java清除xss漏洞关键字

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量479 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: tomcat java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wpf416533938/article/details/132854964 
private static String cleanXSS(String value) {
    if (StringUtils.isNotBlank(value)) {
        value = value.replaceAll("<", "<");
        value = value.replaceAll(">", ">");
        value = value.replaceAll("'", "'");
        value = value.replaceAll("script", "");
        value = value.replaceAll("alert", "");
        value = value.replaceAll("javascript", "");
        value = value.replaceAll("javasc", "");
        value = value.replaceAll(";", "﹔");
        value = value.replaceAll("&", "&");
        value = value.replaceAll("#", "#");
        value = value.replaceAll("html", "");
        value = value.replaceAll("\\[", "");
        value = value.replaceAll("wget", "wg?t");// "c"→"?"
        value = value.replaceAll(".ini", "");// "c"→"?"
        value = value.replaceAll("powershell", "pow?rsh?ll");// "c"→"?"
        value = value.replaceAll("select", "sele?t");// "c"→"?"
        value = value.replaceAll("truncate", "trun?ate");// "c"→"?"
        value = value.replaceAll("exec", "exe?");// "c"→"?"
        value = value.replaceAll("join", "j?in");// "o"→"?"
        value = value.replaceAll("union", "uni?n");// "o"→"?"
        value = value.replaceAll("drop", "dr?p");// "o"→"?"
        value = value.replaceAll("count", "c?unt");// "o"→"?"
        value = value.replaceAll("insert", "ins?rt");// "e"→"?"
        value = value.replaceAll("update", "updat?");// "e"→"?"
        value = value.replaceAll("delete", "d?l?t?");// "e"→"?"
        value = value.replaceAll("script", "s?ript");// "c"→"?"
        value = value.replaceAll("cookie", "c??kie");// "o"→"?"
        value = value.replaceAll("iframe", "ifram?");// "e"→"?"
        value = value.replaceAll("onmouseover", "?nmous?ov?r");// "e"→"?"
        value = value.replaceAll("onmousemove", "?nmous?mov?");// "e"→"?"*/
        value = value.replaceAll("onclick", "");
        value = value.replaceAll("prompt", "");
        value = value.replaceAll("onmouseenter", "");
        value = value.replaceAll("confirm", "");
        value = value.replaceAll("eval", "");
        value = value.replaceAll("onerror", "");// "e"→"?"*/
    }
    return value;
}
Dvwa之存储型XSS攻击全级别学习笔记
Mbys_Lettuce的博客
09-19 2189
和好像被过滤掉了,会不会像反射型一样,只是过滤了,只要复写或者大小写可以攻击了呢?把写入内容修改成alert(document.cookie)或者alert(document.cookie)
Java 代码审计入门-07】SQL关键字
shaozheng0503的博客
01-03 824
选择合适的SQL注入防御框架或工具取决于你的技术栈和具体需求。始终使用参数化查询:无论是通过ORM还是其他手段,确保所有用户输入都作为参数传递给SQL语句。保持依赖项更新:定期检查并更新所使用的和框架,以获得最新的安全补丁。教育开发团队:确保团队成员了解SQL注入的风险以及如何正确使用这些工具和框架。
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
java 消除xss的方法
weixin_37067088的博客
06-29 228
消除XSS攻击的方法 1. 整体流程 为了消除XSS攻击,我们需要采取以下步骤: 步骤 操作 1 过滤用户输入的数据,防止恶意脚本的注入 2 对特殊字符进行转义,使其无法执行 3 使用安全的输出方式展示数据,如使用JSTL中的<c:out>标签 2. 具体操作 步骤一:过滤用户输入...
php clean xss
wiscourper的博客
06-18 1127
<?php class XSS { /** * @desc 过滤数据 * * @param $data string|array 输入数据 * @param $low bool 是否采用更为严格的过滤 * * @return 返回过滤的数据 */ public function clean_...
Java防止XSS攻击
Zsigner的博客
06-22 3452
转自:https://www.cnblogs.com/myyBlog/p/8890365.html 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws...
XSS过滤JAVA过滤器filter 防止常见SQL注入
HERO笔记
05-26 278
Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入...
