java防止xss注入攻擊

阿新 • • 發佈：2018-12-17

後面附錄有三個.java文件

1.把文件拷進專案中（最好建立一個單獨的包存放），然後修改引入路徑，看到不報錯那麼第一步完成。

2.開啟web.xml配置檔案

<!--XSS注入攻擊-->
  	<filter>
		<filter-name>xssFilter</filter-name>
		<filter-class>cn.parent.xss.XssFilter</filter-class>   <!--改成自己的檔案路徑-->
	</filter>
  	<filter-mapping>
		<filter-name>xssFilter</filter-name>
		   <url-pattern>/*</url-pattern><!--改成自己專案的結束字尾-->
	</filter-mapping>

測試：

在輸入框輸入 <script>alert('aa')</script> 點選提交或者儲存

如果沒有彈出對話方塊並且資料庫沒有儲存這條記錄

那麼恭喜，攔截成功

附錄

1.XssFilter.java

package cn.parent.xss;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

	@Override
	public void destroy() {

	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		request = new XssRequest(request);
		chain.doFilter(request, response);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {

	}

}

2.XssRequest.java

package cn.parent.xss;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


public class XssRequest extends HttpServletRequestWrapper{

	public XssRequest(HttpServletRequest request) {
		super(request);
	}
	

    @Override
    public String getParameter(String name) {
        // 返回值之前 先進行過濾
        return XssShieldUtil.stripXss(super.getParameter(XssShieldUtil.stripXss(name)));
    }

    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先進行過濾
        String[] values = super.getParameterValues(XssShieldUtil.stripXss(name));
        if(values != null){
            for (int i = 0; i < values.length; i++) {
                values[i] = XssShieldUtil.stripXss(values[i]);
            }
        }
        return values;
    }


}

3.XssShieldUtil.java

package cn.parent.xss;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;


public class XssShieldUtil {
	private static List<Pattern> patterns = null;

	private static List<Object[]> getXssPatternList() {
		List<Object[]> ret = new ArrayList<Object[]>();

		ret.add(new Object[] { "<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE });
		ret.add(new Object[] { "<(no)?iframe[^>]*>.*?</(no)?iframe>", Pattern.CASE_INSENSITIVE });
		ret.add(new Object[] { "eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] { "expression\\((.*?)\\)",
				Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] { "(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE });
		ret.add(new Object[] { "<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>",
				Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] {
				"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*",
				Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		ret.add(new Object[] {
				"<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+",
				Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL });
		return ret;
	}

	private static List<Pattern> getPatterns() {

		if (patterns == null) {

			List<Pattern> list = new ArrayList<Pattern>();

			String regex = null;
			Integer flag = null;
			int arrLength = 0;

			for (Object[] arr : getXssPatternList()) {
				arrLength = arr.length;
				for (int i = 0; i < arrLength; i++) {
					regex = (String) arr[0];
					flag = (Integer) arr[1];
					list.add(Pattern.compile(regex, flag));
				}
			}

			patterns = list;
		}

		return patterns;
	}

	public static String stripXss(String value) {
		if (StringUtils.isNotBlank(value)) {

			Matcher matcher = null;

			for (Pattern pattern : getPatterns()) {
				matcher = pattern.matcher(value);
				// 匹配
				if (matcher.find()) {
					// 刪除相關字串
					value = matcher.replaceAll("");
				}
			}

			value = value.replaceAll("<", "<").replaceAll(">", ">");
		}
		return value;
	}

}

java防止xss注入攻擊

後面附錄有三個.java文件 1.把文件拷進專案中（最好建立一個單獨的包存放），然後修改引入路徑，看到不報錯那麼第一步完成。 2.開啟web.xml配置檔案  <filter> <filter-name&

java防止xss指令碼注入攻擊，採用spring工具類方式

XSSRequestWrapper.java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.ap

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案，

Java防止XSS攻擊

stream false end public catch while one 數據 tro 方法一： 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Overr

java 防止 XSS 攻擊的常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現，但要註意的時，在WEB.XML 中配置 filter 的時候，請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

java 防止 XSS 攻擊的常用方法總結.

