Q1.什么是XSS攻击?

定义很多,这里我找一个比较详细的解释

https://www.cnblogs.com/csnd/p/11807592.html

  

Q2.为什么会有XSS攻击

也看上面的链接

Q3.Java后端如何防御XSS攻击

方法:将前端请求(HttpServletRequest)的所有数据,先进行转义后再存入DB中

Hutools其实已经有实现,这里不重复造车轮。

1.糊涂的Maven依赖

<!--    数据转义,防止xss攻击-->

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.7.2</version>

        </dependency>

2.配置XssHttpServletRequestWrapper

 

/**

 * @description 对HttpServletRequest 请求的数据进行转义,防止xss攻击

 * URL: home.html?mothod=space&pid=335511

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 重写getParameter方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getParameter(String name) {

        String value= super.getParameter(name);

        if(!StrUtil.hasEmpty(value)){

            value=HtmlUtil.filter(value);

        }

        return value;

    }

    /**

     * 重写getParameterValues方法,

     * 遍历每一个值,用HtmlUtil转义后再返回

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values= super.getParameterValues(name);

        if(values!=null){

            for (int i=0;i<values.length;i++){

                String value=values[i];

                if(!StrUtil.hasEmpty(value)){

                    value=HtmlUtil.filter(value);

                }

                values[i]=value;

            }

        }

        return values;

    }

    /**

     * 重写getParameterMap方法,

     * 拿到所有的k-v键值对,用LinkedHashMap接收,

     * key不变,value用HtmlUtil转义后再返回

     */

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameters = super.getParameterMap();

        LinkedHashMap<String, String[]> map=new LinkedHashMap();

        if(parameters!=null){

            for (String key:parameters.keySet()){

                String[] values=parameters.get(key);

                for (int i = 0; i < values.length; i++) {

                    String value = values[i];

                    if (!StrUtil.hasEmpty(value)) {

                        value = HtmlUtil.filter(value);

                    }

                    values[i] = value;

                }

                map.put(key,values);

            }

        }

        return map;

    }

    /**

     * 重写getHeader方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getHeader(String name) {

        String value= super.getHeader(name);

        if (!StrUtil.hasEmpty(value)) {

            value = HtmlUtil.filter(value);

        }

        return value;

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        /**

         * 拿到数据流,通过StringBuffer拼接,

         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全

         */

        InputStream in= super.getInputStream();

        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));

        BufferedReader buffer=new BufferedReader(reader);

        StringBuffer body=new StringBuffer();

        String line=buffer.readLine();

        while(line!=null){

            body.append(line);

            line=buffer.readLine();

        }

        buffer.close();

        reader.close();

        in.close();

        /**

         * 将拿到的map,转移后存到另一个map中

         */

        Map<String,Object> map=JSONUtil.parseObj(body.toString());

        Map<String,Object> result=new LinkedHashMap<>();

        for(String key:map.keySet()){

            Object val=map.get(key);

            if(val instanceof String){

                if(!StrUtil.hasEmpty(val.toString())){

                    result.put(key,HtmlUtil.filter(val.toString()));

                }

            }else {

                result.put(key,val);

            }

        }

        String json=JSONUtil.toJsonStr(result);

        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());

        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象

        return new ServletInputStream() {

            @Override

            public int read() throws IOException {

                return bain.read();

            }

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

        };

    }

}

  

 

3.配置XssFilter

/**

 * 拦截所有的请求,对所有请求转义

 */

@WebFilter(urlPatterns = "/*")

public class XssFilter implements Filter {

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**

     * 将获取到的数据,进行转义后再放行

     * home.php?mod=space&uid=952169 servletRequest 请求

     * @param servletResponse 响应

     * @param filterChain 拦截链

     * @throws IOException

     * @throws ServletException

     */

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) servletRequest;

        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);

        filterChain.doFilter(wrapper,servletResponse);

    }

    @Override

    public void destroy() {

    }

}

 

Java如何防御XSS攻击?的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  5. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  6. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  7. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  8. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  9. Java应对Flash XSS攻击

    问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

  10. 利用HttpOnly来防御xss攻击

    xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息 ...

随机推荐

  1. http请求方式-OkHttpClient

    http请求方式-OkHttpClient import com.example.core.mydemo.http.OrderReqVO; import okhttp3.*; import org.s ...

  2. 阅读mmdetection3d框架的源码探索其构建dataset的流程

    在查看一些基于mmdetection3d构建的代码的时候,一开始会摸不着头脑,它的dataset到底是怎么构造的? 接下来就直接下载mmdetection3d这个仓库,然后去分析里面的代码. 可以看到 ...

  3. spring与设计模式之三代理模式

    部分内容引用: https://blog.csdn.net/shulianghan/article/details/119798155 一.定义 1.1定义 对于现实生活中的代理,大家非常好理解.我们 ...

  4. ubuntu 18.0.4.6部署k8s 1.24

    一.系统安装 https://ubuntu.com/download/server 二.安装containerd sudo su - apt-get remove docker \ docker-cl ...

  5. 基于Python和TensorFlow实现BERT模型应用

    本文分享自华为云社区<使用Python实现深度学习模型:BERT模型教程>,作者: Echo_Wish. BERT(Bidirectional Encoder Representation ...

  6. Apache Kylin(三)Kylin上手

    Kylin 上手 根据Kylin 官方给出的测试数据,我们实际操作一下 Kylin. 1. 导入 Hive 数据 首先创建一个project,在界面左上角有个"Add Project&quo ...

  7. Linux 时间 与 定时器

    背景 在学习 Linux 信号 有关知识中,提到了 alarm函数. 进程时间 (原文地址:https://www.cnblogs.com/clover-toeic/p/3845210.html) 进 ...

  8. Vue2 整理(一):基础篇

    前言 首先说明:要直接上手简单得很,看官网熟悉大概有哪些东西.怎么用的,然后简单练一下就可以做出程序来了,最多两天,无论Vue2还是Vue3,就都完全可以了,Vue3就是比Vue2多了一些东西而已,所 ...

  9. 在SelfHost项目中获取客户端IP地址

    在SelfHost项目中,获取客户端的IP地址比OwinSelfHost项目要复杂一些,可以通过以下方法获得: base.Request.Properties["System.Service ...

  10. 6.Class 与 Style 绑定

    操作元素的 class 列表和内联样式是数据绑定的一个常见需求. 因为它们都是属性,所以我们可以用 v-bind 处理它们:只需要通过表达式计算出字符串结果即可. 不过,字符串拼接麻烦且易错.因此,在 ...