2. 程式人生 > 程式設計 >java過濾特殊字元操作(xss攻擊解決方案)

java過濾特殊字元操作(xss攻擊解決方案)

阿新 發佈:2021-06-30

XSS ,全名:cross-site scripting(跨站點),是當前 web 應用中最危險和最普遍的漏洞之一。攻擊者嘗試注入惡意指令碼程式碼(常指令碼)到受信任的上執行惡意操作,使用者使用瀏覽器瀏覽含有惡意指令碼頁面時,會執行該段惡意指令碼,進而影響使用者(比如關不完的網站、盜取使用者的 cookie 資訊從而偽裝成使用者去操作)等等。

它與 SQL 注入很類似,同樣是通過注入惡意指令來進行攻擊。但 SQL 注入是在伺服器端上執行的,而 XSS 攻擊是在客戶端上執行的,這點是他們本質區別。

其實,個人感覺對於xss攻擊不必區分究竟是反射型XSS、儲存型XSS還是DOM Based XSS,只需要知道如何去防護。而防護的最有效的措施就是過濾,對前端頁面提交到後臺的內容進

行過濾。具體如下:

1.解決方法一

攔截所有的請求引數,對請求引數中包含特殊字元'<‘或'>'進行過濾。

package com.haier.openplatform.srm.base.filter;
import .io.IOException;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.filter.OncePerRequestFilter;
public class StringFilter extends OncePerRequestFilter{
@Override
protected void doFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain chain)
throws ServletException,IOException {
chain.doFilter(new StringFilterRequest((HttpServletRequest)request),response);
}
}
class StringFilterRequest exten
 
ds HttpServletRequestWrapper {
public StringFilterRequest(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
// 返回值之前 先進行過濾
return filterDangerString(super.getParameter(name));
}
@Override
public String[] getParameterValues(String name) {
// 返回值之前 先進行過濾
String[] values = super.getParameterValues(name);
if(values==null){
return null;
}
for (int i = 0; i < values.length; i++) {
values[i] = filterDangerString(values[i]);
}
return values;
}
@Override
public Map getParameterMap() {
Map keys = super.getParameterMap();
Set set = keys.entrySet();
Iterator iters = set.iterator();
while (iters.hasNext()) {
Object key = iters.next();
Object value = keys.get(key);
keys.put(key,filterDangerString((String[]) value));
}
return keys;
}
/*@Override
public Object getAttribute(String name) {
// TODO Auto-generated method stub
Object object = super.getAttribute(name);
if (object instanceof String) {
return filterDangerString((String) super.getAttribute(name));
} else
return object;
}*/
public String filterDangerString(String value) {
if (value == null) {
return null;
}
//        value = value.replaceAll("\\{","{");
value = value.replaceAll("<","&lt;");
value = value.replaceAll(">","&gt;");
//        value = value.replaceAll("\t","    ");
//        value = value.replaceAll("\r\n","\n");
//        value = value.replaceAll("\n","<br/>");
//        value = value.replaceAll("'","&#39;");
//        value = value.replaceAll("\\\\","&#92;");
//        value = value.replaceAll("\"","&quot;");
//        value = value.replaceAll("\\}","﹜").trim();
return value;
}
public String[] filterDangerString(String[] value) {
if (value == null) {
return null;
}
for (int i = 0; i < value.length; i++) {
String val = filterDangerString(value[i]);
value[i] = val;
}
return value;
}
}

web.xm中的過濾器配置:

 <filter>
  <filter-name>StringFilter</filter-name>
  <filter-class>com.xxx.base.filter.StringFilter</filter-class>
 </filter>
 
 <filter-mapping>
  <filter-name>StringFilter</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>

2.解決方法二(轉,未驗證)

2.1前端過濾

2.1.1 原生方法

//轉義  元素的innerHTML內容即為轉義後的字元  
function htmlEncode ( str ) {  
  var ele = document.createElement('span');  
  ele.appendChild( document.createTextNode( str ) );  
  return ele.innerHTML;  
}  
//解析   
function htmlDecode ( str ) {  
  var ele = document.createElement('span');  
  ele.innerHTML = str;  
  return ele.textContent;  
}

2.1.2 方法

function htmlEncodeJQ ( str ) {  
    return $('<span/>').text( str ).html();  
}  
function htmlDecodeJQ ( str ) {  
    return $('<span/>').html( str ).text();  
}

