【安全】 Java 过滤器 解决存储型xss攻击问题

文章目录

• XSS简介
• 什么是XSS?
• 分类
• • 反射型
  • 存储型
  • XSS(cross site script)跨站脚本攻击攻击场景
  • 解决方案

    XSS简介

    跨站脚本( cross site script )为了避免与样式css(Cascading Style Sheets层叠样式表)混淆，所以简称为XSS。

    XSS是一种经常出现在web应用中的计算机安全漏洞 ，也是web中最主流的攻击方式。

    什么是XSS?

    XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

    从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

    分类

    反射型

    反射型xss攻击( Reflected XSS)又称为非持久性跨站点脚本攻击，它是最常见的类型的XSS。漏洞产生的原因是攻

    击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接( 即每次攻击需要用户的点击)。

    存储型

    存储型XSS (Stored XSS)又称为持久型跨站点脚本，它一般发生在XSS攻击向量 (一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器，脚本执行。持久的XSS相比非持久性XSS攻击危害性更大，因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut 曾经就遭受到XSS。

    两种类型实现的结果完全相同，不同的是前者需要点击，后者存在于网页的数据库内

    XSS(cross site script)跨站脚本攻击攻击场景

    攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站脚本漏洞欺骗用户，收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码，可以让访问者访问非法网站或下载恶意木马，如果再结合其他攻击手段（如社会工程学、提权等），甚至可以获取系统的管理权限。

    举例说明

    例如:在项目看板里待材料初审存储下面代码，点击A项目会弹出框

    Payload: 
    

    

    例如 全部阶段结果标准-存储下面代码，点击20200927测试-2

    Payload: </pre> 
    <h2>解决方案</h2> 
    <p>找到项目已有的filter过滤器，在过滤HttpServletRequest参数时，进行参数的处理，使用转义，将 < 转义为 & lt , > 转义为 & gt</p> 
    <pre class="brush:python;toolbar:false">public PaasHttpRequestWrapper(HttpServletRequest request) {<!-- -->
            super(request);
            StringBuilder stringBuilder = new StringBuilder();
            InputStream inputStream = null;
            try {<!-- -->
                inputStream = request.getInputStream();
            } catch (IOException e) {<!-- -->
                throw new RuntimeException(e);
            }
            if (inputStream != null) {<!-- -->
                try (BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream))) {<!-- -->
                    char[] charBuffer = new char[CHAR_BUFFER_LENGTH];
                    int bytesRead;
                    while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {<!-- -->
                        stringBuilder.append(charBuffer, BUFFER_START_POSITION, bytesRead);
                    }
                } catch (IOException e) {<!-- -->
                    e.printStackTrace();
                }
            } else {<!-- -->
                stringBuilder.append("");
            }
            body = stringBuilder.toString();
            // 解决xss攻击问题
            if (body.contains("<")) {<!-- -->
                body = body.replace("<", "<");
            }
            if (body.contains(">")) {<!-- -->
                body = body.replace(">", ">");
            }
            initParameterMap();
        }
    </pre>      </div>
          <!--文章标签-->
    	        <div class="tags"><i class="iconfont"></i><a href="/tag/110618.html" title="db标签">db标签</a></div>      </div>
                      
          	  
    	        <div class="section">
    	  <h3>猜你喜欢</h3>
    
    <!--同分类内容推荐-->
    <ul class="list_a"><li><span>15天前</span><a href="/redian/205017.html">(万豪酒店 珠海)万豪酒店品牌启航珠海金湾，续写大湾区拓展新篇</a></li><li><span>15天前</span><a href="/redian/205110.html">(中国最好的避暑山庄)2025中国十大避暑山庄评选揭晓，澳涞山庄夺魁</a></li><li><span>15天前</span><a href="/redian/205133.html">(岭南东方大酒店)粤西成势 | 阳江阳春长兴岭南东方酒店正式签约，粤西文旅再添明珠</a></li><li><span>15天前</span><a href="/redian/205153.html">(大黄山景区高质量发展联盟成立多少年)大黄山景区高质量发展联盟成立</a></li><li><span>15天前</span><a href="/redian/205164.html">(殷建祥简历)全国十大牛商解码：殷建祥如何用178天技术突围打造星空梦星空房</a></li><li><span>15天前</span><a href="/redian/205168.html">(福州“一县一桌菜”“两马乡宴”品鉴会圆满举办,马尾美食共叙血脉亲情)福州“一县一桌菜”“两马乡宴”品鉴会圆满举办,马尾美食共叙血脉亲情</a></li><li><span>15天前</span><a href="/redian/205175.html">(内蒙古冬季旅游攻略)内蒙古冬日奇遇：携程租车带你策马踏雪</a></li><li><span>15天前</span><a href="/redian/205192.html">(冬日生活还没安排？上抖音一键打包北方花式过冬精彩)冬日生活还没安排？上抖音一键打包北方花式过冬精彩</a></li><li><span>15天前</span><a href="/redian/205194.html">(锦江 iu)锦江荟APP原生鸿蒙版正式上线打造全场景旅行服务新体验</a></li><li><span>15天前</span><a href="/redian/205214.html">(我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉)我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉</a></li></ul>      </div>
          	  
