Q1.什么是XSS攻击?

定义很多,这里我找一个比较详细的解释

https://www.cnblogs.com/csnd/p/11807592.html

  

Q2.为什么会有XSS攻击

也看上面的链接

Q3.Java后端如何防御XSS攻击

方法:将前端请求(HttpServletRequest)的所有数据,先进行转义后再存入DB中

Hutools其实已经有实现,这里不重复造车轮。

1.糊涂的Maven依赖

<!--    数据转义,防止xss攻击-->

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.7.2</version>

        </dependency>

2.配置XssHttpServletRequestWrapper

 

/**

 * @description 对HttpServletRequest 请求的数据进行转义,防止xss攻击

 * URL: home.html?mothod=space&pid=335511

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 重写getParameter方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getParameter(String name) {

        String value= super.getParameter(name);

        if(!StrUtil.hasEmpty(value)){

            value=HtmlUtil.filter(value);

        }

        return value;

    }

    /**

     * 重写getParameterValues方法,

     * 遍历每一个值,用HtmlUtil转义后再返回

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values= super.getParameterValues(name);

        if(values!=null){

            for (int i=0;i<values.length;i++){

                String value=values[i];

                if(!StrUtil.hasEmpty(value)){

                    value=HtmlUtil.filter(value);

                }

                values[i]=value;

            }

        }

        return values;

    }

    /**

     * 重写getParameterMap方法,

     * 拿到所有的k-v键值对,用LinkedHashMap接收,

     * key不变,value用HtmlUtil转义后再返回

     */

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameters = super.getParameterMap();

        LinkedHashMap<String, String[]> map=new LinkedHashMap();

        if(parameters!=null){

            for (String key:parameters.keySet()){

                String[] values=parameters.get(key);

                for (int i = 0; i < values.length; i++) {

                    String value = values[i];

                    if (!StrUtil.hasEmpty(value)) {

                        value = HtmlUtil.filter(value);

                    }

                    values[i] = value;

                }

                map.put(key,values);

            }

        }

        return map;

    }

    /**

     * 重写getHeader方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getHeader(String name) {

        String value= super.getHeader(name);

        if (!StrUtil.hasEmpty(value)) {

            value = HtmlUtil.filter(value);

        }

        return value;

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        /**

         * 拿到数据流,通过StringBuffer拼接,

         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全

         */

        InputStream in= super.getInputStream();

        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));

        BufferedReader buffer=new BufferedReader(reader);

        StringBuffer body=new StringBuffer();

        String line=buffer.readLine();

        while(line!=null){

            body.append(line);

            line=buffer.readLine();

        }

        buffer.close();

        reader.close();

        in.close();

        /**

         * 将拿到的map,转移后存到另一个map中

         */

        Map<String,Object> map=JSONUtil.parseObj(body.toString());

        Map<String,Object> result=new LinkedHashMap<>();

        for(String key:map.keySet()){

            Object val=map.get(key);

            if(val instanceof String){

                if(!StrUtil.hasEmpty(val.toString())){

                    result.put(key,HtmlUtil.filter(val.toString()));

                }

            }else {

                result.put(key,val);

            }

        }

        String json=JSONUtil.toJsonStr(result);

        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());

        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象

        return new ServletInputStream() {

            @Override

            public int read() throws IOException {

                return bain.read();

            }

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

        };

    }

}

  

 

3.配置XssFilter

/**

 * 拦截所有的请求,对所有请求转义

 */

@WebFilter(urlPatterns = "/*")

public class XssFilter implements Filter {

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**

     * 将获取到的数据,进行转义后再放行

     * home.php?mod=space&uid=952169 servletRequest 请求

     * @param servletResponse 响应

     * @param filterChain 拦截链

     * @throws IOException

     * @throws ServletException

     */

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) servletRequest;

        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);

        filterChain.doFilter(wrapper,servletResponse);

    }

    @Override

    public void destroy() {

    }

}

 

Java如何防御XSS攻击?的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  5. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  6. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  7. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  8. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  9. Java应对Flash XSS攻击

    问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

  10. 利用HttpOnly来防御xss攻击

    xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息 ...

随机推荐

  1. python3读csv文件,出现UnicodeDecodeError: 'utf-8' codec can't decode byte 0xd0 in position 0: invalid con

    使用csv.reader(file)读csv文件时,出现如下错误:UnicodeDecodeError: 'utf-8' codec can't decode byte 0xd0 in positio ...

  2. Jenkins从github拉取项目,github有更新,自动进行构建,实现自动集成

    使用git之前的准备工作 1. 搭建Jenkins的机器上,有安装git,配置git的安装地址,Jenkins配置Git的安装地址 2. Global Tool Configuration - > ...

  3. Python使用Matplotlib画以日期为X轴的图

    Python使用Matplotlib画以日期为X轴的图 步骤: 用pd把字符串格式的日期转成date格式. 使用 AutoDateLocator 设置x轴的属性. 1 from matplotlib ...

  4. LLM学习笔记

    1. 评估榜单 1.1. C-Eval C-Eval 是一个全面的中文基础模型评估套件.它包含了13948个多项选择题,涵盖了52个不同的学科和四个难度级别. https://cevalbenchma ...

  5. Linux 内核:GPIO子系统(1)软件框架

    Linux 内核:GPIO子系统(1)软件框架 背景 在很多驱动开发中,GPIO用得很多,因此学习一下:也会顺便看看pinctrl 子系统. 原文(有删改):http://www.wowotech.n ...

  6. 设备树DTS 学习:3-驱动开发中常用的 DTS api

    背景 本章的内容是为了实现在驱动中的开发,通过调用有关的api来寻找设备树节点熟悉,从而达到使用设备树进行驱动开发的目的. 参考:Linux内核 设备树操作常用API Linux设备树语法详解一文中介 ...

  7. 【VMware vSAN】vSAN Data Protection Part 1:安装部署。

    VMware vSAN 8 U3 中新引入了基于 vSAN ESA 的全新 vSAN Data Protection 功能,借助 vSAN Data Protection 功能,您可以使用在 vSAN ...

  8. ElasticSearch不区分字母大小写搜索

    0.停止使用该索引的服务(避免新加了数据没备份) 1.备份filesearch索引(检查备份的索引和原索引数据条数是否一致) 1 POST http://127.0.0.1:9200/_reindex ...

  9. JDK各个版本汇总

    JDK1.4 正则表达式,异常链,NIO,日志类,XML解析器,XLST转换器 JDK1.5 自动装箱.泛型.动态注解.枚举.可变长参数.遍历循环 JDK1.6 提供动态语言支持.提供编译API和卫星 ...

  10. SpringBoot AOP完美记录用户操作日志,附源码

    记录内容 接口名称 浏览器名称 操作系统 请求ip 接口入参.出参 接口耗时 .... 表结构 SET NAMES utf8mb4; SET FOREIGN_KEY_CHECKS = 0; -- -- ...