2. 程式人生 > >配置過濾器filter對跨站指令碼攻擊XSS實現攔截

配置過濾器filter對跨站指令碼攻擊XSS實現攔截

阿新 發佈:2019-02-08

filter的原理圖見上博原理圖

1.web.xml中配置filter

  <filter>
  	<filter-name>XssFilter</filter-name>
  	<filter-class>com.wk.util.XssFilter</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>XssFilter</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>

2.編寫相應的filter的java類 
package com.wk.util;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

	@Override
	public void destroy() {

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new XssHttpServletRequestWraper(
                (HttpServletRequest)request), response);//對request和response進行過濾
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {

	}

}
3.編寫字元過濾類 
package com.wk.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * 
 * @author wk
 * @date 2015-8-6
 */
public class XssHttpServletRequestWraper extends HttpServletRequestWrapper {

	public XssHttpServletRequestWraper(HttpServletRequest request) {
		super(request);
	}

	@Override
	public String getParameter(String name) {
		return clearXss(super.getParameter(name));
	}

	@Override
	public String getHeader(String name) {
		return clearXss(super.getHeader(name));
	}

	@Override
	public String[] getParameterValues(String name) {
		String[] values = super.getParameterValues(name);
		if (values == null) {
			return null;
		}
		String[] newValues = new String[values.length];

		for (int i = 0; i < values.length; i++) {
			newValues[i] = clearXss(values[i]);
		}

		return newValues;
	}

	/**
	 * 處理字元轉義
	 * 
	 * @param value
	 * @return
	 */
	private String clearXss(String value) {
		if (value == null || "".equals(value)) {
			return value;
		}
		value = value.replaceAll("<", "<").replaceAll(">", ">");
		value = value.replaceAll("\\(", "(").replace("\\)", ")");
		value = value.replaceAll("'", "'");
		value = value.replaceAll("eval\\((.*)\\)", "");
		value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
				"\"\"");
		value = value.replace("script", "");
		return value;
	}

}


4.當然嘍,此處多說一句,在裝飾類中不僅可以攔截XSS指令碼攻擊,還可以將請求引數中的空格去掉,這樣就不用在每一個action中都要去掉提交引數值的前後空格了,至於Injection Flows等sql注入的問題也可以一概解決了

相關推薦

配置過濾器filter指令碼攻擊XSS實現攔截

filter的原理圖見上博原理圖 1.web.xml中配置filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.wk.u

指令碼攻擊xss學習

0、認識跨站指令碼 舉一個跨站指令碼的簡單例子。 假設一個頁面將使用者輸入的引數直接顯示到頁面之中。(比如有如下程式碼) 在實際的瀏覽器中,在param中提交的引數正常會展示到頁面之中。比如輸入下面的URL: 然後發現瀏覽器頁面的提供會變成這樣: 此時如果提交下面的URL: 會發現

XSS指令碼攻擊----XSS攻擊的三種類型

一、簡介 什麼是XSS? 百度百科的解釋: XSS又叫CSS  (Cross Site Script) ,跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意使用者的特殊目的。

如何解決指令碼攻擊

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

XSS(Cross Site Scripting)-指令碼攻擊

XSS(Cross Site Scripting)-跨站指令碼攻擊 XSS介紹 XSS攻擊目的及原理 解決方案 [科普]如何防止跨站點指令碼攻擊 XSS介紹 XSS是跨站指令碼攻擊(Cross Site Scripting)的縮

XSS指令碼攻擊以及解決辦法

來源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全稱為Cross Site Script,跨站指令碼攻擊,是WEB程式中一種常見的漏洞。其主要的攻擊手段是在在利用網站上的可由使用者輸入資訊的地方,惡意注入含有攻擊性的指令碼,達到攻擊網

web安全(1)-- XSS指令碼攻擊

XSS攻擊,通常指黑客通過“html注入” 篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁的時候,控制使用者瀏覽器的一種攻擊。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)一段惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程式碼會自動執行,從而達到攻擊的目的。如,盜取使用者Co

DVWA之DOM XSS(DOM型指令碼攻擊)

LOW 原始碼: <?php # No protections, anything goes ?> 從原始碼可以看出,這裡low級別的程式碼沒有任何的保護性措施! 頁面本意是叫我們選擇預設的語言,但是對default引數沒有進行任何的過濾 所以我們

指令碼攻擊XSS) 漏洞原理及防禦方法

注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/83745195 XSS跨站指令碼攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用程式碼儲存在資料庫或檔案中,當web程式讀取利用程

XSS指令碼攻擊

閱讀目錄 1、簡介 2、原因解析 3、XSS攻擊分類   3.1、反射型xss攻擊   3.2、存貯型xss攻擊   3.3、DOMBasedXSS(基於dom的跨站點指令碼攻擊) 4、XSS攻擊例項分析   例1、簡單XSS攻擊   例2、盜取cookie 5

PHP漏洞全解(四)-xss指令碼攻擊【轉】

轉自:https://www.cnblogs.com/pingliangren/p/5586977.html XSS(Cross Site Scripting),意為跨網站指令碼攻擊,為了和樣式表css(Cascading Style  Sheet)區別,縮寫為XSS 跨站指令碼主

XSS技巧拓展】————4、淺談指令碼攻擊與防禦

跨站指令碼簡稱xss(cross-site scripting),利用方式主要是藉助網站本身設計不嚴謹,導致執行使用者提交的惡意js指令碼,對網站自身造成危害。xss漏洞是web滲透測試中最常見而又使用最靈活的一個漏洞,近期在拜讀了《白帽子講web安全》、《Web實戰篇》、《XSS跨站指令碼

《白帽子講Web安全》3-指令碼攻擊XSS

第3章 跨站指令碼攻擊(XSS) 3.1 XSS簡介 Cross Site Script,跨站指令碼攻擊,簡稱XSS。 XSS攻擊,通常是指黑客通過“HTML注入”篡改了網頁,插入了惡意的指令碼,從而在客使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。

JAVA WEB中處理防SQL注入|防XSS指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

【安全測試】Web應用安全之XSS指令碼攻擊漏洞相關

閱讀目錄 歡迎轉載,也請註明出處 :http://www.cnblogs.com/Detector/p/8811216.html 謝謝!前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞

指令碼攻擊(Cross-site scripting,通常簡稱為XSS)阿里雲防護

漏洞描述:        跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的程式碼放到伺服器上作為一個網頁內容, 使得其他網站使用

XSS 指令碼攻擊 學習筆記 (一) 概念與簡單XSS構造

XSS是個啥? ### XSS 跨站指令碼攻擊。通過HTML注入篡改網頁,插入惡意指令碼。 啥是XSS? 首先我們寫了一個PHP <?php $input = $_GET["id"]; echo "<div>".$input."&l

SpringMVC 指令碼攻擊防護(防止XSS攻擊

SpringMVC 跨站指令碼攻擊防護(防止XSS攻擊) 定義一個基礎controller import org.springframework.beans.propertyeditors.StringTrimmerEditor; import org.springfr

XSS 指令碼攻擊

跨站指令碼攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意Script程式碼,當用戶瀏覽該頁之時,嵌入

【安全測試】Web應用安全之XSS指令碼攻擊漏洞

前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞》的報告文件,來源是一個叫漏洞盒子的機構,看它的官方介紹,是一個網際網路安全測試眾測平臺。 第一次在實際工作中遇到相關的問題,所以決定再系統的