2.1.3 呼叫方法

var msg1= htmlEncodeJQ('<script>alert('test');</script>');
var msg1= htmlEncode('<script>alert('test');</script>');
//結果變成:&lt;script&gt;alert('test');&lt;/script&gt;

2.2 後端過濾

2.2.1 java 一些框架自動工具類,

比如:org.springframework.web.util.HtmlUtils

public static void main(String[] args) {
    String content = "<script>alert('test');</script>";
    System.out.println("content="+content);
    content = HtmlUtils.htmlEscape(content);
    System.out.println("content="+content);
    content = HtmlUtils.htmlUnescape(content);
    System.out.println("content="+content);
}

但這樣有個問題,就是它全部的html標籤都不解析了。

可能這不是你想要的,你想要的是一部分解析,一部分不解析。好看下面。

2.2.2 自己用正則來完成你的需求

package top.lrshuai.blog.util;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
/**
 * 
 * @author lrshuai
 * @since 2017-10-13
 * @version 0.0.1
 */
public class HTMLUtils {
/**
 * 過濾所有HTML 標籤
 * @param htmlStr
 * @return
 */
public static String filterHTMLTag(String htmlStr) {
    //定義HTML標籤的正則表示式 
    String reg_html="<[^>]+>"; 
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //過濾html標籤 
    return htmlStr;
}
/**
 * 過濾標籤,通過標籤名
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String filterTagByName(String htmlStr,String tagName) {
    String reg_html="<"+tagName+"[^>]*?>[\\s\\S]*?<\\/"+tagName+">";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //過濾html標籤 
    return htmlStr;
}
/**
 * 過濾標籤上的 style 樣式
 * @param htmlStr
 * @return
 */
public static String filterHTMLTagInStyle(String htmlStr) {
    String reg_html="style=('|\")(.*?)('|\")";
    Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr); 
    htmlStr=matcher.replaceAll(""); //過濾html標籤 
    return htmlStr;
}
/**
 * 替換表情
 * @param htmlStr
 * @param tagName
 * @return
 */
public static String replayFace(String htmlStr) {
    String reg_html="\\[em_\\d{1,}\\]";
    Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE); 
    Matcher matcher=pattern.matcher(htmlStr);
    if(matcher.find()) {
        matcher.reset();
        while(matcher.find()) {
            String num = matcher.group(0);
            String number=num.substring(num.lastIndexOf('_')+1,num.length()-1);
            htmlStr = html客棧Str.replace(num,"<img src='/face/arclist/"+number+".gif' border='0' />");
        }
    }
    return htmlStr;
}
    public static void main(String[] args) {
        String html = "<script>alert('test');</script><img src='/face/arclist/5.gif' border='0' /><div style='position:fixs;s'></div><style>body{color:#fff;}</style><Style>body{color:#fff;}</Style><STYLE>body{color:#fff;}</STYLE>";JaStHq
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html,"style");
        System.out.println("html="+html);
        html = HTMLUtils.filterTagByName(html,"script");
        System.out.println("html="+html);
        html = HTMLUtils.filterHTMLTagInStyle(html);
        System.out.println("html="+html);
    }
}

java 過濾特殊字串升級版

ASCII碼中除了32之外還有160這個特殊的空格 db中的空格 不間斷空格->頁面上的&nbsp所產生的空格;

 /**
     * 過濾特殊字元
     * @param str
     * @return
     *
     * \u00A0 特殊的空格
     */
    public static String stringFilter (String str){
        String regEx="[\\u00A0\\s\"`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“'。,、?]";
        Pattern p = Pattern.compile(regEx);
        Matcher m = p.matcher(str);
        return m.replaceAll("").trim();
    }

以上為個人經驗,希望能給大家一個參考,也希望大家多多支援我們。

相關推薦

java過濾特殊字元操作(xss攻擊解決方案)

