Q1.什么是XSS攻击?

定义很多,这里我找一个比较详细的解释

https://www.cnblogs.com/csnd/p/11807592.html

  

Q2.为什么会有XSS攻击

也看上面的链接

Q3.Java后端如何防御XSS攻击

方法:将前端请求(HttpServletRequest)的所有数据,先进行转义后再存入DB中

Hutools其实已经有实现,这里不重复造车轮。

1.糊涂的Maven依赖

<!--    数据转义,防止xss攻击-->

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.7.2</version>

        </dependency>

2.配置XssHttpServletRequestWrapper

 

/**

 * @description 对HttpServletRequest 请求的数据进行转义,防止xss攻击

 * URL: home.html?mothod=space&pid=335511

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 重写getParameter方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getParameter(String name) {

        String value= super.getParameter(name);

        if(!StrUtil.hasEmpty(value)){

            value=HtmlUtil.filter(value);

        }

        return value;

    }

    /**

     * 重写getParameterValues方法,

     * 遍历每一个值,用HtmlUtil转义后再返回

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values= super.getParameterValues(name);

        if(values!=null){

            for (int i=0;i<values.length;i++){

                String value=values[i];

                if(!StrUtil.hasEmpty(value)){

                    value=HtmlUtil.filter(value);

                }

                values[i]=value;

            }

        }

        return values;

    }

    /**

     * 重写getParameterMap方法,

     * 拿到所有的k-v键值对,用LinkedHashMap接收,

     * key不变,value用HtmlUtil转义后再返回

     */

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameters = super.getParameterMap();

        LinkedHashMap<String, String[]> map=new LinkedHashMap();

        if(parameters!=null){

            for (String key:parameters.keySet()){

                String[] values=parameters.get(key);

                for (int i = 0; i < values.length; i++) {

                    String value = values[i];

                    if (!StrUtil.hasEmpty(value)) {

                        value = HtmlUtil.filter(value);

                    }

                    values[i] = value;

                }

                map.put(key,values);

            }

        }

        return map;

    }

    /**

     * 重写getHeader方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getHeader(String name) {

        String value= super.getHeader(name);

        if (!StrUtil.hasEmpty(value)) {

            value = HtmlUtil.filter(value);

        }

        return value;

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        /**

         * 拿到数据流,通过StringBuffer拼接,

         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全

         */

        InputStream in= super.getInputStream();

        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));

        BufferedReader buffer=new BufferedReader(reader);

        StringBuffer body=new StringBuffer();

        String line=buffer.readLine();

        while(line!=null){

            body.append(line);

            line=buffer.readLine();

        }

        buffer.close();

        reader.close();

        in.close();

        /**

         * 将拿到的map,转移后存到另一个map中

         */

        Map<String,Object> map=JSONUtil.parseObj(body.toString());

        Map<String,Object> result=new LinkedHashMap<>();

        for(String key:map.keySet()){

            Object val=map.get(key);

            if(val instanceof String){

                if(!StrUtil.hasEmpty(val.toString())){

                    result.put(key,HtmlUtil.filter(val.toString()));

                }

            }else {

                result.put(key,val);

            }

        }

        String json=JSONUtil.toJsonStr(result);

        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());

        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象

        return new ServletInputStream() {

            @Override

            public int read() throws IOException {

                return bain.read();

            }

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

        };

    }

}

  

 

3.配置XssFilter

/**

 * 拦截所有的请求,对所有请求转义

 */

@WebFilter(urlPatterns = "/*")

public class XssFilter implements Filter {

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**

     * 将获取到的数据,进行转义后再放行

     * home.php?mod=space&uid=952169 servletRequest 请求

     * @param servletResponse 响应

     * @param filterChain 拦截链

     * @throws IOException

     * @throws ServletException

     */

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) servletRequest;

        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);

        filterChain.doFilter(wrapper,servletResponse);

    }

    @Override

    public void destroy() {

    }

}

 

Java如何防御XSS攻击?的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  5. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  6. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  7. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  8. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  9. Java应对Flash XSS攻击

    问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

  10. 利用HttpOnly来防御xss攻击

    xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息 ...

随机推荐

  1. SpringBoot指标监控功能

    SpringBoot指标监控功能 随时查看SpringBoot运行状态,将状态以josn格式返回 添加Actuator功能 Spring Boot Actuator可以帮助程序员监控和管理Spring ...

  2. TCP三次握手和四次挥手全过程

    TCP是主机对主机层的传输控制协议,提供可靠的连接服务,采用三次握手确认建立连接: SYN:同步标志.该标志仅在三次握手建立TCP连接时有效. ACK:确认标志.同时提示远端系统已经成功接收所有数据 ...

  3. Redis八股文(大厂面试真题)

    号:tutou123com​我是小宋编码,Java程序员 ,只熬夜但不秃头. 关注我,带你轻松过面试.提升简历亮点如果你觉得对你有帮助,欢迎关注[1] 内容目录 1.说说redis,了解redis源码 ...

  4. Codeforces Global Round 26 A~C2

    惹啊啊啊啊,这场做得我发昏,最近总感觉不在状态,但还是再在冲击1600-1800的题目. A. Strange Splitting ---------------------------------题 ...

  5. win10 gvim

    前言 现有的vscode太过于繁重,notepad++也不理想,顿来心思,想在win10配置一个gvim环境. 正文 安装gvim,从releases中找一个x64的.exe下载安装即可,安装完毕,把 ...

  6. SpringBoot集成Mongodb文档数据库

    添加Maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId& ...

  7. uBrand | 更适合个人创业者,小公司的AI品牌创建平台

    在跟一些辞职创业的朋友聊品牌,这个问题大家不约而同地都会提到:"我不会设计也没有资金请专业的设计师,有没有低成本打造品牌的方法呢?" 正好这段时间赶上AI的风潮,从众多AI工具中刚 ...

  8. [oeasy]python0120_英语的崛起_英文字符_小写字母的由来_不列颠帝国

    各语言字符编码 回忆上次内容 罗马 承袭了 希腊的文化 学习了 希腊的字符   拥有 罗马帝国的战力 基督教文化的影响     ​   添加图片注释,不超过 140 字(可选)   这个时候 不列颠 ...

  9. 网络基础 Modbus协议学习总结

    协议简介 Modbus协议,首先从字面理解它包括Mod和Bus两部分,首先它是一种bus,即总线协议,总线就意味着有主机,有从机,这些设备在同一条总线上. Modbus支持单主机,多个从机,最多支持2 ...

  10. Django 继承AbstractUser扩展用户模型

    Django 继承AbstractUser扩展用户模型 by:授客 QQ:1033553122 测试环境 Win 10   Python 3.5.4   Django-2.0.13.tar.gz 官方 ...