XSS漏洞解决方案之一:过滤器

最新推荐文章于 2025-06-26 13:32:14 发布
最新推荐文章于 2025-06-26 13:32:14 发布
阅读量1.3w 收藏 11
点赞数 1
分类专栏: 漏洞修补
本文介绍了一种通过在web应用中部署XSS过滤器来防御跨站脚本攻击的方法。通过在web.xml配置XSSFilter,并实现XssHttpServletRequestWrapper类来过滤用户输入,有效预防XSS攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS漏洞解决方案之一:过滤器
一:web.xml文件  
<!-- 解决xss漏洞 -->  
  <filter>  
    <filter-name>xssFilter</filter-name>  
     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>  
  </filter>  
  
  <!-- 解决xss漏洞 -->  
  <filter-mapping>  
    <filter-name>xssFilter</filter-name>  
    <url-pattern>/*</url-pattern>  
  </filter-mapping>  

  <!-- 解决xss漏洞 -->
  <filter>
    <filter-name>xssFilter</filter-name>
     <filter-class>com.baidu.rigel.sandbox.core.filter.XSSFilter</filter-class>
  </filter>

  <!-- 解决xss漏洞 -->
  <filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

 

    二:过滤器:XSSFilter.java    
package com.rigel.sandbox.core.filter;  
  
import java.io.IOException;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;  
  
public class XSSFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
  
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(  
                (HttpServletRequest) request);  
        chain.doFilter(xssRequest, response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
  
}  

package com.rigel.sandbox.core.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.rigel.sandbox.core.util.XssHttpServletRequestWrapper;

public class XSSFilter implements Filter {

@Override
public void init(FilterConfig filterConfig) throws ServletException {
}

@Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {

XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
(HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}

@Override
public void destroy() {
}

}

 

       三:包装器:XssHttpServletRequestWrapper.java  
package com.rigel.sandbox.core.util;  
  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  
  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
  
    public XssHttpServletRequestWrapper(HttpServletRequest request) {  
        super(request);  
        orgRequest = request;  
    }  
  
    /** 
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
     */  
    @Override  
    public String getParameter(String name) {  
        String value = super.getParameter(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
  
    /** 
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
     * getHeaderNames 也可能需要覆盖 
     */  
    @Override  
    public String getHeader(String name) {  
  
        String value = super.getHeader(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
  
    /** 
     * 将容易引起xss漏洞的半角字符直接替换成全角字符 
     *  
     * @param s 
     * @return 
     */  
    private static String xssEncode(String s) {  
        if (s == null || s.isEmpty()) {  
            return s;  
        }  
        StringBuilder sb = new StringBuilder(s.length() + 16);  
        for (int i = 0; i < s.length(); i++) {  
            char c = s.charAt(i);  
            switch (c) {  
            case '>':  
                sb.append(">");// 转义大于号   
                break;  
            case '<':  
                sb.append("<");// 转义小于号   
                break;  
            case '\'':  
                sb.append("'");// 转义单引号   
                break;  
            case '\"':  
                sb.append(""");// 转义双引号   
                break;  
            case '&':  
                sb.append("&");// 转义&   
                break;  
            default:  
                sb.append(c);  
                break;  
            }  
        }  
        return sb.toString();  
    }  
  