XSS ,全名:cross-site scripting(跨站點),是當前 web 應用中最危險和最普遍的漏洞之一。攻擊者嘗試注入惡意指令碼程式碼(常指令碼)到受信任的上執行惡意操作,使用者使用瀏覽器瀏覽含有惡意指令碼頁面時,會執

vue.js 輸入框輸入值自動過濾特殊字元替換中問標點操作

我就廢話不多說了,大家還是直接看程式碼吧~ <Input v-model=\"relatedWords\" type=\"textarea\" placeholder=\"請輸入\" @input=\'verifyInput(formItem.relatedWords)\'/>

js前端處理過濾特殊字元以及輸入法特殊表情符號emoji的正則方法,解決資料庫報錯問題。

技術標籤:工作分享jqueryhtmljavascript 現在,輸入法基本上都支援表情輸入和特殊字元,並且可以在input框內輸入表情, 如果我們不對這些表情進行驗證的話,我們會發現,有的時候也可以正常 進行儲存,但是這樣

.net工具類——檢測是否有Sql危險字元過濾特殊字元

#region 檢測是否有Sql危險字元 /// <summary> /// 檢測是否有Sql危險字元 /// </summary>

vue自定義指令過濾特殊字元

 1.新建inputFilter.js檔案   const addListener = function(el,type,fn) { el.addEventListener(type,fn,false);

php 過濾特殊字元方法

function strFilter($str){ $str = str_replace(\'`\', \'\', $str); $str = str_replace(\'·\', \'\', $str);

jackson反序列化 過濾特殊字元 控制字元

jacskon預設是可以序列化一些特殊字元 但反序列化時就不支援了 Exception in thread "main" com.fasterxml.jackson.core.JsonParseException: Illegal unquoted character ((CTRL-CHAR, code 31)):

java split() 特殊字元 進行split分割,str.split("[.]"); // 特殊字元 進行split分割

java split 逗號_咦,Java拆分個字串都這麼講究https://blog.csdn.net/weixin_39990401/article/details/110718992

Java在併發環境中SimpleDateFormat多種解決方案

先來看一個多執行緒下使用例子,看到執行結果會出現異常: import java.text.DateFormat;

Java web專案啟動Tomcat報錯解決方案

點選執行專案時顯示 A Java Exception has occurred. \'Starting Tomcat v9.0 Server at localhost\' has oncountered a problem.

Java向資料庫插入中文出現亂碼解決方案

主要解決方向,JAVA與MYSQL中編碼要統一。通常採用UTF-8. 這裡雖然你在專案中設定了資料庫採用UTF-8,但是那裡不包括連線方式之類的。

Java解析JSON資料時報錯問題解決方案

一、問題由來 測試人員最近在測試時,後臺日誌一直抱錯,大致意思是JSON資料解析錯誤,錯誤資訊如下:

Java日誌框架用法及常見問題解決方案

日誌定義: 在計算機領域,日誌檔案(logfile)是一個記錄了發生在執行中的作業系統或其他軟體中的事件的檔案,或者記錄了在網路聊天軟體的使用者之間傳送的訊息。

Java jdk安裝及javac命令無效解決方案

一,我們安裝java8,如下,我們可以選擇安裝地址,這個地址是我們用來配置環境變數的,唯一注意的是這個,其他的都是預設下一步。直至安裝完成,jdk下載地址https://www.oracle.com/java/technologies/javase-downloa

Java優化if-else程式碼幾個解決方案

https://www.cnblogs.com/jeremylai7/p/15291165.html 前言 開發系統一些狀態,比如訂單狀態:資料庫儲存是數字或字母,但是需要顯示中文或英文,一般用到if-else程式碼判斷,但這種判斷可讀性比較差,也會影響後

host頭部攻擊解決方案

方法一:過濾器 public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

JeecgBoot抵禦XSS攻擊實現方案

1. 問題描述 jeecgboot後臺啟動後,在瀏覽器輸入地址 http://localhost:8080/jeecg-boot/jmreport/view/\')%22οnmοuseοver=alert(\'hacking\')%20%20(

Java:String.split()特殊字元處理操作

一:需要特殊處理才能使用split()方法的字元 (1)需要使用\"\\\\\"或\"[ ]\"才能正確使用的字符集:

【專案】 Java 過濾器 解決儲存型xss攻擊問題

技術標籤:專案Javaxss攻擊JavafilterrequestinputStream XSS攻擊場景 攻擊者可以通過構造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站指令碼漏洞欺騙使用者,收集Cookie等相關資料並冒

golang json.Marshal 特殊html字元被轉義的解決方法

go語言提供了json的編解碼包,json字串作為引數值傳輸時發現,json.Marshal生成json特殊字元<、>、&會被轉義。