关于XSS过滤

最新推荐文章于 2025-06-05 09:31:37 发布
最新推荐文章于 2025-06-05 09:31:37 发布
阅读量1.7k 收藏 4
点赞数 1
CC 4.0 BY-SA版权
分类专栏: JSP/Java 文章标签: xss javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanisa/article/details/121050142
XSS攻击绕过过滤方法大全(约100种)

XSS攻击绕过过滤方法大全(约100种) - 付杰博客

解决办法:
1.增加前端过滤
可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html  【前端安全】JavaScript防XSS攻击
xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js
2.在后台新增过滤器,对用户请求进行过滤
SpringMVC中发起的Controller层Request请求对象一般为以下几种类型:

1.基本数据类型,2.POJO类型,3.数组类型,4.集合类型

参考网址:SpringMvc的参数请求类型_没有故事的胡南北的博客-CSDN博客

而代码层请求的类型,一个是不带注解的,再就是@RequestBody类型,因此需要对以下两种请求类型进行过滤
1.application/x-www-form-urlencoded(普通的数据类型请,POJO类型,简单数组或集合类型
2.application/json (RequestBody类型)
3.其他类型如:mutipart/form-data application/xml
非RequestBody过滤器:
XSS过滤JAVA过滤器filter 防止常见SQL注入
RequestBody过滤器:
SpringBoot+Xss过滤(@RequestBody参数过滤Xss)
基于以上情况,可以将两者结合起来,代码如下:

public class RequestStringProcessor extends HttpServletRequestWrapper {
    
    private static final Log log=LogFactory.getLog(RequestStringProcessor.class);
    
    private byte[] requestBody;
    private Charset charSet;
    
    private static final String REQUEST_BODY_TYPE = "application/json";
    /**
     * 前台请求类型分三种
     * 1.application/x-www-form-urlencoded; charset=UTF-8 String类型
     * 2.application/json;charset=UTF-8 RequestBody类型
     * 3.其他如:mutipart/form-data,application/json,application/xml
     * mutipart/form-data 类型 RequestBody无法处理,只能处理application/json,application/xml
     * @param request
     */
    public RequestStringProcessor(HttpServletRequest request) {
        super(request);
        //缓存请求body
        getRequestBody(request);
    }

    /**
     * 过滤RequestBody内容
     * @param request
     */
    private void getRequestBody(HttpServletRequest request) {
        String contentType=request.getContentType();
        if(contentType==null||contentType.indexOf(REQUEST_BODY_TYPE)<0) {
            //请求的contentType为空或不是json格式
            return;
        }
        String charSetName = request.getCharacterEncoding();
        if (charSetName == null) {
            charSetName = "UTF-8";
        }
        charSet = Charset.forName(charSetName);
        try {
            //获取前台传输的RequestBody字符串内容
            String bodyContent = StreamUtils.copyToString(request.getInputStream(), charSet);
            bodyContent=StringUtil.getFilterString(bodyContent);
            boolean isJson=cn.hutool.json.JSONUtil.isJson(bodyContent);
            if(isJson) {
                if(JSONUtil.isJsonArray(bodyContent)) {
                    JSONArray resultJson=JSONObject.parseArray(bodyContent);
                    requestBody = resultJson.toString().getBytes(charSet);
                }else {
                    JSONObject resultJson = JSONObject.parseObject(bodyContent);
                    requestBody = resultJson.toString().getBytes(charSet);
                }
            }else {
                requestBody = new byte[0];
            }
        } catch (Exception e) {
            log.error("RequestBody请求获取失败...",e);
        }
    }
 
    @Override
    public String getParameter(String name) {
        // 返回值之前 先进行过滤
        return StringUtil.getFilterString(super.getParameter(name));
    }
 
    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先进行过滤
        String[] values = super.getParameterValues(name);
        if(values==null){
            return null;
        }
        for (int i = 0; i < values.length; i++) {
            values[i] = StringUtil.getFilterString(values[i]);
        }
        return values;
    }
 
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> paramMap = super.getParameterMap();
        Set<Entry<String, String[]>> set = paramMap.entrySet();
        Iterator<Entry<String, String[]>> iters = set.iterator();
        while (iters.hasNext()) {
            Entry<String, String[]> key = iters.next();
            String[] value = paramMap.get(key.getKey());
            paramMap.put(key.getKey(), StringUtil.getFilterString(value));
        }
        return paramMap;
    }

    /**
     * 获取前台输入的请求参数文件流
     * RequestBody以Stream方式进行传输
     */
    public ServletInputStream getInputStream() {
        if (requestBody == null) {
            requestBody = new byte[0];
        }

        final ByteArrayInputStream requestStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return requestStream.read();
            }
        };
    }

}

Filter代码

@WebFilter(filterName="requestStringFilter",urlPatterns="/*")
public class RequestStringFilter extends OncePerRequestFilter  {

    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) 
            throws ServletException, IOException {
        chain.doFilter(new RequestStringProcessor((HttpServletRequest)request), response);
    }
}

还有其他的类似解决办法可参考:

【Springboot】@RequestBody参数过滤Xss_for_bf的博客-CSDN博客

XSS过滤绕过总结_xss绕过字符过滤
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
08-29 1940
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。...
JavaScript拦截跨站脚本攻击(XSS)的浅析
ByteZenith的博客
09-18 755
XSS攻击是一种常见的网络安全威胁,但通过一些简单的JavaScript技术,我们可以有效地拦截这类攻击。然而,为了确保前端安全性,我们还应该保持对最新安全漏洞和防御技术的了解,并采取综合的安全措施,以保护用户和网站的安全。跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全威胁,攻击者通过在网页中注入恶意脚本,从而在用户浏览器中执行恶意代码。在实际应用中,建议结合其他安全措施和最佳实践,如输入过滤、输出编码、使用安全的框架和库等,以建立更可靠的前端安全防护体系。
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
xss过滤.zip
06-04
xss攻击,将参数名和参数值都做xss过滤,保证一定的安全性。
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!
最新发布
Python84310366的博客
06-05 982
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。
XSS攻击的简单过滤和绕过
caoxinjian423的博客
09-02 3560
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 3017
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss特殊字符拦截与过滤
04-01
通常这类防护措施会在Web框架层面或者中间件层面提供,用户只需要简单配置即可实现防护,但开发者也可以根据需要实现自己的XSS过滤策略。 最后,代码中的注释和变量命名使用了非标准的字符(如:涵, Σ, æ, 刘海, ...
xss测试代码大全javascript中的xss过滤
03-24
xss测试代码大全
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
4. 配置过滤规则:根据需求设置哪些URL需要应用XSS过滤,哪些不需要。可以使用`antMatchers`或`requestMatchers`来指定路径。 5. 测试验证:确保配置生效后,进行充分的测试,包括正常输入和恶意输入,检查是否能...
JSP使用过滤器防止Xss漏洞
10-17
`XssHttpServletRequestWrapper`覆盖了`getParameter()`和`getHeader()`方法,对所有参数名和参数值进行XSS过滤。在`XssHttpServletRequestWrapper`中,我们调用`xssEncode()`方法对参数进行编码,确保潜在的危险...
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 801
过滤器和拦截器
·xss文件上传漏洞
2302_80280669的博客
03-12 1319
补充知识:php 在 window 的时候如果文件名+"::$DATA"会把::$DATA 之后的数据当成文件流处理, 不会检测后缀名,且保持"::$DATA"之前的文件名 他的目的就是不检查后缀名。补充知识:php 在 window 的时候如果文件名+"::$DATA"会把::$DATA 之后的数据当成文件流处理, 不会检测后缀名,且保持"::$DATA"之前的文件名名可以改成 1.php::$DAT。//删除文件名末尾的点 在没有这类型函数的情况下,我们可以在文件名后加.绕过黑名单。
XSS跨站点脚本攻击
11-23 337
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 以下为Java web项目中的解决方案: Filter代码: import java.io.IOException; import javax.servlet.Filter; i...
XSS过滤
bylfsj的博客
09-26 607
XSS Bypass: 脚本标签: <object data=”data:text/html,<script>alert(1)</script>”> <object data=” data:text/html;base64,Jmx0O3NjcmlwdCZndDthbGVydCgxKSZsdDsvc2NyaXB0Jmd0Ow==”> <a h...
xss过滤
weixin_30535167的博客
07-09 369
content="""<p class='c1' id='i1'> asdfaa<span class='c2' style="font-family:NSimSun;">sdf<a>a</a>sdf</span>sdf</p><p> <strong class='c2' id='i2'&g...
xss过滤函数
weixin_33701251的博客
02-03 410
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如这些代码包括HTML代码和客户端脚本。 function remove_xss($string) { $string = preg_replace('/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S', ...
xss过滤技巧
Richard_qi的博客
04-11 3808
xss过滤技巧(个人记录) 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以转换为: <ScRipt>ALeRt(“XSS”);</sCRipT> 关闭标签 有时候我们需要关闭标签来使我们的XSS生效。 比如:“><script>alert(“Hi”);</script> 使用hex编码绕过 我们可以对我们的语句进行hex编码来绕过X
xss过滤yuju
03-28
### XSS过滤的代码语句或防护语句示例 为了防止XSS攻击,可以通过多种方式对用户输入的数据进行过滤和转义。以下是几种常见的方法及其对应的代码示例。 #### 方法一:使用 `HtmlUtils` 进行 HTML 转义 Spring 提供了一个工具类 `org.springframework.web.util.HtmlUtils`,它可以将特殊字符转换为相应的 HTML 实体编码,从而有效阻止恶意脚本的执行[^2]。 ```java import org.springframework.web.util.HtmlUtils; public class XssFilter { public static String filter(String input) { if (input == null) { return null; } return HtmlUtils.htmlEscape(input); } public static void main(String[] args) { System.out.println(filter("<script>alert('XSS')</script>")); // 输出 <script>alert('XSS')</script> } } ``` #### 方法二:使用 Jsoup 对用户输入进行清理 Jsoup 是一个强大的 Java 库,能够解析 HTML 并提供白名单机制来移除潜在危险的内容。 ```java import org.jsoup.Jsoup; import org.jsoup.safety.Safelist; public class JsoupXssFilter { public static String cleanInput(String input) { return Jsoup.clean(input, Safelist.basic()); } public static void main(String[] args) { System.out.println(cleanInput("<p><b>Hello</b></p><script>alert('XSS')</script>")); // 输出 <p><b>Hello</b></p> } } ``` #### 方法三:通过 HTTP 响应头启用浏览器内置的安全功能 设置响应头中的 `X-XSS-Protection` 属性可以帮助现代浏览器检测并阻止某些类型的 XSS 攻击[^3]。可以在服务器端配置此头部信息: 对于 Apache 或 Nginx 配置文件: ```apache Header set X-XSS-Protection "1; mode=block" ``` 在 Java Servlet 中动态添加响应头: ```java response.setHeader("X-XSS-Protection", "1; mode=block"); ``` #### 方法四:实施严格的 CSP(Content Security Policy) CSP 可以定义哪些外部资源允许加载以及哪些 JavaScript 执行环境是可信的,进一步减少 XSS 的风险。 在 Web 服务中设置 CSP 头部: ```java response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self' https://trusted.cdn.com;"); ``` 以上方法可以单独使用也可以组合起来增强系统的安全性。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值