    /** 
     * 获取最原始的request 
     *  
     * @return 
     */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
     * 获取最原始的request的静态方法 
     *  
     * @return 
     */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
}
Laravel开发-laravel-xss-filter
08-28
Laravel开发-laravel-xss-filter 过滤XSS的用户输入,但不要过滤其他HTML
XSS漏洞解决方案之一:过滤器(转载)
wb284551926的博客
11-25 634
一:web.xml文件   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 &lt;!-- 解决xss漏洞 --&gt;    &lt;filter&gt;      &lt;filter-name&gt;xssFilter&...
全面防御XSS攻击:原理、实践与JavaScript解决方案
最新发布
chaosweet的博客
06-26 607
Hi,我是布兰妮甜!XSS是OWASP十大Web安全威胁之一,危害严重。本文详解攻击原理与JavaScript防御方案,提供实用代码示例,帮助开发者有效防护。
XSS漏洞解决方案之一 过滤器
qq_44945073的博客
04-20 501
XSS漏洞解决方案之一 过滤器
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 2285
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
XSS漏洞修补及预防--使用过滤器
热门推荐
YouXu
03-16 1万+
什么是XSS攻击 : XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
php xss漏洞解决方案,解析检查 —— 存储型XSS漏洞解决方案
weixin_39917291的博客
04-04 734
TSRC编者按:Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞。腾讯安全中心从2007年就面向内部UGC业务推出“安全API”项目用于解决这类场景,原理是对用户提交内容进行预解析,过滤掉产生安全问题的语句。大马胖子在这方面经验丰富,大家可以看看这块是如何实现的。也欢迎实测demo,发...
JSP过滤器防止Xss漏洞的实现方法(分享)
10-19
JSP过滤器是一种有效的防止XSS攻击的方法,通过在请求进入业务逻辑之前对输入数据进行处理,过滤掉可能包含恶意代码的字符。 首先,我们来理解Servlet过滤器的工作原理。Servlet过滤器是Java Servlet API的一部分,...
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
### Spring Boot XSS 攻击过滤插件使用及解决方案详解 #### XSS概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。这种攻击方式利用了Web应用未能正确过滤用户提交的数据,导致恶意脚本...
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6841
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
XSS过滤器实现
博客
06-18 528
通过注册过滤器,重写HttpServletRequestWrapper类,调用Hutool工具实现业务。
过滤器防止xss攻击
yizhousai0662的博客
09-01 1540
将参数中有关xss攻击的非法字符全部处理掉。
java 过滤脚本_XSS防脚本注入的过滤器
weixin_29220405的博客
02-16 358
XSS又叫CSS(CrossSiteScript) ,跨站脚本***。它指的是恶意***者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意***用户的特殊目的。XSS属于被动式的***,因为其被动且不好利用,所以许多人常呼略其危害性.我们这里只是一个简单的例子,不全,我们在springmvc中做一个小的demo,1.web.xml配置过...
ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
dotNET跨平台
05-05 4140
项目名称:HtmlSanitizer NuGet安装指令:Install-Package HtmlSanitizer 官方网站:https://github.com/mganss/HtmlSanitizer  开源协议:MIT 可靠程度:更新活跃,目前已经是3.x版,成熟靠谱。   1、  什么是XSS漏洞? XSS漏洞又称为“跨站脚本”漏洞,指的是网站对于用户输入的内容不加甄别的原
XSSFilter for java
懒虫一个V
06-25 5685
Here is a good and simple anti cross-site scripting (XSS) filter written for Java web applications. What it basically does is remove all suspicious strings from request parameters before returning the
代码审计-Java项目&Filter过滤器&CNVD分析&XSS跨站&框架安全
今天是几号的博客
06-22 2017
如果服务器是正常关闭,则会执行destroy方法。概念:Web中的过滤器,当访问服务器的资源时,过滤器可以将请求拦截下来,完成一些通用的功能(登陆验证、统一编码处理、敏感字符过滤……1. init:在服务器启动后,会创建Filter对象,然后调用init方法。查看配置文件web.xml和外部引用库,确定当前引用框架名称和版本。2. doFilter:每一次请求被拦截资源时,会执行。Hibernate 配置文件:Hibernate.cfg.xml。配置文件获取框架名称及版本,利用漏洞库验证是否存在漏洞
XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1936
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
防治XSS与SQL注入:简单有效的过滤方案
"XSS漏洞和SQL注入是网络安全中的常见问题,本资源提供了一种傻瓜式的解决方案,包括在Web应用中防止XSS攻击的配置步骤和可能的代码实现。" 在Web开发中,XSS(Cross Site Scripting)漏洞允许攻击者在用户的浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值