XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。
一.过滤器方案
XSSFilter.java
package com.bijian.study.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
/**
* Servlet Filter implementation class XSSFilter
*/
@WebFilter("/XSSFilter")
public class XSSFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
ServletException {
chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
}
}
XSSRequestWrapper.java
package com.bijian.study.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringEscapeUtils;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
public XSSRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = stripXSS(values[i]);
}
return encodedValues;
}
@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return stripXSS(value);
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return stripXSS(value);
}
private String stripXSS(String value) {
value = StringEscapeUtils.escapeHtml(value);
value = StringEscapeUtils.escapeJavaScript(value);
value = StringEscapeUtils.escapeSql(value);
return value;
}
}
web.xml中的配置
<filter> <filter-name>XSSFilter</filter-name> <filter-class>com.bijian.study.filter.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.jsp</url-pattern> </filter-mapping>
二.JSP的EL表达式+JSTL标签库方案
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/";
String nameStr = request.getParameter("name");//用request得到
request.setAttribute("nameAttr", nameStr);
%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Hello</title>
</head>
<body>
Hi,<c:out value="${nameAttr}"/>
<!--
Hi,<%=nameStr%>
Hi,${param.name}
-->
</body>
</html>
XSS更详细的背景及方案,请参看:http://www.cnblogs.com/flyingeagle/articles/6746732.html
相关推荐
保持对最新的安全实践和框架更新的了解,定期对开发团队进行安全编码培训,提高他们对XSS攻击的认识和防御能力。 总之,Java防止XSS攻击需要综合运用多种技术,包括过滤、转义、验证和使用安全的编程实践。开发...
在网络安全领域,XSS(Cross-Site ...总之,防止XSS注入是Web应用开发中的核心任务,Java开发者应熟悉相关技术和最佳实践,以保护用户的数据安全。通过使用提供的jar包和适当的过滤器,可以有效地降低XSS攻击的风险。
XSS攻击通常发生在Web应用程序未能充分验证或过滤用户输入的情况下,使得恶意代码能够被嵌入到网页中,进而影响用户的安全。本文将深入探讨如何在Java后端进行预防XSS攻击的策略。 1. **理解XSS类型**: - **存储...
在"java web安全培训一期"中,我们聚焦于几个核心领域,包括防御核心原则、攻击面的观察、日志管理、数据加密以及业务层面的身份识别。这些知识点是保障Web应用免受恶意攻击、保护用户数据和系统安全的基础。 首先...
本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中有效地防止XSS攻击。以下是关于这个主题的详细知识点: 1. XSS攻击类型: - 存储型XSS:攻击者的脚本被存储在服务器端,并在后续请求时传递给其他用户...
针对XSS攻击,在Java Web应用开发中可以采取多种措施进行防御,以确保应用程序的安全性。 ##### 输入验证 - **参数过滤**:对用户提交的所有数据进行严格的过滤,防止特殊字符和潜在的恶意脚本注入。 - **编码转换*...
5. 框架和库的选择:使用已内置安全机制的开发框架,如Spring Security,它们提供了XSS防御的功能。 四、Web.xml配置过滤器 在Java Web应用中,可以使用过滤器(Filter)来拦截并处理请求,过滤掉可能的XSS攻击。...
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
Java Web技术的安全与防范主要涉及以下几个关键知识点: ...8. **持续监控与更新**:随着技术的不断发展,新的安全威胁不断出现,因此持续监控、学习新的安全实践和更新防御策略是保障Java Web应用安全的关键。
**JAVA WEB开发实战经典PPT知识点概述** Java Web开发是基于Java技术的Web应用程序开发,它结合了Java语言的强大功能和Web的广泛可访问性。本资源“JAVA WEB开发实战经典PPT”提供了李兴华老师在MLDN的课程中的教学...
10. **安全性**:包括HTTPS、CSRF防护、XSS攻击防范、SQL注入防御等,确保Web应用的安全运行。 上海飞翔计算机Java Web培训中心的课程可能涵盖以上这些知识点,并通过实际案例来帮助学员理解并掌握。例如,案例一...
Java Web应用程序安全技术是开发高质量Web应用不可或缺的一部分。在当今数字化时代,网络安全至关重要,而Java Web应用作为企业级服务的主流平台,其安全性直接影响到业务的稳定性和用户数据的隐私。本研究主要探讨...
6. **安全机制**:为了保护用户信息和系统安全,Java Web应用需要实施各种安全措施,如输入验证、防止SQL注入、XSS攻击防护、CSRF(跨站请求伪造)防御等。 7. **Tomcat服务器**:作为Java Web应用的运行环境,...
总结来说,"javaxss必备jar包及过滤器代码"涉及到的是在Java Web应用程序中防止XSS攻击的关键技术。通过使用像`xssProtect-0.1.jar`这样的库,配合自定义的过滤器代码,我们可以有效地减少XSS攻击的风险,保护用户的...
9. **安全性考虑**:系统应考虑到安全性问题,如SQL注入防护、XSS攻击防御、用户认证与授权等,可以使用Spring Security或Apache Shiro等安全框架进行增强。 10. **测试与部署**:开发完成后,需进行单元测试、集成...
antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。antisamy通过提供一套详细的策略和规则,可以对HTML、...
总之,XSS攻击和SQL注入都是Web应用程序常见的安全问题,开发者应采取多种策略来防止这些攻击,包括但不限于输入验证、转义、使用安全API以及设置合理的安全策略。通过持续学习和实践,我们可以构建更安全、更可靠的...
三、Web安全系列之防御 1、常见防御方案(1天) 2、安全开发(2天) 开发自检、测试自检、部署自检 开发工具:安全框架Spring security、 shiro、Spring boot 3、安全工具和设备(2天) DDos防护、WAF、主机入侵...
另外,对于Web应用的性能优化和安全性,例如缓存策略、CDN(Content Delivery Network)的使用、SQL注入防御、XSS(Cross-Site Scripting)防护等,都是开发者不可忽视的实践知识。 在实际开发过程中,版本控制工具如...