2. 程式人生 > >java防止跨站點XSS攻擊的方法

java防止跨站點XSS攻擊的方法

阿新 發佈:2019-02-20

com.frameworkset.common.filter.CharsetEncodingFilter

CharsetEncodingFilter是不具備防止跨站攻擊功能的,但是為其增加兩個init-param引數後就可以了:

    wallfilterrules 指定黑名單單詞表,以逗號分隔多個單詞,只要在引數值中出現其中的一個單詞,引數值就會被置為null(即引數被過濾掉)
   wallwhilelist  指定不會被黑名單檢測的引數的名稱清單,多個引數以逗號分隔,白名單中的引數安全性需要應用程式自己控制,對值中出現的非法字元需要進行相應的處理後再輸出到客服端(比如,針對瀏覽器的轉義處理等措施) 

<filter>  
        <filter-name>CharsetEncoding</filter-name>  
        <filter-class>com.frameworkset.common.filter.CharsetEncodingFilter</filter-class>  
        <init-param>  
          <param-name>RequestEncoding</param-name>  
          <param-value>UTF-8</param-value>  
        </init-param>  
        <init-param>  
          <param-name>ResponseEncoding</param-name>  
          <param-value>UTF-8</param-value>  
        </init-param>  
        <init-param>  
          <param-name>mode</param-name>  
          <param-value>0</param-value>  
        </init-param>    
        <init-param>  
          <param-name>checkiemodeldialog</param-name>  
          <param-value>true</param-value>  
        </init-param>  
          
        <init-param>  
          <param-name>wallfilterrules</param-name>  
          <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D]]>  
          </param-value>            
        </init-param>  
          
        <init-param>  
          <param-name>wallwhilelist</param-name>  
          <param-value><![CDATA[content,fileContent]]>  
          </param-value>
        </init-param>  
          
    </filter>


相關推薦

java防止站點XSS攻擊方法

com.frameworkset.common.filter.CharsetEncodingFilter CharsetEncodingFilter是不具備防止跨站攻擊功能的,但是為其增加兩個init-param引數後就可以了:     wallfilterrules 指定

防止SpringMVC的XSS攻擊方法

XSS攻擊,即Cross Site Script,跨指令碼攻擊,往web頁面注入html程式碼或者script程式碼,造成頁面混亂。 HttpServletRequestWrapper 是HttpSe

java後端處理XSS攻擊

解決方法新增三個類即可: XssFilter類如下: import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import or

java請求域問題解決方法

新建Util類,在Util中新增下面方法: /* * response請求跨域公共設定 */ public static HttpServletResponse

怎樣防止CSRF和XSS攻擊

本文說一下SpringMVC如何防禦CSRF(Cross-site request forgery跨站請求偽造)和XSS(Cross site script跨站指令碼攻擊)。 轉載:http://itindex.net/blog/2013/10/25/1382688

很好用的 web防止sql 注入 xss 攻擊 目錄遍歷程式碼

最近公司網站被黑的嚴重,在專案入口問價加入次下程式碼有很好的效應,自己又加了一些程式碼方便一會檢視 <?php /*雲體檢通用漏洞防護補丁v1.1 更新時間:2013-05-25 功能說明:防護XSS,SQL,程式碼執行,檔案包含等多種高危漏洞 */ $url_arr

SSM框架搭建網站防止站指令碼攻擊(一)

第一篇 1. 個人網站使用SSM框架搭建的,上線前使用IBM Security AppScan Standard掃描漏洞出現跨站指令碼攻擊。 修復方案  普遍的解決方案是新增攔截器。 1.在專案中新建一個攔截器 XssFilter .java impo

Spring MVC通過攔截器處理sql注入、XSS攻擊風險(jeecg)

最近一個以前做的政府網站被資訊保安部門掃描了一下,存在一些風險,發了一份安全報告過來。所以開始對這個網站進行安全性升級。其中主要的幾個問題是sql注入風險、跨站xss攻擊和連結注入問題。 首先,什麼是sql注入,度娘一下一大堆,官方語言我就不多說了,說說我自己

java 防止 XSS 攻擊的常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

java介面防止XSS攻擊的常用方法總結

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百

java 防止 XSS 攻擊的常用方法總結.

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百

java 防止 XSS 攻擊的常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

Java防止XSS攻擊

stream false end public catch while one 數據 tro 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Overr

站指令碼攻擊XSS) 漏洞原理及防禦方法

注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/83745195 XSS跨站指令碼攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用程式碼儲存在資料庫或檔案中,當web程式讀取利用程

java防止xss注入攻擊

後面附錄有三個.java文件 1.把文件拷進專案中(最好建立一個單獨的包存放),然後修改引入路徑,看到不報錯那麼第一步完成。 2.開啟web.xml配置檔案 <!--XSS注入攻擊--> <filter> <filter-name&

Java Web使用過濾器防止Xss攻擊,解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

django 防止xss攻擊標記為安全的二種方法

str='<a href="/page?page=1">1</a>' 一,在前端模板語言中實現,只須用到幫助函式safe.如:   {{ str|safe }}   二,在後端views中實現:   from django.utils.safestring impo

JAVA WEB中處理防SQL注入|防XSS站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

asp.net 360通用防護程式碼,防止sql注入與xss站漏洞攻擊

這是360提供的一個aspx公用程式碼,可以防止sql注入漏洞,xss跨站攻擊漏洞,如果您的網站被360掃描,出現sql注入或跨站攻擊等相關漏洞,沒有較好的解決方案,倒是可以採用該方法進下防範。 -----------------使用方法------------