java清除xss漏洞关键字

最新推荐文章于 2024-07-05 19:49:01 发布
原创 最新推荐文章于 2024-07-05 19:49:01 发布 · 503 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#tomcat #java #开发语言 

private static String cleanXSS(String value) {
    if (StringUtils.isNotBlank(value)) {
        value = value.replaceAll("<", "<");
        value = value.replaceAll(">", ">");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("script", "");
        value = value.replaceAll("alert", "");
        value = value.replaceAll("javascript", "");
        value = value.replaceAll("javasc", "");
        value = value.replaceAll(";", "﹔");
        value = value.replaceAll("&", "&");
        value = value.replaceAll("#", "#");
        value = value.replaceAll("html", "");
        value = value.replaceAll("\\[", "");
        value = value.replaceAll("wget", "wg?t");// "c"→"?"
        value = value.replaceAll(".ini", "");// "c"→"?"
        value = value.replaceAll("powershell", "pow?rsh?ll");// "c"→"?"
        value = value.replaceAll("select", "sele?t");// "c"→"?"
        value = value.replaceAll("truncate", "trun?ate");// "c"→"?"
        value = value.replaceAll("exec", "exe?");// "c"→"?"
        value = value.replaceAll("join", "j?in");// "o"→"?"
        value = value.replaceAll("union", "uni?n");// "o"→"?"
        value = value.replaceAll("drop", "dr?p");// "o"→"?"
        value = value.replaceAll("count", "c?unt");// "o"→"?"
        value = value.replaceAll("insert", "ins?rt");// "e"→"?"
        value = value.replaceAll("update", "updat?");// "e"→"?"
        value = value.replaceAll("delete", "d?l?t?");// "e"→"?"
        value = value.replaceAll("script", "s?ript");// "c"→"?"
        value = value.replaceAll("cookie", "c??kie");// "o"→"?"
        value = value.replaceAll("iframe", "ifram?");// "e"→"?"
        value = value.replaceAll("onmouseover", "?nmous?ov?r");// "e"→"?"
        value = value.replaceAll("onmousemove", "?nmous?mov?");// "e"→"?"*/
        value = value.replaceAll("onclick", "");
        value = value.replaceAll("prompt", "");
        value = value.replaceAll("onmouseenter", "");
        value = value.replaceAll("confirm", "");
        value = value.replaceAll("eval", "");
        value = value.replaceAll("onerror", "");// "e"→"?"*/
    }
    return value;
}
Dvwa之存储型XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 2240
和好像被过滤掉了,会不会像反射型一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
Java 代码审计入门-07】SQL关键字
shaozheng0503的博客
01-03 887
选择合适的SQL注入防御框架或工具取决于你的技术栈和具体需求。始终使用参数化查询:无论是通过ORM还是其他手段,确保所有用户输入都作为参数传递给SQL语句。保持依赖项更新:定期检查并更新所使用的和框架,以获得最新的安全补丁。教育开发团队:确保团队成员了解SQL注入的风险以及如何正确使用这些工具和框架。
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
java 消除xss的方法
weixin_37067088的博客
06-29 253
消除XSS攻击的方法 1. 整体流程 为了消除XSS攻击,我们需要采取以下步骤: 步骤 操作 1 过滤用户输入的数据,防止恶意脚本的注入 2 对特殊字符进行转义,使其无法执行 3 使用安全的输出方式展示数据,如使用JSTL中的<c:out>标签 2. 具体操作 步骤一:过滤用户输入...
php clean xss
wiscourper的博客
06-18 1146
<?php class XSS { /** * @desc 过滤数据 * * @param $data string|array 输入数据 * @param $low bool 是否采用更为严格的过滤 * * @return 返回过滤的数据 */ public function clean_...
Java防止XSS攻击
Zsigner的博客
06-22 3474
转自:https://www.cnblogs.com/myyBlog/p/8890365.html 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws...
XSS过滤JAVA过滤器filter 防止常见SQL注入
HERO笔记
05-26 290
Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入...
Java订餐系统漏洞与用户记录问题分析
根据提供的文件信息,本知识点将围绕Java订餐系统的开发、功能实现以及潜在的漏洞和问题进行深入探讨。 ### Java订餐系统开发 #### 1. 系统功能概述 Java订餐系统是一个控制台应用程序,它允许用户通过命令行界面...
