Java Web XSS安全防御 以你之姓@ 2022-04-06 03:38 204阅读 0赞 XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。 **一.过滤器方案** XSSFilter.java package com.bijian.study.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; /** * Servlet Filter implementation class XSSFilter */ @WebFilter("/XSSFilter") public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void destroy() { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } } XSSRequestWrapper.java package com.bijian.study.filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang.StringEscapeUtils; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest servletRequest) { super(servletRequest); } @Override public String[] getParameterValues(String parameter) { String[] values = super.getParameterValues(parameter); if (values == null) { return null; } int count = values.length; String[] encodedValues = new String[count]; for (int i = 0; i < count; i++) { encodedValues[i] = stripXSS(values[i]); } return encodedValues; } @Override public String getParameter(String parameter) { String value = super.getParameter(parameter); return stripXSS(value); } @Override public String getHeader(String name) { String value = super.getHeader(name); return stripXSS(value); } private String stripXSS(String value) { value = StringEscapeUtils.escapeHtml(value); value = StringEscapeUtils.escapeJavaScript(value); value = StringEscapeUtils.escapeSql(value); return value; } } web.xml中的配置 <filter> <filter-name>XSSFilter</filter-name> <filter-class>com.bijian.study.filter.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.jsp</url-pattern> </filter-mapping> **二.JSP的EL表达式+JSTL标签库方案** <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%> <% String path = request.getContextPath(); String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/"; String nameStr = request.getParameter("name");//用request得到 request.setAttribute("nameAttr", nameStr); %> <!DOCTYPE html> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <title>Hello</title> </head> <body> Hi,<c:out value="${nameAttr}"/> <!-- Hi,<%=nameStr%> Hi,${param.name} --> </body> </html> XSS更详细的背景及方案,请参看:[http://www.cnblogs.com/flyingeagle/articles/6746732.html][http_www.cnblogs.com_flyingeagle_articles_6746732.html] [http_www.cnblogs.com_flyingeagle_articles_6746732.html]: http://www.cnblogs.com/flyingeagle/articles/6746732.html
相关 Java安全编程:密码加密、XSS攻击防御等实例 在Java中,安全编程涉及到密码加密和防止XSS(跨站脚本)攻击。以下是两方面的实例: 1. 密码加密: ```java import javax.crypto.Cipher 爱被打了一巴掌/ 2024年09月10日 14:18/ 0 赞/ 8 阅读
相关 网络安全初探-XSS攻击方式&&防御手段 文章目录 一、什么是 XSS 二、XSS注入的方法 三、XSS 攻击的分类 1.反射型XSS 2.存储型XSS 今天药忘吃喽~/ 2023年01月22日 09:58/ 0 赞/ 196 阅读
相关 web安全——XSS攻击 1. XSS XSS, 即为(Cross Site Scripting), 中文名为跨站脚本(不使用CSS缩写是为了与层叠样式表区分)。是发生在目标用户的浏览器层 你的名字/ 2022年12月17日 07:02/ 0 赞/ 133 阅读
相关 XSS web安全浅析 ![这里写图片描述][SouthEast] ![这里写图片描述][SouthEast 1] xss 防范: (前端开发与服务端开发,HTTP,Cookie, Ajax 迈不过友情╰/ 2022年06月13日 12:25/ 0 赞/ 168 阅读
相关 web安全之XSS浅析 Web安全定义 随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在We 电玩女神/ 2022年06月07日 04:47/ 0 赞/ 188 阅读
相关 XSS 防御:Antisamy Antisamy 是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascri 梦里梦外;/ 2022年05月22日 02:57/ 0 赞/ 166 阅读
相关 Java Web XSS安全防御 XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。 以你之姓@/ 2022年04月06日 03:38/ 0 赞/ 205 阅读
相关 Web安全-XSS攻击demo Web安全之XSS攻击demo 环境: 本地html文件,IE浏览器(谷歌会屏蔽跨域请求,需要部署什么的操作,这里一切从简),django后台,mysql数据库 迈不过友情╰/ 2022年02月17日 03:32/ 0 赞/ 285 阅读
相关 xss防御 ![1062069-20190705114156614-1738673355.png][] 转载于:https://www.cnblogs.com/chengyunshen/ 谁借莪1个温暖的怀抱¢/ 2021年11月29日 18:12/ 0 赞/ 292 阅读
还没有评论,来说两句吧...