使用装饰器防止Xss攻击

最新推荐文章于 2023-12-27 13:29:54 发布
原创 最新推荐文章于 2023-12-27 13:29:54 发布 · 293 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#Xss #servlet

使用装饰器防止Xss攻击

  1. 创建一个装饰器用来增强request的getParamter方法
  2. 重写getParameter方法,让此方法 过滤hmtl代码里面的”<” 和”>”符号
/**
 * 装饰器模式防止xxs攻击
 * @author zengxin
 *
 */
public class MyHtmlRequest extends HttpServletRequestWrapper{                                                                                                                                                                                                                          
    private HttpServletRequest request;

    public MyHtmlRequest(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    @Override
    public String getParameter(String name) {


        return getHtml(name);
    }

    /**
     * 处理html字符
     * 
     */
    private String getHtml(String name){
        String value = request.getParameter(name);
        //result 用于接受转义后的字符
        StringBuffer result = new StringBuffer();

        char[] contentes = new char[value.length()];
        //start到end-1位置上的字符复制到字符数组contentes中
        value.getChars(0, value.length(), contentes, 0);

        for(int i=0;i<contentes.length;i++){
            System.out.println(contentes[i]);
            switch (contentes[i]) {
            //将“<转”义为&lt
            case '<':
                result.append("&lt");
                break;
            case '>':
                result.append("&gt");
                break;
            default:
                result.append(contentes[i]);
                break;
            }
        }
        return result.toString();
    }


}

Filter 设置

1. 将装饰器MyHtmlRequest创建的request
2.使用filter携带增强的reuqest

public class MyHtmlFilter implements Filter{

    @Override
    public void init(FilterConfig filterconfig) throws ServletException {


    }

    @Override
    public void doFilter(ServletRequest servletrequest,
            ServletResponse servletresponse, FilterChain filterchain)
            throws IOException, ServletException {
        //将ServletRequest转换为HttpServletRequest
        HttpServletRequest request = (HttpServletRequest)servletrequest;

        MyHtmlRequest req = new MyHtmlRequest(request);
        //将ServletResponse转换为HttpServletResponse
        HttpServletResponse response  = (HttpServletResponse)servletresponse;

        System.out.println("将放行");
        //filter放行后携带request和response
        filterchain.doFilter(req, response);



    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

}

filter拦截MyHtmlServlet

  <!-- HMTL filter设置 -->
  <filter>
    <filter-name>MyHtmlRequest</filter-name>
    <filter-class>com.zx.servletXXs.MyHtmlFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>MyHtmlRequest</filter-name>
    <url-pattern>/MyHtmlServlet</url-pattern>
  </filter-mapping>

  ```

## Servlet接收数据后显示数据

```java

public class MyHtmlServlet extends HttpServlet{

    @Override
    public void init() throws ServletException {
        // TODO Auto-generated method stub
        super.init();
    }

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        PrintWriter out = resp.getWriter();
        String value = req.getParameter("user");
        System.out.println(value);


        out.println(value);


        out.flush();
        out.close();


    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {


    }

    @Override
    public void destroy() {
        super.destroy();
    }
}






<div class="se-preview-section-delimiter"></div>

servlet设置

  <servlet>
    <servlet-name>MyHtmlServlet</servlet-name>
    <servlet-class>com.zx.servletXXs.MyHtmlServlet</servlet-class>
  </servlet>
 <servlet-mapping>
    <servlet-name>MyHtmlServlet</servlet-name>
    <url-pattern>/MyHtmlServlet</url-pattern>
  </servlet-mapping>

