2. 程式人生 > >java防止xss指令碼注入攻擊,採用spring工具類方式

java防止xss指令碼注入攻擊,採用spring工具類方式

阿新 發佈:2019-01-25 
XSSRequestWrapper.java 

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 處理引數值
    */
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = dealString(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return dealString(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return dealString(value);
    }

    private String dealString(String value) {
        if (value != null) {
            // 採用spring的StringEscapeUtils工具類 實現
            StringEscapeUtils.escapeHtml(value);
            StringEscapeUtils.escapeJavaScript(value);
            StringEscapeUtils.escapeSql(value);
        }
        return value;
    }

}
 


XSSFilter.java

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止xss攻擊 過濾器(順便過濾了 sql攻擊)
 */
public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);

    }

}




相關推薦

java防止xss指令碼注入攻擊採用spring工具方式

XSSRequestWrapper.java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.ap

html轉譯及防止js指令碼注入攻擊的方法

js指令碼攻擊 有的時候頁面中會有一個輸入框,使用者輸入內容後會顯示在頁面中,類似於網頁聊天應用,留言板等。如果使用者輸入了一段js指令碼,比例:,頁面會彈出一個對話方塊,或者輸入的指令碼中有改變頁面js變數的程式碼則會時程式異常或者達到跳過某種驗證的目的。那如何防止這種惡意的js指令碼

Web安全——XSS指令碼注入攻擊

好久不發文章,我表示…我還活著。 只不過最近在寫Git-books,所以忽略了我的這個部落格。這兩天在看Web安全相關的東西,覺得確實有意思。 XSS跨站指令碼攻擊 XSS 意為跨站指令碼攻擊(Cross Site Scripting),縮寫應該是CS

java防止xss注入攻擊

後面附錄有三個.java文件 1.把文件拷進專案中(最好建立一個單獨的包存放),然後修改引入路徑,看到不報錯那麼第一步完成。 2.開啟web.xml配置檔案 <!--XSS注入攻擊--> <filter> <filter-name&

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

Java防止XSS攻擊

stream false end public catch while one 數據 tro 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Overr

java 防止 XSS 攻擊的常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

java 防止 XSS 攻擊的常用方法總結.

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百

JS轉換HTML轉義符防止javascript注入攻擊親測可用

//去掉html標籤 1 2 3 function removeHtmlTab(tab) { return tab.replace(/<[^<>]+?>/g,'');//刪除所有HTML標籤 } //普通字元轉換

java 防止 XSS 攻擊的常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

HTML轉義字元防止js程式碼注入攻擊

什麼是js注入攻擊 有的時候頁面中會有一個輸入框,使用者輸入內容後會顯示在頁面中,類似於網頁聊天應用。如果使用者輸入了一段js指令碼,比例:,頁面會彈出一個對話方塊,或者輸入的指令碼中有改變頁面js變數的程式碼則會時程式異常或者達到跳過某種驗證的目的 什麼是ht

Java呼叫Python指令碼(Python3Windows10系統)

介紹下如何在Java中呼叫Python指令碼,可能是目前最簡單的方法(●’^'●)。 又是師姐的任務,要求把我的Python程式整合到純Java的系統中。於是在網上又是一頓搜尋,不乏各種厲害的方法。其中最常見的是Jython,聽起來十分高大上,直接把世界上

Mssql 注入攻擊普通許可權使用者提權操作

如果該使用者能夠建立資料庫的話 use mastergo create database bookgouse bookgoalter database book set RECOVERY FULLgocreate table cmd (a image)gobackup dat

MyBatis 防止 % _ sql 注入攻擊 解決方法

首先說思路,在mybatis中防止sql注入,目前只能在Controller層進行轉義,後臺sql進行查詢,然後在controller層轉義回來,返回到前臺。 理論上應該可以在dao.xml中進行判斷   但是目前還沒寫出來。Orz 上程式碼 @RequiresPer

Java 動態的建立注入程式碼注入方法給或者介面並通過反射呼叫

     Java 動態拼接程式碼,將字串寫入檔案並編譯執行。      1 拼接程式碼並生成檔案 /* * 文 件 名: WriteJavaFile.java * 版 權: Sunny Technologies Co., Ltd. Copyright YYY

shiro安全框架擴充套件教程--設計資料物件校驗器,如何防止xss以及csrf攻擊

       很多時候我們都知道,xss,csrf都需要通過我們前臺傳入的資料,然後再輸出到頁面,渲染成可執行指令碼,導致載入頁面即可執行或者被動型的讓使用者點選各種常用的按鈕來觸發指令碼效果,所以我們需要嚴格篩選以及控制過濾資料物件的各個屬性欄位值,我相信很多人都用vali

Java學習筆記—多線程(並發工具java.util.concurrent.atomic包)

配對 初始 訪問 接收 iter nco .get 執行 string 在JDK的並發包裏提供了幾個非常有用的並發工具類。CountDownLatch、CyclicBarrier和Semaphore工具類提供了一種並發流程控制的手段,Exchanger工具類則提供了在線程間

SQL注入攻擊原理與幾種防禦方式

一、SQL注入簡介 SQL注入是比較常見的網路攻擊方式之一,它不是利用作業系統的BUG來實現攻擊,而是針對程式設計師程式設計時的疏忽,通過SQL語句,實現無帳號登入,甚至篡改資料庫。 二、SQL注入攻擊的總體思路   1.尋找到SQL注入的位置 2.判斷伺服器型別和後臺

Java基本資料型別的大小他們的封裝以及自動拆箱和裝箱

Java提供了一套基本資料型別,總共有八種,也會有人說是有九種。 在我們的印象中,很多人可能會說出byte,short,int,long,float,double,boolean,char這八種資料型別。 那麼還有一種是哪種呢,它到底是不是資料型別呢? 我們很容易忽略一個void,有

Java 表單註冊常用正則表示式驗證工具常用正則表示式大集合。 1. 電話號碼 2. 郵編 3. QQ 4. E-mail 5. 手機號碼 ……

/* Java 表單註冊常用正則表示式驗證工具類,常用正則表示式大集合。 1. 電話號碼  2. 郵編  3. QQ  4. E-mail  5. 手機號碼  6. URL  7. 是否為數字  8. 是否為中文  9. 身份證  10. 域名  11. IP*/ pack