Q1.什么是XSS攻击?

定义很多,这里我找一个比较详细的解释

https://www.cnblogs.com/csnd/p/11807592.html

  

Q2.为什么会有XSS攻击

也看上面的链接

Q3.Java后端如何防御XSS攻击

方法:将前端请求(HttpServletRequest)的所有数据,先进行转义后再存入DB中

Hutools其实已经有实现,这里不重复造车轮。

1.糊涂的Maven依赖

<!--    数据转义,防止xss攻击-->

        <dependency>

            <groupId>cn.hutool</groupId>

            <artifactId>hutool-all</artifactId>

            <version>5.7.2</version>

        </dependency>

2.配置XssHttpServletRequestWrapper

 

/**

 * @description 对HttpServletRequest 请求的数据进行转义,防止xss攻击

 * URL: home.html?mothod=space&pid=335511

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 重写getParameter方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getParameter(String name) {

        String value= super.getParameter(name);

        if(!StrUtil.hasEmpty(value)){

            value=HtmlUtil.filter(value);

        }

        return value;

    }

    /**

     * 重写getParameterValues方法,

     * 遍历每一个值,用HtmlUtil转义后再返回

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values= super.getParameterValues(name);

        if(values!=null){

            for (int i=0;i<values.length;i++){

                String value=values[i];

                if(!StrUtil.hasEmpty(value)){

                    value=HtmlUtil.filter(value);

                }

                values[i]=value;

            }

        }

        return values;

    }

    /**

     * 重写getParameterMap方法,

     * 拿到所有的k-v键值对,用LinkedHashMap接收,

     * key不变,value用HtmlUtil转义后再返回

     */

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameters = super.getParameterMap();

        LinkedHashMap<String, String[]> map=new LinkedHashMap();

        if(parameters!=null){

            for (String key:parameters.keySet()){

                String[] values=parameters.get(key);

                for (int i = 0; i < values.length; i++) {

                    String value = values[i];

                    if (!StrUtil.hasEmpty(value)) {

                        value = HtmlUtil.filter(value);

                    }

                    values[i] = value;

                }

                map.put(key,values);

            }

        }

        return map;

    }

    /**

     * 重写getHeader方法,用HtmlUtil转义后再返回

     */

    @Override

    public String getHeader(String name) {

        String value= super.getHeader(name);

        if (!StrUtil.hasEmpty(value)) {

            value = HtmlUtil.filter(value);

        }

        return value;

    }

    @Override

    public ServletInputStream getInputStream() throws IOException {

        /**

         * 拿到数据流,通过StringBuffer拼接,

         * 读取到line上,用StringBuffer是因为会有多个线程同时请求,要保证线程的安全

         */

        InputStream in= super.getInputStream();

        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));

        BufferedReader buffer=new BufferedReader(reader);

        StringBuffer body=new StringBuffer();

        String line=buffer.readLine();

        while(line!=null){

            body.append(line);

            line=buffer.readLine();

        }

        buffer.close();

        reader.close();

        in.close();

        /**

         * 将拿到的map,转移后存到另一个map中

         */

        Map<String,Object> map=JSONUtil.parseObj(body.toString());

        Map<String,Object> result=new LinkedHashMap<>();

        for(String key:map.keySet()){

            Object val=map.get(key);

            if(val instanceof String){

                if(!StrUtil.hasEmpty(val.toString())){

                    result.put(key,HtmlUtil.filter(val.toString()));

                }

            }else {

                result.put(key,val);

            }

        }

        String json=JSONUtil.toJsonStr(result);

        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());

        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象

        return new ServletInputStream() {

            @Override

            public int read() throws IOException {

                return bain.read();

            }

            @Override

            public boolean isFinished() {

                return false;

            }

            @Override

            public boolean isReady() {

                return false;

            }

            @Override

            public void setReadListener(ReadListener readListener) {

            }

        };

    }

}

  

 