QQ截图20180105194103.png-29.6kB

当提交后显示:
QQ截图20180105194150.png-30.3kB

SpringMVC解析JSON请求数据问题解析
10-20
主要介绍了SpringMVC解析JSON请求数据问题解析,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1639
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
XSS和sql注入拦截器+请求包装
weixin_38861291的博客
11-18 1299
背景: 项目中经常遇到sql注入和XSS攻击,此时我们需要编写拦截器来对前台上传参数进行合法性校验。下面为从请求中读取参数的一些规则: 1.application/x- www-form-urlencoded是post和form表单默认的类型。Servlet API规范中对该类型的请求内容提供了request.getParameter() 方法来获取请求参数值(其他类型的不可以调用此方法)。 2.当请求内容不是application/x- www-form-urlencoded类型时,需要调用reques
springboot经验之sql注入、xss注入拦截(POST)
lipeng的博客
02-08 4315
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
过滤器防止XSS攻击
qq_34567533的博客
10-22 1088
xss是钓鱼网站常用的方式,具体就是在提交的表单中加入脚本,数据在回显时浏览器执行了脚本, 具体的脚本可以是获取cookie,或者跳转至钓鱼网站; 解决方法,通过过滤器,将&lt;&gt;转义 新建filter实现类; package com.group.local.filter; import javax.servlet.*; import javax.servlet.http.Ht...
java 富文本 过滤xss_富文本编辑框和防止xss攻击
weixin_35252187的博客
02-16 1393
一、后台管理页面构建1、创建后台管理urlurlpatterns = [...# 后台管理urlre_path("cn_backend/$", views.cn_backend),re_path("cn_backend/add_article/$", views.add_article),...]2、构造视图函数from django.contrib.auth.decorators import ...
web抵御XSS攻击
市民景先生
07-09 918
目录1.概念2.解决办法3.覆盖Http请求方法XSS:Cross Site Script ,为了区分css改写成xss,通过注入“HTML注入”,篡改了网页,插入了恶意脚本。等到用户加载的时候就会自动执行恶意脚本,如果在浏览器上执行javacript就可以盗取Cookie或者Token1).设置过滤器编写过滤器,拦截请求,把请求里面的数据进行转义2).覆盖Http请求方法在请求里面获取数据的时候,调用HttpServletRequest类中getParameter()方法和getParameterValu
SpringBoot关于抵御XSS攻击的解决方案
FL_MJ的博客
12-27 1485
我们平时写Web项目遇到的,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承父类。JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了接口的实现类。同时JavaEE规范还定义了,这个类是请求类的包装类,用上了装饰器模式。不得不说这里用到的设计模式真的非常棒,无论各家应用服务器厂商怎么去实现。
python装饰器的简单运用
热门推荐
Neo
01-20 1万+
装饰器
JSP页面的执行过程
kkxxzx的博客
11-06 1630
JSP页面的执行过程什么JSP: jsp的本质就是servelt,相当于servlet进行一个包装。 JSP: java + server + pager jsp是总和技术: jsp = html + css + javascript + java代码 + jsp标签(servlet) JSP页面的执行过程 jsp文件必须运行在服务器内运行 如果第一次访问该jsp文件,web服务器就会把xxx1.j
Tomcat7目录介绍
kkxxzx的博客
11-06 1525
Tomcat7目录介绍版本7.082:目录解析: 1. bin:存放启动和关闭Tomcat的命令的路径 bin目录: * startup.bat启动Tomcat Tomcat启动后当在游览器输入:hhttp://localhost:8080进去Tomcat的页面 * shoutdown停止Tomcat 2. conf:存放Tomcat的配置,所有的Tomcat的配置都在该路径下设置
Servlet3文件单个和多个文件上传
kkxxzx的博客
01-13 1409
Servlet3文件单个和多个文件上传 Servlet3.0提供了对文件上传的支持,通过@MultipartConfig 标注和HttpServletRequest的两个新方法getPart()和getParts(),开发者能够很容易实现文件的上传操作。 body> <!-- 表单中enctype="multipart/form-data"的意思,是设置表单的
中文乱码问题
kkxxzx的博客
11-07 760
中文乱码问题及解决方法在页面中出现乱码,是由于字符编码格式对中文的支持所导致的,或者是入库数据和出库数据编码格式不一致导致的。 当前使用Tomcat 7.0.82字符编码的种类常见的字符编码对中文的支持: 编码格式 收录的字符 iso-8859-1 不支持中文 gbk2312 常用的简体汉字 gbk 简体汉字和繁体汉字 utf-8 所有国家需要的字符 JS
Tomcat账户和密码的创建
kkxxzx的博客
11-06 593
Tomcat7 账户和密码的创建 您可以 Tomcat目录下的webapps/manager/WEB-INF/web.xml文件中找到角色名称。可用的角色是: 1. manager-gui - 访问HTML界面。 2. manager-status - 只能访问“服务器状态”页面。 3. manager-script - 访问本文档中描述的工具友好纯文本界面,以及“服务器状态”页面。
jar命名打包war
kkxxzx的博客
11-11 587
使用Jar命令导出war包jar命令参数:jar命令格式:jar {c t x u f }[ v m e 0 M i ][-C 目录]文件名。其中{ctxu}这四个参数必须选选其一,[v f m e 0 M i ]是可选参数,文件名也是必须的。 -c 创建一个jar包 -t 显示jar中的内容列表 -x 解压jar包 -u 添加文件到jar包中 指定jar包的文件名 生成详细的报造,并输出至标准设
El表达式
kkxxzx的博客
12-13 435
EL表达式读取requestScope的对象 编写一个servlet,转发到显示页面 在requestScope里面存现一个Person对象 在显示页面使用el表达式将对象去取 public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException,
Myeclipse将Jsp默认编码格式设置为utf-8
kkxxzx的博客
11-29 410
Myeclipse将Jsp默认编码格式设置为utf-8window==>preferences==>MyEclipse===>Files and eidtors==>jsp 右侧 iso10464/Unicode(UTF-8)
JSTL核心标签库
kkxxzx的博客
12-15 393
JSTL核心标签库 JSTL 全名为 JavaServer Pages Standard Tag Library JSTL需要的jre包! 在使用JSTL标签时,要导入标签库<!-- jstl核心标签的导入 --> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>out标签 标签主要用于显示数据内容 servlet
转发和重定向
kkxxzx的博客
11-09 340
转发和重定向转发的语法://java代码 request.getRequestDispatcher("url").forward(request,response); //jsp标签 <jsp:forward page="url"></jsp:forward>重定向的语法 //java代码 response.sendRedirect("url");转发(forward) 执行forward后依然是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值