在前面的一篇文章中，講到了java web應用程式防止 csrf 攻擊的方法，參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式，還有其他方式，比如今天要記錄的 XSS 攻擊， XSS 攻擊的專業解釋，可以在網上搜索一下，參考百

java 防止 XSS 攻擊的常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

sql注入攻擊和PreparedStatement有效防止sql注入攻擊

【1】sql注入攻擊： /** * SQL 注入. */ @Test public void testSQLInjection() { String username = "a' OR PASSWORD = "; String password = " OR '1'='1

HTML轉義以及防止JS注入攻擊

目的這周在開發即時聊天的時候，發生存在JS注入攻擊的問題。如果使用者輸入了一段js指令碼。例如： <script>alert('我進來了');</script> 頁面會彈出一個對話方塊，或者輸入的指令碼中有改變頁面js變數的程式碼則會時程式

java防止SQL注入的兩種方法

1.採用預編譯語句集，它內建了處理SQL注入的能力，只要使用它的setString方法傳值即可： String sql= "select * from users where username=? and password=?; PreparedStatement

網站漏洞修復方案防止SQL注入攻擊漏洞

SQL注入漏洞在網站漏洞裡面屬於高危漏洞，排列在前三，受影響範圍較廣，像asp、.net、PHP、java、等程式語言編寫的程式碼，都存在著sql注入漏洞，那麼如何檢測網站存在sql注入漏洞？SQL注入漏洞測試方法在程式程式碼裡不管是get提交,post提交，cookies的

[SpringMVC]通過Filter實現防止xss注入案例實戰

XSS : 跨站指令碼攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意html程式碼，當用戶瀏覽該頁之時，嵌入其中Web裡面

淺談html轉義及防止javascript注入攻擊

有的時候頁面中會有一個輸入框，使用者輸入內容後會顯示在頁面中，類似於網頁聊天應用。如果使用者輸入了一段js指令碼，比例：<script>alert('test');</script>,頁面會彈出一個對話方塊，或者輸入的指令碼中有改變頁面js變數的程

Mybatis防止SQL注入攻擊

相比於ORM框架，Mybatis只能被稱為半自動持久層框架，它其實是將JDBC進行了輕量級的封裝，提供SQL對映能力，便於更為方便地管理專案中的SQL程式碼，同時避免程式設計師重複手動編寫連線資料庫底層程式碼，並提供資料快取能力。 JDBC在使用時存在SQL注

java 防止SQL注入字串過濾

防止SQL注入，字串過濾關鍵字元 public class SQLFilterTest { public static void main(String[] args) {

JS轉換HTML轉義符，防止javascript注入攻擊，親測可用

//去掉html標籤 1 2 3 function removeHtmlTab(tab) { return tab.replace(/<[^<>]+?>/g,'');//刪除所有HTML標籤 } //普通字元轉換

解決html轉義及防止javascript注入攻擊

第一種：value="${wcrActivity.activityTitle.replace(/</g,'<').replace(/>/g,'>').repla

如何防止SQL注入攻擊

SQL注入攻擊的危害性很大，在講解其防止方法之前，資料庫管理員有必要想了解一下其攻擊的原理，這有利於管理員採取有針對性的防治措施。一、SQL注入攻擊的簡單示例 statement:="select * from users where value=

防止SQL注入攻擊的一些方法小結

開頭語：SQL注入攻擊的危害性很大。在講解其防止辦法之前，資料庫管理員有必要先了解一下其攻擊的原理。這有利於管理員採取有針對性的防治措施 -----解決方案-------------------------------------------------------- 過濾

防止XXE注入攻擊

一、XML基礎知識XML用於標記電子檔案使其具有結構性的標記語言，可以用來標記資料、定義資料型別，是一種允許使用者對自己的標記語言進行定義的源語言。XML文件結構包括XML宣告、DTD文件型別定義（可選）、文件元素。DTD（文件型別定義）的作用是定義 XML 文件的合法構建模

java防止xss注入攻擊

相關推薦