3.配置XssFilter

/**

 * 拦截所有的请求,对所有请求转义

 */

@WebFilter(urlPatterns = "/*")

public class XssFilter implements Filter {

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**

     * 将获取到的数据,进行转义后再放行

     * home.php?mod=space&uid=952169 servletRequest 请求

     * @param servletResponse 响应

     * @param filterChain 拦截链

     * @throws IOException

     * @throws ServletException

     */

    @Override

    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request= (HttpServletRequest) servletRequest;

        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);

        filterChain.doFilter(wrapper,servletResponse);

    }

    @Override

    public void destroy() {

    }

}

 

Java如何防御XSS攻击?的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  4. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  5. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  6. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  7. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  8. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  9. Java应对Flash XSS攻击

    问题引出: 今天公司派出安全任务,说是要解决一个Flash XSS攻击,一看顿时傻眼,都没听说过.而且flash已经淘汰了,根本没研究过flash,搜了资料才开始慢慢开始工作. 要求: 1.过滤URL ...

  10. 利用HttpOnly来防御xss攻击

    xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的站点出现xss漏洞,就能够运行随意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,假设这里面包括了大量敏感信息 ...

随机推荐

  1. Android查看apk安装包的AndroidManifest.xml文件

    Tips:当你看到这个提示的时候,说明当前的文章是由原emlog博客系统搬迁至此的,文章发布时间已过于久远,编排和内容不一定完整,还请谅解` Android查看apk安装包的AndroidManife ...

  2. 硬件开发笔记(十九):Altium Designer 21软件介绍和安装过程

    前言   AD硬件设计软件之一,前面说了allego,但是allego对项目的管理.原理图生成PCB,PCB反向原理图等方面比较复杂,对于一般的硬件(非多个高速电路),选择AD能够加大的节省开发工作量 ...

  3. Jenkins创建任务进行构建项目配置

    总体构建项目的操作步骤 分为Generna(总的描述).源码管理.构建触发器.构建环境.构建.构建后的操作 1.Dashboard-> new item > 新建一个任务,选择freest ...

  4. CLR via C# 笔记 -- 线程基础(26)

    1. Microsoft 设计这个OS内核时,决定在一个进程中运行应用程序的每个实例.进程实际是应用程序的实例要使用的资源的集合.每个进程都被赋予了一个虚拟地址空间,确保在一个进程中使用的代码和数据无 ...

  5. QuartzNet暂停恢复会执行多次的问题解决

    ' var config = new System.Collections.Specialized.NameValueCollection { { "quartz.jobStore.misf ...

  6. yb课堂之订单列表接口开发 《十七》

    订单列表接口开发 VideoOrderController.java VideoOrderService.java VideoOrderServiceImpl.java VideoOrderMappe ...

  7. 算法金 | DL 骚操作扫盲,神经网络设计与选择、参数初始化与优化、学习率调整与正则化、Loss Function、Bad Gradient

    大侠幸会,在下全网同名「算法金」 0 基础转 AI 上岸,多个算法赛 Top 「日更万日,让更多人享受智能乐趣」 今日 216/10000 抱个拳,送个礼 神经网络设计与选择 参数初始化与优化 学习率 ...

  8. UE4 WebUI使用指南2-通信

    前面一篇WebUI的文章讲述的WebUI插件的下载,开启,在UE中创建,加载网页等. 本文继续讲述通过WebUI,UE和网页实现双向通信的实现思路. 一点说明 由于WebUI 使用的浏览器内核并不是最 ...

  9. 可视化—D3学习笔记小小案例记录一下

    D3全称是Data-Driven Documents数据驱动文档,是一个开源的javascript库,可以用于数据可视化图形的创建,该库更接近底层,与 g2.echarts 不同,d3 能直接操作 s ...

  10. [oeasy]python021_赛博宝剑铭文大赏_宝剑上的铭文_特殊符号和宝物

    继续运行 回忆上次内容 上次修改了 程序 将 石中剑 变成了 红色 爱之大剑       添加图片注释,不超过 140 字(可选)   可以 让宝剑 具有 更多 铭文符号 和 颜色 吗?   铭文 亚 ...