防XSS攻击实现(AOP+注解+反射)
dh554112075的博客
06-21 2875
本文使用JSP验证效果 引人依赖 <!-- springboot-aop --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-...
JSP过滤器防止Xss漏洞
热门推荐
Ac Dream
02-13 1万+
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Pikachu靶场-反射型xss(get/post)
最新发布
2401_83964264的博客
06-01 158
我们先登录,用户名/密码为admin/123456,登录后在输入框中以同样的方式输入js代码,submit后会显示一个弹窗,观察url,发现我们的url中没有显示出我们构造的js代码,所以当我们再次访问这个网址的时候不会像get型那样再次显示弹窗。其实这里还有一点关于cookie的内容,但是我一直获得不了cookie的数据,我的xss后台已经配置好了,可能是我还没有弄清楚post.html和cookie.php的地址到底该使用哪一个吧,解决后,继续更新。
java 防止sql xxs注入,Java-JSP网站 防SQL注入,防XSS攻击有什么好的处理办法?...
weixin_30193269的博客
03-13 188
jsp 来防SQL注入,防XSS攻击的话,首先要选择PreparedStatement来处理sql语句!同时java后台还需要对页面中接受到的参数进行字符替换!/*** 清除所有XSS攻击的字符串* 学来的!分享!*/public static String getSafeStringXSS(String s){if (s == null || "".equals(s)) {return s;}...
Java拦截器处理XSS漏洞
qq_41466891的博客
10-31 1460
漏洞 WEB漏洞-链接注入-A3 跨站脚本(XSS) WEB漏洞-跨站脚本攻击漏洞(编码)-A3 跨站脚本(XSS) WEB漏洞-错误信息跨站-A3 跨站脚本(XSS) WEB漏洞-跨站脚本攻击漏洞(Base64)-A3 跨站脚本(XSS) WEB漏洞-跨站脚本攻击漏洞(img-onload)-A3 跨站脚本(XSS) WEB漏洞-跨站脚本攻击漏洞(img-sr...
springboot经验之sql注入、xss注入拦截POST
lipeng的博客
02-08 4218
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.youkuaiyun.com/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
web安全之XSS攻击及防御pdf
08-25
### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
web程序防止xss攻击和跨域
a1241436267的博客
01-16 292
xss攻击是指有人恶意编写了一段脚本链接,当用户点击的时候就会向用户所在的服务器发送一个请求,这个请求包含了一段js代码,如果不防止xss那么这段js代码会被执行,这样子后果十分严重,容易被篡改数据和像数据库插入一条恶意数据。
用SpringBoot打造坚固防线:轻松实现XSS攻击防御
码上飞扬的博客
07-06 3767
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
SpringBoot防止跨站脚本攻击Xss(覆盖Http请求,对http请求进行转义)
qq_44759750的博客
03-07 932
流程: 1、导入依赖hutool(提供一些Utile工具类) 2、定义请求包装类继承HttpServletRequestWrapper对数据进行转义 3、创建过滤器,将请求拦截并传入自定义包装类中 4、主类添加@ServletComponentScan扫描过滤器(@WebFilter) 1、 hutool提供一写工具类HtmlUtil、StrUtil <dependency> <groupId>cn.hutool</groupId>
post乱码拦截
07-09
javapost请求乱码拦截器,记录一下!以后获取会用的上
POST封包工具
04-10
POST封包工具 VB写的 自定义封包内容 自定义 URL Data Head Cook等
post攻击 xxs_XSS(跨站脚本攻击)详解
weixin_33289873的博客
01-28 1395
目录XSS的原理和分类跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击XSS分为:存储型 、...
实验26:post方式下的xss漏洞利用
qq_44720671的博客
04-17 1897
我们来到pikachu靶场的xss post请求页面 我们随便提交一个字段 请求方式是以post方式发送的,我们无法把恶意代码嵌入进URL里面 我们还是首先来整理一下思路 这里面下面的三角已经讲过 是一样的,但是上面多出了一个攻击者需要自己伪造的表单,攻击者就可以把这个链接发送给用户,这样就达到了让用户自己去提交一个post的一个目的 这就是那个表单,它的作用就是会让页面自动的去提交一个...
SpringBoot 防护XSS攻击
Wcybaonier
04-12 4169
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
CSRF | POST 型 CSRF 漏洞攻击
Blue17 の 小窝
10-07 2315
攻击者通过在站点中嵌入恶意代码,诱使受害者访问,当用户访问了嵌套恶意代码的站点,代码就会模拟用户的点击操作,伪造用户的身份向第三方存在 CSRF 漏洞的接口发起请求,进而误导第三方站点以为是受信用户的操作。因为接口的传参很有规律,所以攻击者可以很轻松的伪造符合规则的请求包给后端,后端无法校验该请求包是否是用户主动发起的,只知道,这个请求包是受信用户发送过来的,所以很自主的认为,这就是受信用户的主动操作。上面的操作,还需要用户手动点击表单的提交按钮,接下来,我们编写代码,让表单自动提交。然后,攻击就完成了。
【JAVA-WEB常见漏洞-XSS漏洞】
Websec
11-23 1732
XSS漏洞 攻击者利用XSS(Cross-site scripting)漏洞攻击可以在用户的浏览器中执行JS恶意脚本,XSS攻击可以实现用户会话劫持、钓鱼攻击、恶意重定向、点击劫持、挂马、XSS蠕虫等,XSS攻击类型分为:反射型、存储型、DOM型。 1. 反射型XSS攻击 示例 - 存在反射型XSSxss.jsp代码: <%=request.getParameter("input")%> 攻击者通过传入恶意的input参数值可以在用户浏览器中注入一段JavaScript脚本.
post提交 打开新页面 拦截问题
goodyatou的专栏
04-25 1134
在支付的时候 需要post提交 新打开页面  但有的浏览器会提示地址被拦截 可以建立个中转页面处理这个问题     window.open("payceneter.aspx,"_target"); 然后在中转页面直接post到支付宝页面
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值