Java订餐系统漏洞与用户记录问题分析
根据提供的文件信息,本知识点将围绕Java订餐系统的开发、功能实现以及潜在的漏洞和问题进行深入探讨。 ### Java订餐系统开发 #### 1. 系统功能概述 Java订餐系统是一个控制台应用程序,它允许用户通过命令行界面...
XSS特殊字符安全过滤与事件关键字剔除
通过这些处理,`replaceHtmlCode`方法有效地削弱了`content`中可能存在的XSS漏洞,使得恶意脚本在浏览器中无法正常执行。然而,这并不是一个全面的XSS防御解决方案,还需要配合其他措施,比如使用编码技术(如HTML...
Java输入验证秘籍】:XSS攻击防御的黄金法则
[Java防止xss攻击附相关文件下载](https://qwiet.ai/wp-content/uploads/2024/04/2.-Protecting-Against-XSS-with-Output-Encoding.png) # 摘要 本文全面探讨了XSS攻击的理论基础、防御策略以及实战技巧,并提供了...
XSS-跨站脚本攻击
yun_ld的博客
08-24 585
跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 防御XSS攻击 Servlet的方式 1、继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ pub...
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security
weixin_30533797的博客
02-09 882
PHP清理跨站XSS xss_clean 函数 整理自codeigniter Security 由Security Class 改编成函数xss_clean 单文件直接调用。BY吠品。 //来自codeigniter 清理跨站XSS xss_clean //Security Class 改编成函数 function remove_invisible_characters($str, $...
项目安全问题及解决方法-----xss处理
adru的博客
02-02 1497
XSS 问题的根源在于,原本是让用户传入或输入正常数据的地方,被黑客替换为了 JavaScript 脚本,页面没有经过转义直接显示了这个数据,然后脚本就被 执行了。更严重的是,脚本没有经过转义就保存到了数据中,随后页面加载数据的时候,数据中混入的脚本又当做代码执行了。黑客可以利用这个漏洞 来盗取敏感数据,诱骗用户访问钓鱼网站等。
xss漏洞
A_Alger的博客
09-04 424
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
java xss_Java实现XSS防御
weixin_39758712的博客
02-16 260
/*** xss请求适配器*/public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);}/*** 对数组参数进行特殊字符过滤*/@Override...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 1009
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
XSS安全漏洞修复解决方案
热门推荐
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
java修复xss漏洞
最新发布
02-27
### 防止和修复 Java 应用程序中的 XSS 跨站脚本攻击 #### 使用输入验证和清理 确保所有来自客户端的数据都经过严格的验证和清理。对于任何可能被显示到网页上的数据,应该移除或转义 HTML 和 JavaScript 特殊字符。这可以通过正则表达式或其他专门来实现[^1]。 ```java public String escapeHtml(String input) { if (input == null || input.isEmpty()) { return ""; } StringBuilder escapedString = new StringBuilder(); for (char c : input.toCharArray()) { switch(c){ case '<': escapedString.append("<"); break; case '>': escapedString.append(">"); break; case '&': escapedString.append("&"); break; default: escapedString.append(c); } } return escapedString.toString(); } ``` #### HTTP 响应头设置 通过适当配置HTTP响应头部可以有效减少XSS风险。例如,`Content-Security-Policy` 头部能够定义哪些资源可以从何处加载;而 `X-XSS-Protection` 则启用了浏览器内置的反射型XSS防护机制[^2]。 ```properties # application.properties 中添加如下配置项 server.servlet.session.cookie.http-only=true security.headers.contentSecurityPolicy=script-src 'self' security.headers.xssProtection.enabled=true ``` #### 输出编码 在渲染HTML之前对动态内容进行适当的编码处理非常重要。不同上下文中需要采用不同的编码方式——比如URL参数要用百分号编码(`%`),属性值要加双引号并转义其中的特殊字符等。许多模板引擎已经提供了自动化的输出编码功能[^3]。 ```jsp <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%> <c:out value="${userInput}" /> <!-- 或者 --> ${fn:escapeXml(userInput)} ``` #### Web 安全过滤器 部署一个全局的安全过滤器可以在请求到达业务逻辑层前就对其进行净化操作。此方法适用于整个应用程序范围内的保护措施实施[^4]。 ```xml <filter> <filter-name>xssFilter</filter-name> <filter-class>com.example.security.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拼命小孩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值