2. 程式人生 > >防止SpringMVC的XSS攻擊的方法

防止SpringMVC的XSS攻擊的方法

阿新 發佈:2019-02-01

XSS攻擊,即Cross Site Script,跨指令碼攻擊,往web頁面注入html程式碼或者script程式碼,造成頁面混亂。

HttpServletRequestWrapper 是HttpServletRequest的裝飾器。

大體流程:包裝request->建立過濾器->新增過濾器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringUtils;

public
 
 class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   String method = null;

   public DMTRequest(HttpServletRequest servletRequest) {
      super(servletRequest);
   }

   public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if
 
(values == null) {
         return null;
      } else {
         int count = values.length;
         String[] encodedValues = new String[count];

         for(int i = 0; i < count; ++i) {
            encodedValues[i] = this.cleanXSS(values[i]);
         }

         return encodedValues;
      }
   }

   public
 
 String getParameter(String parameter) {
      String value = super.getParameter(parameter);
      return value == null?null:this.cleanXSS(value);
   }

   public String getHeader(String name) {
      String value = super.getHeader(name);
      return value == null?null:this.cleanXSS(value);
   }

   private String cleanXSS(String value) {
      if(StringUtils.isEmpty(value)) {
         return "";
      } else {
         value = value.replaceAll("\"", "").replaceAll("\'", "").replaceAll("<", "").replaceAll(">", "");
         value = value.replaceAll("eval\\((.*)\\)", "");
         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
         value = value.replaceAll("script", "");
         return value;
      }
   }
}
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper (
                (HttpServletRequest) request), response);
    }
}

在web.xml檔案中將該過濾器放在最前面或者是字元編碼過濾器之後:

    filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>xxx.xxx.filter.XssFilter</filter-class>
        <init-param>
            <param-name>exclude</param-name>
            <param-value>/;/scripts/*;/styles/*;/images/*</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>*.html</url-pattern>
        <!-- 直接從客戶端過來的請求以及通過forward過來的請求都要經過該過濾器 -->
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
    </filter-mapping>

相關推薦

域名做CDN來通過隱藏服務器真實IP的方法防止DDoS攻擊(轉)

send 什麽 前端 內容 高防 解析 代理 信息 子域 隱藏服務器真實IP是解決問題最好和最快的方法,但只針對小流量,大流量同樣會扛不住。 服務器前端加CDN中轉,比如阿裏雲、百度雲加速、360網站衛士、加速樂、安全寶等,如果資金充裕的話,可以購買高防的盾機,用於隱

網站服務器防止DDOS攻擊方法

安全 代理 運行 關閉 三方 域名解析 360網站衛士 攻擊 ddos 1、保證服務器系統的安全首先要確保服務器軟件沒有任何漏洞,防止攻擊者入侵。確保服務器采用最新系統,並打上安全補丁。在服務器上刪除未使用的服務,關閉未使用的端口。對於服務器上運行的網站,確保其打了最新的補

java 防止 XSS 攻擊的常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

django 防止xss攻擊標記為安全的二種方法

str='<a href="/page?page=1">1</a>' 一,在前端模板語言中實現,只須用到幫助函式safe.如:   {{ str|safe }}   二,在後端views中實現:   from django.utils.safestring impo

java介面防止XSS攻擊的常用方法總結

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百

[前端]防止xss攻擊的最簡單方法

xss攻擊:跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻

php防止xss攻擊方法

其實就是過濾從表單提交來的資料,使用php過濾函式就可以達到很好的目的。 <?php   if (isset($_POST['name'])){       $str = trim($_POST['name']);  //清理空格     $str = stri

java 防止 XSS 攻擊的常用方法總結.

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百

java 防止 XSS 攻擊的常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

關閉Domino中HTTP的Trace方法防止xst攻擊

開啟Administrator中, 如果開啟了internet站點配置 配置——Web——Internet站點配置——配置——允許的方法(trace的複選框去掉即可) 如果未開啟Internet站點: data目錄——notes.ini——增加配置HTTPDisa

跨域post 及 使用token防止csrf 攻擊

發生 guid form eba 代碼 host fault 而不是 發送郵件 環境: 後臺使用的python - flask 前臺使用angular框架 1.一個跨域post的樣例: 跨域post有多種實現方式:

開啟CSP網頁安全政策防止XSS攻擊

使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

特殊字符的過濾,防止xss攻擊

factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

linux中redis的安裝配置,後門漏洞修復及其攻擊方法整合

conf eid member 策略 ron 分享 正數 二進制 我想 Linux上redis安裝: 需先在服務器上安裝yum(虛擬機可使用掛載的方式安裝) 安裝配置所需要的環境運行指令: yum -y install gcc 進入解壓文件執行make 指令進行編譯 執

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

CodeIgniter 防止XSS攻擊

rip file input 默認 嘗試 應該 而是 data scrip CodeIgniter 包含了跨站腳本攻擊的防禦機制,它可以自動地對所有POST以及COOKIE數據進行過濾,或者您也可以針對單個項目來運行它。默認情況下,它 不會 全局運行,因為這樣也需要一些執行

mysql-防止XSS攻擊

xss攻擊 style -s 查詢 cut 參數化查詢 pre mysql 數據庫 1,防止Xss攻擊 數據庫查詢數據操作,為了防止註入,要執行參數化查詢,也就是直接利用execute直接進行sql語句的執行, 因為exexute本身就有接收語句變量的參數位, exe

CentOS下防禦或減輕DDoS攻擊方法(轉)

style req lac 建立 pan 比較 端口 indicate 9.1 說明:還是老話題,不可能完全杜絕,只能減輕。 查看攻擊IP 首先使用以下代碼,找出攻擊者IP netstat -ntu | awk ‘{print $5}‘ | cut -d: -f1

微軟AntiXSS防止xss攻擊類庫

輸入 添加 lan 轉義 visual class cin java 最新 AntiXSS,由微軟推出的用於防止XSS攻擊的一個類庫,可實現輸入白名單機制和輸出轉義。 AntiXSS最新版的下載地址:http://wpl.codeplex.com 下載安裝

變量安全過濾,防止xss攻擊

轉義 javascrip dai post ash time return 空格 去除 下面這個方法不管是字符串還是數組,都可以進行過濾 /** * @purpose : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全