XSS特殊字符安全过滤与事件关键字剔除
通过这些处理,`replaceHtmlCode`方法有效地削弱了`content`中可能存在的XSS漏洞,使得恶意脚本在浏览器中无法正常执行。然而,这并不是一个全面的XSS防御解决方案,还需要配合其他措施,比如使用编码技术(如HTML...
Java输入验证秘籍】:XSS攻击防御的黄金法则
[Java防止xss攻击附相关文件下载](https://qwiet.ai/wp-content/uploads/2024/04/2.-Protecting-Against-XSS-with-Output-Encoding.png) # 摘要 本文全面探讨了XSS攻击的理论基础、防御策略以及实战技巧,并提供了...
Java代码审计之XSS攻击
tpaer的博客
12-07 1832
以代码实例复现Java中的XSS攻击,并给出修复建议。
XSS-跨站脚本攻击
yun_ld的博客
08-24 598
跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 防御XSS攻击 Servlet的方式 1、继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ pub...
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security
weixin_30533797的博客
02-09 904
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security 由Security Class 改编成函数xss_clean 单文件直接调用。BY吠品。 //来自codeigniter 清理跨站XSS xss_clean //Security Class 改编成函数 function remove_invisible_characters($str, $...
项目安全问题及解决方法-----xss处理
adru的博客
02-02 1554
XSS 问题的根源在于,原本是让用户传入或输入正常数据的地方,被黑客替换为了 JavaScript 脚本,页面没有经过转义直接显示了这个数据,然后脚本就被 执行了。更严重的是,脚本没有经过转义就保存到了数据中,随后页面加载数据的时候,数据中混入的脚本又当做代码执行了。黑客可以利用这个漏洞 来盗取敏感数据,诱骗用户访问钓鱼网站等。
xss漏洞
A_Alger的博客
09-04 459
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
java xss_Java实现XSS防御
weixin_39758712的博客
02-16 272
/*** xss请求适配器*/public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);}/*** 对数组参数进行特殊字符过滤*/@Override...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
热门推荐
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 1103
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
javaxss漏洞修复
最新发布
07-25
<think>首先,用户的问题是:“我想修复Java中的XSS漏洞 请问JavaXSS漏洞的修复方法”。这是一个关于Java Web应用程序中跨站脚本(XSS漏洞修复的查询。 根据系统级指令: - 所有行内数学表达式必须使用$...$格式,但在这个上下文中,没有数学表达式,所以不需要。 - 独立公式必须使用$$...$$格式,但同样,这里没有数学公式。 - LaTeX语法正确:确保任何数学内容都正确格式化,但这里不适用。 - 使用中文回答:整个回答必须用中文。 - 生成相关问题:在回答结束时,生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识:例如[^1],但需要基于提供的引用内容。用户提供了几个引用,我需要引用这些内容。 提供的引用: - [^1]: 关于XSS漏洞的基本描述。 - [^2]: Java处理XSS漏洞的配置,包括Spring Security的内容安全策略。 - [^3]: XssFilter的实现,包括代码示例。 - [^4]: 另一个XssFilter的doFilter方法引用。 用户要求修复Java中的XSS漏洞,所以我需要基于这些引用提供修复方法。引用内容涵盖了XSS漏洞的定义和几种修复方法。 回答结构: - 由于指令要求“回答结构清晰,帮助用户逐步解决问题”,我应该组织成一个逐步指南。 - 确保回答真实可靠,基于提供的引用。 关键修复方法从引用中提取: 1. **输入验证和过滤**:引用[3]和[4]提到使用XssFilter来过滤输入。 2. **输出编码**:虽然没有直接提到,但这是常见方法,隐含在内容安全策略中。 3. **内容安全策略(CSP)**:引用[2]提到使用Spring Security的contentSecurityPolicy。 4. **输入长度限制**:引用[2]提到输入长度限制。 步骤: 1. **理解XSS漏洞**:简要解释什么是XSS,基于引用[^1]。 2. **修复方法**: - 输入验证和过滤:使用XssFilter,如引用[3]和[4]所示。 - 输出编码:确保在输出数据时进行编码。 - 内容安全策略:配置CSP,如引用[2]所示。 - 输入长度限制:限制用户输入的长度。 - 其他最佳实践:如使用安全的API、避免内联脚本等。 3. **实现示例**:提供代码示例,基于引用[3]的XssFilter。 4. **总结**:强调多层防护。 