xss过滤器

最新推荐文章于 2026-03-29 03:37:32 发布
原创 最新推荐文章于 2026-03-29 03:37:32 发布 · 1.1k 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#filter #interceptor #servlet #过滤器
本文介绍如何使用Java过滤器防止XSS攻击,通过创建两个核心类:过滤器类和重写getParameter()方法,对参数进行XSS过滤,确保Web应用安全。

java通过过滤器方式,预防xss攻击:

一共两个类:

1.过滤器

2.通过重写getParameter()方法,将参数名和参数都做xss过滤

以下为具体代码:

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.text.CharacterIterator;
import java.text.StringCharacterIterator;
import java.util.regex.Pattern;

public class XssHttpServletRequestWrapperNew extends HttpServletRequestWrapper{
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapperNew(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
            value = HTMLEncode(value);
        }
        return value;
    }

    /**
     * 对一些特殊字符进行转义
     */
    public static String HTMLEncode(String aText){
        final StringBuilder result = new StringBuilder();
        final StringCharacterIterator iterator = new StringCharacterIterator(aText);
        char character =  iterator.current();
        while (character != CharacterIterator.DONE ){
            if (character == '<') {
                result.append("&lt;");
            } else if (character == '>') {
                result.append("&gt;");
            } else if (character == '&') {
                result.append("&amp;");
            } else if (character == '\"') {
                result.append("&quot;");
            } else {
                result.append(character);
            }
            character = iterator.next();
        }
        return result.toString();
    }


    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 目前xssProject对注入代码要求是必须开始标签和结束标签(如<script></script>)正确匹配才能解析,否则报错;因此只能替换调xssProject换为自定义实现
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }

        String result = stripXSS(s);
        if (null != result) {
            result = escape(result);
        }

        return result;

    }

    public static String escape(String s) {
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append('>');// 全角大于号
                    break;
                case '<':
                    sb.append('<');// 全角小于号
                    break;
                case '\'':
                    sb.append('‘');// 全角单引号
                    break;
                case '\"':
                    sb.append('“');// 全角双引号
                    break;
                case '\\':
                    sb.append('\');// 全角斜线
                    break;
//                case '%':
//                    sb.append('%'); // 全角冒号
//                    break;
                default:
                    sb.append(c);
                    break;
            }

        }
        return sb.toString();
    }

    private static String stripXSS(String value) {
        if (value != null) {

            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("</iframe>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<iframe(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

    /**
     * 获取最原始的request
     *
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     *
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapperNew) {
            return ((XssHttpServletRequestWrapperNew) req).getOrgRequest();
        }

        return req;
    }

}

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapperNew(
                (HttpServletRequest) request), response);

    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

 

