JSP过滤器防止Xss漏洞
来源:互联网 发布:阿里云 虚拟主机 jsp 编辑:程序博客网 时间:2024/06/11 03:30
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能出现引起Xss和SQL注入漏洞的业务场景下,因此可以使用一个适用大多数业务场景的通用处理方法,牺牲少量用户体验,来避免Xss漏洞和SQL注入。
request包装器,负责过滤掉非法的字符。
那就是利用Servlet的过滤器机制,编写定制的XssFilter,将request请求代理,覆盖getParameter和getHeader方法将参数名和参数值里的指定半角字符,强制替换成全角字符。使得在业务层的处理时不用担心会有异常输入内容。
Filter负责将请求的request包装一下。
XssFilter.Java
request包装器,负责过滤掉非法的字符。
XssHttpServletRequestWrapper.java
在web.xml中添加
0 0
- JSP过滤器防止Xss漏洞
- JSP过滤器防止Xss漏洞
- JSP过滤器防止Xss漏洞
- JSP过滤器防止Xss漏洞
- XSS漏洞解决方案之一:过滤器
- XSS漏洞解决方案之一:过滤器
- XSS漏洞解决方案之一:过滤器
- XSS漏洞解决方案之一:过滤器
- 常见web漏洞——防止常见XSS 过滤 SQL注入 JAVA过滤器filter
- XSS漏洞修补及预防--使用过滤器
- XSS漏洞修复----过滤器(亲测可用)
- jsp中防止xss攻击
- springMVC利用过滤器防止xss攻击
- 字符过滤器和防止XSS攻击,SQL注入的过滤器
- JSP过滤器防止SQL注入
- jsp 前端防止 xss 注入攻击
- 防止常见XSS 过滤 SQL注入 JAVA过滤器filter
- Servlet Filter 技术防止XSS攻击的过滤器例子
- 一种灵活可靠的工作方式:组件化设计与开发
- Zookeeper3.4.6与Kafka0.8.1.1集群安装和配置详细步骤
- 常用的$.ajax()方法
- hdu 6006 Engineer Assignment(状压dp)
- 使用事务保证和数据完整性
- JSP过滤器防止Xss漏洞
- Android jni(1)
- HZAU 1205 Sequence Number(最大值前后缀 +双指针 + 二分)
- c++实验五(作业)
- Activity的四种启动模式
- 【补充】题目: 编写一个C函数,将”I am from shanghai ”倒置为”shanghai from am I”,及将句子中的单词位置倒置,而不改变单词内部结构.
- 《Java虚拟机原理图解》 1.2、class文件中的常量池
- WIFI 调试 安卓设备 实例
- Linux性能测试 strace命令