生成相关问题:在结束时,添加相关问题,基于主题。 引用标识:在回答中,当引用特定内容时,添加[^1]、[^2]等。例如,提到XSS定义时引用[^1],提到CSP时引用[^2],提到XssFilter时引用[^3]。 完整回答结构: - 引言:解释XSS漏洞。 - 修复步骤: - 步骤1: 输入验证和过滤(使用XssFilter)。 - 步骤2: 输出编码。 - 步骤3: 配置内容安全策略。 - 步骤4: 输入长度限制。 - 代码示例:展示XssFilter的实现。 - 结论:总结关键点。 - 相关问题。 确保回答用中文。</think>### JavaXSS漏洞的修复方法 跨站脚本攻击(XSS)是一种常见的Web安全漏洞,攻击者通过注入恶意脚本代码到用户访问的页面中,窃取用户数据或执行未授权操作[^1]。在Java Web应用中修复XSS漏洞需要多层防护策略,包括输入验证、输出编码、内容安全策略等。以下是逐步修复方法,基于最佳实践和常见实现方案。我将结合引用内容提供详细指南,确保方法真实可靠。 #### 步骤1: 输入验证和过滤 输入验证是修复XSS的第一道防线。通过过滤用户输入,移除或转义潜在恶意脚本。推荐使用自定义过滤器(如XssFilter)在请求处理前清理数据。 - **实现方式**:创建一个`XssFilter`类,继承`Filter`接口,在`doFilter`方法中包装请求对象,对参数进行过滤。 - **代码示例**(基于引用[3]和[^4]): ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { private static final Log log = LogFactory.getLog(XssFilter.class); @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; // 创建包装请求对象,添加XSS过滤逻辑 HttpServletRequest wrappedRequest = new XssHttpServletRequestWrapper(httpRequest); chain.doFilter(wrappedRequest, response); // 继续过滤链 } } ``` 在`XssHttpServletRequestWrapper`中,重写`getParameter`等方法,使用如`org.apache.commons.text.StringEscapeUtils`转义HTML特殊字符(例如`<`转义为`<`)。这能阻止脚本注入[^3][^4]。 #### 步骤2: 输出编码 在数据输出到页面时进行编码,确保用户输入内容不被浏览器解释为可执行代码。这是防御XSS的关键补充。 - **实现方式**: - 在JSP或Thymeleaf模板中,使用内置编码函数,例如JSP的`<c:out value="${userInput}" />`或Thymeleaf的`th:text="${userInput}"`。 - 在Java代码中,使用`Encoder`类(如OWASP Java Encoder)进行手动编码: ```java import org.owasp.encoder.Encode; String safeOutput = Encode.forHtml(userInput); // 转义HTML内容 ``` #### 步骤3: 配置内容安全策略(CSP) CSP通过HTTP头限制浏览器加载外部资源,防止内联脚本执行,有效缓解XSS攻击[^2]。 - **实现方式**:在Spring Security配置类中启用CSP。 - **代码示例**(基于引用[^2]): ```java import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .headers() .contentSecurityPolicy("script-src 'self'"); // 只允许加载同源脚本 } } ``` 此配置确保脚本仅从当前域加载,阻止外部恶意脚本注入[^2]。 #### 步骤4: 输入长度限制 限制用户输入长度,减少攻击面。例如,表单字段设置最大长度。 - **实现方式**: - 在前端HTML中使用`maxlength`属性:`<input type="text" maxlength="100">`。 - 在服务器端验证输入长度,例如Spring Boot中使用`@Size`注解: ```java public class UserForm { @Size(max = 100, message = "输入不能超过100字符") private String username; } ``` 这能防止攻击者注入过长的恶意代码[^2]。 #### 步骤5: 其他最佳实践 - **使用安全框架**:集成OWASP ESAPI或Spring Security提供内置XSS防护。 - **避免内联脚本**:在HTML中避免使用`onclick`等事件处理器,改用外部JS文件。 - **定期更新依赖**:确保如Apache Commons或Spring Framework更新到最新版,修复已知漏洞。 - **测试与审计**:使用工具如OWASP ZAP进行渗透测试,验证修复效果。 #### 总结 修复Java中的XSS漏洞需要综合策略:优先过滤输入(使用XssFilter),编码输出,配置CSP,并限制输入长度。多层防护能显著降低风险。根据引用内容,这些方法已在实践中验证有效[^1][^2][^3][^4]。建议在开发早期集成这些措施,并参考OWASP Cheat Sheet获取最新指南。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拼命小孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值