Q1.什么是XSS攻击?

定义很多,这里我找一个比较详细的解释

https://www.cnblogs.com/csnd/p/11807592.html

  

Q2.为什么会有XSS攻击

也看上面的链接

Q3.Java后端如何防御XSS攻击

方法:将前端请求(HttpServletRequest)的所有数据,先进行转义后再存入DB中

Hutools其实已经有实现,这里不重复造车轮。

1.糊涂的Maven依赖

<!--    数据转义,防止xss攻击-->

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.7.2</version>

        </dependency>

2.配置XssHttpServletRequestWrapper

 

/**

 * @description 对HttpServletRequest 请求的数据进行转义,防止xss攻击

 * URL: home.html?mothod=space&pid=335511

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 重写getParameter方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getParameter(String name) {

        String value= super.getParameter(name);

        if(!StrUtil.hasEmpty(value)){

            value=HtmlUtil.filter(value);

        }

        return value;

    }

    /**

     * 重写getParameterValues方法,

     * 遍历每一个值,用HtmlUtil转义后再返回

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values= super.getParameterValues(name);

        if(values!=null){

            for (int i=0;i<values.length;i++){

                String value=values[i];

                if(!StrUtil.hasEmpty(value)){

                    value=HtmlUtil.filter(value);

                }

                values[i]=value;

            }

        }

        return values;

    }

    /**

     * 重写getParameterMap方法,

     * 拿到所有的k-v键值对,用LinkedHashMap接收,

     * key不变,value用HtmlUtil转义后再返回

     */

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameters = super.getParameterMap();

        LinkedHashMap<String, String[]> map=new LinkedHashMap();

        if(parameters!=null){

            for (String key:parameters.keySet()){

                String[] values=parameters.get(key);

                for (int i = 0; i < values.length; i++) {

                    String value = values[i];

                    if (!StrUtil.hasEmpty(value)) {

                        value = HtmlUtil.filter(value);

                    }

                    values[i] = value;

                }

                map.put(key,values);

            }

        }

        return map;

    }

    /**

     * 重写getHeader方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getHeader(String name) {

        String value= super.getHeader(name);

        if (!StrUtil.hasEmpty(value)) {

            value = HtmlUtil.filter(value);

        }

        return value;

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        /**

         * 拿到数据流,通过StringBuffer拼接,

         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全

         */

        InputStream in= super.getInputStream();

        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));

        BufferedReader buffer=new BufferedReader(reader);

        StringBuffer body=new StringBuffer();

        String line=buffer.readLine();

        while(line!=null){

            body.append(line);

            line=buffer.readLine();

        }

        buffer.close();

        reader.close();

        in.close();

        /**

         * 将拿到的map,转移后存到另一个map中

         */

        Map<String,Object> map=JSONUtil.parseObj(body.toString());

        Map<String,Object> result=new LinkedHashMap<>();

        for(String key:map.keySet()){

            Object val=map.get(key);

            if(val instanceof String){

                if(!StrUtil.hasEmpty(val.toString())){

                    result.put(key,HtmlUtil.filter(val.toString()));

                }

            }else {

                result.put(key,val);

            }

        }

        String json=JSONUtil.toJsonStr(result);

        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());

        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象

        return new ServletInputStream() {

            @Override

            public int read() throws IOException {

                return bain.read();

            }

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

        };

    }

}

  

 

3.配置XssFilter

/**

 * 拦截所有的请求,对所有请求转义

 */

@WebFilter(urlPatterns = "/*")

public class XssFilter implements Filter {

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**

     * 将获取到的数据,进行转义后再放行

     * home.php?mod=space&uid=952169 servletRequest 请求

     * @param servletResponse 响应

     * @param filterChain 拦截链

     * @throws IOException

     * @throws ServletException

     */

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) servletRequest;

        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);

        filterChain.doFilter(wrapper,servletResponse);

    }

    @Override

    public void destroy() {

    }

}

 

Java如何防御XSS攻击?的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  5. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  6. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  7. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  8. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  9. Java应对Flash XSS攻击

    问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

  10. 利用HttpOnly来防御xss攻击

    xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息 ...

随机推荐

  1. Vim的移动大法

    Vim的移动大法 移动光标的按键 "h" 向左移动 "j"向下移动 "k"向上移动 "l"向右移动 在单词之间移动 注: ...

  2. 你要的AI Agent工具都在这里

    只有让LLM(大模型)学会使用工具,才能做出一系列实用的AI Agent,才能发挥出LLM真正的实力.本篇,我们让AI Agent使用更多的工具,比如:外部搜索.分析CSV.文生图.执行代码等. 1. ...

  3. Unity 2023/Unity 6编辑器文字模糊的解决方案

    这是从2023.1开始就有的问题了.本质原因是Unity不知道哪个天才决定的在编辑器文字上使用了SDF渲染. 2023.1因为缺乏选项导致几乎不可用:2023.2加了一个锐度选项:后来在论坛里被众人喷 ...

  4. 解决方案 | Chrome/Edge 总是自动修改我的pdf默认打开方式

    1.问题描述 最近我的pdf文件总是被chrome打开(如图1),而且点击属性,更改别的pdf阅读器也不管用(如图2),此时的chrome就像个流氓软件一样. 图1 被chrome劫持 图2 点击属性 ...

  5. 玄机-第一章 应急响应-Linux日志分析

    目录 前言 简介 应急开始 准备工作 查看auth.log文件 grep -a 步骤 1 步骤 2 步骤 3 步骤 4 步骤 5 总结 前言 又花了一块rmb玩玄机...啥时候才能5金币拿下一个应急靶 ...

  6. 可视化—D3学习笔记小小案例记录一下

    D3全称是Data-Driven Documents数据驱动文档,是一个开源的javascript库,可以用于数据可视化图形的创建,该库更接近底层,与 g2.echarts 不同,d3 能直接操作 s ...

  7. 安装和引入方式在Element UI (Vue 2)和Element Plus (Vue 3)中的不同

    安装和引入方式 Element UI (Vue 2): // main.js import Vue from 'vue'; import ElementUI from 'element-ui'; im ...

  8. .NET 中高效 Excel 解决方案 MiniExcel

    前言 MiniExcel 是一个用于 .NET 平台的轻量级.高性能的库,专注于提供简单易用的 API 来处理 Excel 文件.以下是 MiniExcel 的特点总结: 轻量级与高效:MiniExc ...

  9. linux服务器webdriver启动Chrome浏览器失败

    碰到一个linux启动Chrome浏览器失败的奇怪问题,查了很久资料,问题终于解决了,特此记录一下 我的情况是,一开始运维给了一个deploy的账号去部署项目UI自动化测试项目,项目是运行没有问题的, ...

  10. 后端报错记录:406/实体类getset缺失

    报错为406:org.springframework.web.HttpMediaTypeNotAcceptableException 报错历程:在使用后端写neo4j的实体的时候忘记写@Data(没有 ...