防止xss(腳本攻擊)的方法之過濾器
一 什麼是腳本注入
概念我就不說了 直接百度一份html
XSS是一種常常出如今web應用中的計算機安全漏洞,它容許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。好比這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞因爲被黑客用來編寫危害性更大的網絡釣魚(Phishing)攻擊而變得廣爲人知。對於跨站腳本攻擊,黑客界共識是:跨站腳本攻擊是新型的「緩衝區溢出攻擊「,而JavaScript是新型的「ShellCode」。前端
簡單來講 用戶提交的數據中有js腳本 提交的數據再次顯示到頁面的時候會運行這個腳本。如web
<script>
window.location.href="xxxxxxxxx";
</script>
可是把html中的特殊符號 如 "<" 用 $lt; 表示那麼html就會認爲這是一個普通顯示的字符 。 安全
二 解決腳本注入的方法
對輸入的字符作轉義,把特殊字符轉義 如 用 "$lt;" 表示 「<」 具體實現以下 網絡
繼承 HttpServletRequestWrapper 重寫其中的方法 在用到前端傳來的參數的地方作轉義app
public class XssHttpServletRequestWraper extends HttpServletRequestWrapper { public XssHttpServletRequestWraper(HttpServletRequest request) { super(request); } @Override public String getHeader(String name) { String str = StringEscapeUtils.escapeHtml(super.getHeader(name)); return str; } @Override public String getQueryString() { String str = StringEscapeUtils.escapeHtml(super.getQueryString()); return str; } @Override public String getParameter(String name) { String str = StringEscapeUtils.escapeHtml(super.getParameter(name)); return str; } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if(values != null) { int length = values.length; String[] escapseValues = new String[length]; for(int i = 0; i < length; i++){ escapseValues[i] = StringEscapeUtils.escapeHtml(values[i]); } return escapseValues; } return super.getParameterValues(name); } }
注 :StringEscapeUtils.escapeHtml() 須要引入如下架包 具體使用請百度 ide
<dependency>
<groupId>commons-lang</groupId>
<artifactId>commons-lang</artifactId>
<version>2.6</version>
</dependency>
寫過濾器 對全部請求進行過濾url
@WebFilter(urlPatterns = "/*") public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { filterChain.doFilter(new XssHttpServletRequestWraper((HttpServletRequest) servletRequest),servletResponse); } @Override public void destroy() { }
這樣就能夠了spa
相關文章
- 1. PHP - 防止 XSS(跨站腳本攻擊)
- 2. JavaWeb之防止XSS攻擊
- 3. SpringBoot過濾XSS腳本攻擊
- 4. 如何防止xss攻擊
- 5. Xss攻擊與防止
- 6. java 防止xss攻擊
- 7. 如何防止XSS攻擊?
- 8. 【轉】Laravel 防止XSS攻擊
- 9. xss腳本攻擊
- 10. XSS腳本攻擊
- 更多相關文章...
- • PHP 過濾器 - PHP教程
- • PHP FILTER_CALLBACK 過濾器 - PHP參考手冊
- • Docker容器實戰(八) - 漫談 Kubernetes 的本質
- • Docker容器實戰(七) - 容器眼光下的文件系統
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. Appium入門
- 2. Spring WebFlux 源碼分析(2)-Netty 服務器啓動服務流程 --TBD
- 3. wxpython入門第六步(高級組件)
- 4. CentOS7.5安裝SVN和可視化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig對象缺少setMaxIdle、setMaxWaitMillis等方法,問題記錄
- 6. 一步一圖一代碼,一定要讓你真正徹底明白紅黑樹
- 7. 2018-04-12—(重點)源碼角度分析Handler運行原理
- 8. Spring AOP源碼詳細解析
- 9. Spring Cloud(1)
- 10. python簡單爬去油價信息發送到公衆號
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. PHP - 防止 XSS(跨站腳本攻擊)
- 2. JavaWeb之防止XSS攻擊
- 3. SpringBoot過濾XSS腳本攻擊
- 4. 如何防止xss攻擊
- 5. Xss攻擊與防止
- 6. java 防止xss攻擊
- 7. 如何防止XSS攻擊?
- 8. 【轉】Laravel 防止XSS攻擊
- 9. xss腳本攻擊
- 10. XSS腳本攻擊