记一次任意文件下载漏洞思路(jeesite框架)
Websec
09-10 1万+
1、测试某个系统的文件下载的接口,看到下载接口的参数为url,参数值是文件的绝对路径,实测发现存在任意文件下载的漏洞。 post包如下: GET /xxxx/oaNotify/downLoadFile?fileUrl=xxxxxx.pdf HTTP/1.1 Host:xxxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:80.0) Gecko/20100101 Firefox/80.0 Accept: text/html.
绿盟科技扫描出JavaWeb项目的一些漏洞
m0_58571759的博客
07-09 933
该问题是由于项目中用的jQuery版本太低的问题,升级Jquery版本为3.6.1,因为升级之后的版本不兼容之前的版本,需要引入JQuery提供的jQuery Migrate v3.4.0。已上三点的解决方案主要是给项目配置过滤器,将URL中的特殊字符过滤掉。但是其中还会存在一些兼容性问题,在引入之后引入一些改写的方法。CookieHttpOnlyFilter.java文件。1、检测到目标URL存在宽字节跨站漏洞。2、检测到目标URL存在框架注入漏洞。3、检测到目标URL存在链接注入漏洞。
别再被XSS攻击困扰!SpringBoot+Hutool过滤器配置全解析
最新发布
weixin_30555125的博客
03-29 515
本文详细解析了如何使用SpringBootHutool构建高效的XSS防护体系,通过轻量级过滤器配置HTML净化引擎,有效防御各类XSS攻击。文章涵盖攻击原理、Hutool的净化机制、SpringBoot过滤器实现及生产环境最佳实践,帮助开发者全面提升Web应用安全性。
AppScan检查到的一些中高危漏洞解决方案
zhaofuqiangmycomm的博客
06-07 3097
解决办法:在shiro的配置文件中 引入 解决办法:在shiro的配置文件中 引入 2.1再加全局拦截器: 再看所有请求头中已有Secure HttpOnly属性2.2.servlet3及以上 在web.xml中引入 http-only secure的属性 解决办法:mvc全局拦截器处理非法字符 解决办.......................................
JeeSite3.0框架Shiro序列化漏洞修复解决方法
weixin_43865714的博客
02-16 2463
Jeesite3.0框架项目Apache Shiro 反序列化漏洞修复
Java 过滤器解决URLSQL注入漏洞、跨站漏洞、框架注入漏洞、链接注入漏洞
SuperstarSteven的博客
08-16 6841
一、 漏洞描述 1. 检测到目标URL存在SQL注入漏洞 很多WEB应用中都存在SQL注入漏洞。SQL注入是一种攻击者利用代码缺陷进行攻击的方式,可在任何能够影响数据库查询的应用程序参数中利用。例如url本身的参数、post数据或cookie值。 2.检测到目标URL存在跨站漏洞 跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时,通常会点击其中的链接。攻击者通过在链接中插入恶意代码,就能够盗取用户信息或在终端用户系统上执行恶意代码
SDU项目实训——xss过滤器功能实现
m0_55633961的博客
06-03 898
XSS 即(Cross Site Scripting)中文称为:跨站脚本攻击。XSS的重点不在于跨站点,而在于脚本的执行。那么XSS的原理是: 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。那么XSS攻击最主要有如下分类:反射型、存储型、及 DOM-based型。 反射性DOM-baseed型可以归类为非持久性XSS攻击。存储型可以归类为持久性XSS攻击。反射性XSS的原理是:反射性xss一般
Xss过滤器
weixin_43326384的博客
11-30 789
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
java过滤器过滤xss_Java 审计 之过滤器防御xss
weixin_39615956的博客
02-24 710
Java 审计 之过滤器防御xss0x00 前言本文从攻击与防守两个角度来思考一些审计中的小细节。在前面两篇的xss审计中,写少了一个比较重要的点,就是Filter过滤器。都说Java的审计第一步就是先看web.xml,能看到该cms使用的是哪些框架来进行开发。其次就是看其有没有配置的一些过滤器。审计文章:0x01 Filter防御xss关于过滤器的内容,在Java学习系列文章中,其实已经讲到了。...
Jeesite安全问题检查及解决方案
chuannie2342的博客
07-27 1525
1、检测到目标URL存在跨站漏洞,检测到目标URL存在框架注入漏洞。 解决方案: 第一步:web.xml注册监听 <filter> <filter-name>XssFilter</filter-name> <filter-class...
检测到目标url存在框架注入漏洞_CheckXSS:基于 Python3 的跨站脚本漏洞检测工具...
weixin_39611037的博客
11-27 1346
一、工具安装下载地址项目地址:Jewel591/CheckXSS或使用 git 命令直接克隆项目到本地:git clone https://github.com/Jewel591/CheckXSS.git环境搭建注意:需要使用 python 3.6, python3.7 由于字符转义问题,运行会报错。进入项目目录,使用 pip 安装 python 模块:pip3 install -r requir...
检测到目标url存在框架注入漏洞_Django JSONField SQL注入漏洞复现(CVE-2019-14234)
weixin_40000131的博客
11-22 1157
0x00 简介Django是一款广为流行的开源web框架,由Python编写,许多网站app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。而且Django还包含许多功能强大的第三方插件,使得Django具有较强的可扩展性。0x01 漏洞概述该漏洞需要开发者使用了JSONFie...
检测到目标url存在框架注入漏洞_HOST注入攻击剖析
weixin_39609500的博客
12-15 4009
关于网站的渗透测试可能师傅们都有自己一套思路,有个共同点就是目标网站基本属于全静态页面,几乎很少存在动态参数这时意味着客户端无法通过提交参数形式进行测试,理论上也规避掉了许多风险。既然无法从参数层面进行测试,那么考虑尝试下修改header中的值看看是否被服务端允许,比如HOST值一HOST标头概念 host标头作为Request Header中不可或缺的一部分,大家知...
关于JeeSite框架Shiro序列化漏洞修复解决方法
ying_521125的博客
11-21 4115
关于JeeSite框架Shiro序列化漏洞修复解决方法 一、升级shiro的版本 将这里改为百度上所说的那个有漏洞的版本以上的随便版本:1.2.4以上版本 这里刚开始以为修改版本就可以解决这个漏洞,然而并没有。所以产生了第二步。 二、配置动态密匙 1、找到项目shiro配置文件 2、按照源码的方式新写一个秘钥生成器 (1) 到项目种shiro目录下面新建一个类(如下图) (2) 详细代码 public class GenerateCipherKey { /** * 随机生成密匙
JAVA:URL存在跨站漏洞,注入漏洞解决方案
yiluoAK_47的专栏
12-12 5496
跨网站脚本介绍 一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载
接口验证限制响应次数
weixin_45943355的博客
03-08 1121
需求分析 最近很闲,就写个功能型小程序,用uniapp写的,没有使用云数据库,就自己买了个腾讯的云服务器,很便宜,在买个域,十多天完成备案,把这些都准备好就可以开始写了,首先就想到了2个功能,短视频解析运动步数修改,这些代码都是网上参考原理写出来的。因为我懒得弄那些加密什么的,本以为就自己用,没想到居然还有人使用xss注入攻击我网站,真的无语。后台使用的是jeesite社区版的,功能很强大,那些sql注入都被拦截下来了,我看了也就没理会,以为他会放弃的,可没想到攻击者一个接着一个来,都不消停了,看.
web安全(5)-- 越权操作
热门推荐
TaneRoom的博客
11-18 2万+
越权漏洞是比较常见的漏洞类型,越权漏洞可以理解为,一个正常的用户A通常只能够对自己的一些信息进行增删改查,但是由于程序员的一时疏忽未对信息进行增删改查的时候没有进行一个判断,判断所需要操作的信息是否属于对应的用户,可以导致用户A可以操作其他人的信息。​
解决jeesite ckfinder上传中文文件无法查看的问题
weixin_43865714的博客
02-16 512
解决jeesite ckfinder上传中文文件无法查看的问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值