    	  <div class="section" id="comments">
        <h3>网友评论</h3>
    	<div class="compost">
        <form id="frmSumbit" target="_self" method="post" action="/comment/create/166022.html">
    		<input type="hidden" name="inpId" id="inpId" value="166022"/>
            <div class="com_name">
                <a rel="nofollow" id="cancel-reply" href="#comments" style="display:none;"><span>取消回复</span></a>
            </div>
            <div class="com_info">
    					<p class="must-log-in">要发表评论，您必须先<a href="/user/login.html">登录</a>。</p>
    		        </div>
        </form>
    </div>    <div class="comlist">
            <label id="AjaxCommentBegin"></label>
    				        <label id="AjaxCommentEnd"></label>
        </div>
    </div>
        </div>
        <div class="main_right scrollBox">
        <dl class="function search_0" id="divSearchPanel"><dt class="function_t">搜索</dt><dd class="function_c"><div><form name="search" method="wget" action="/operate/search.html"><label><span style="position:absolute;color:transparent;z-index:-9999;">Search</span><input type="hidden" name="range" value="1"><input type="text" name="keyword" size="11" /></label> <input type="submit" value="搜索" /></form></div></dd></dl><dl class="function new_article_1" id="new_article"><dt class="function_t">最新文章</dt><dd class="function_c"><div><ul><li><a href="/redian/205223.html" title="(2020广州车展哈弗)你的猛龙 独一无二 哈弗猛龙广州车展闪耀登场">(2020广州车展哈弗)你的猛龙 独一无二 哈弗猛龙广州车展闪耀登场</a></li><li><a href="/redian/205222.html" title="(哈弗新能源suv2019款)智能科技颠覆出行体验 哈弗重塑新能源越野SUV价值认知">(哈弗新能源suv2019款)智能科技颠覆出行体验 哈弗重塑新能源越野SUV价值认知</a></li><li><a href="/redian/205221.html" title="(2021款全新哈弗h5自动四驱报价)新哈弗H5再赴保障之旅，无惧冰雪护航哈弗全民电四驱挑战赛">(2021款全新哈弗h5自动四驱报价)新哈弗H5再赴保障之旅，无惧冰雪护航哈弗全民电四驱挑战赛</a></li><li><a href="/redian/205220.html" title="(海南航空现况怎样)用一场直播找到市场扩张新渠道，海南航空做对了什么？">(海南航空现况怎样)用一场直播找到市场扩张新渠道，海南航空做对了什么？</a></li><li><a href="/redian/205219.html" title="(visa jcb 日本)优惠面面俱到 JCB信用卡邀您畅玩日本冰雪季">(visa jcb 日本)优惠面面俱到 JCB信用卡邀您畅玩日本冰雪季</a></li><li><a href="/redian/205218.html" title="(第三届“堡里有年味·回村过大年”民俗花灯会活动)第三届“堡里有年味·回村过大年”民俗花灯会活动">(第三届“堡里有年味·回村过大年”民俗花灯会活动)第三届“堡里有年味·回村过大年”民俗花灯会活动</a></li><li><a href="/redian/205217.html" title="(展示非遗魅力 长安启源助力铜梁龙舞出征)展示非遗魅力 长安启源助力铜梁龙舞出征">(展示非遗魅力 长安启源助力铜梁龙舞出征)展示非遗魅力 长安启源助力铜梁龙舞出征</a></li><li><a href="/redian/205216.html" title="(阿斯塔纳航空公司)阿斯塔纳航空机队飞机数量增至50架">(阿斯塔纳航空公司)阿斯塔纳航空机队飞机数量增至50架</a></li><li><a href="/redian/205215.html" title="(北京香港航班动态查询)香港快运航空北京大兴新航线今日首航">(北京香港航班动态查询)香港快运航空北京大兴新航线今日首航</a></li><li><a href="/redian/205214.html" title="(我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉)我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉">(我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉)我在港航“呵护”飞机 每一次安全着陆就是最好的荣誉</a></li></ul></div></dd></dl><dl class="function hot_article_2" id="sidehot"><dt class="function_t">热门文章</dt><dd class="function_c"><div><ul><li><a href="/lvyou/19960.html" title="印尼雅加达安全吗（出国去印尼打工怎么样）">印尼雅加达安全吗（出国去印尼打工怎么样）</a></li><li><a href="/lvyou/14877.html" title="香格里拉三大骗局（香格里拉三大骗局揭秘）">香格里拉三大骗局（香格里拉三大骗局揭秘）</a></li><li><a href="/liuxue/20021.html" title="华为留学研究生薪资级别（华为主任工程师是什么级别薪资）">华为留学研究生薪资级别（华为主任工程师是什么级别薪资）</a></li><li><a href="/yliao/22137.html" title="上海穿皮肤衣（上海穿皮肤衣服的公司）">上海穿皮肤衣（上海穿皮肤衣服的公司）</a></li><li><a href="/yliao/14190.html" title="皮肤黑的适合穿杏色吗（皮肤黑的适合穿杏色吗女生）">皮肤黑的适合穿杏色吗（皮肤黑的适合穿杏色吗女生）</a></li><li><a href="/jksh/17781.html" title="四月十八是佛教什么日子（一般人承受不起四月初八生日）">四月十八是佛教什么日子（一般人承受不起四月初八生日）</a></li><li><a href="/lvyou/18119.html" title="成都到西昌高铁（成都到西昌高铁路线）">成都到西昌高铁（成都到西昌高铁路线）</a></li><li><a href="/yliao/16927.html" title="香槟色适合皮肤黑的吗（香槟色显黑不）">香槟色适合皮肤黑的吗（香槟色显黑不）</a></li><li><a href="/jksh/20829.html" title="海尔冰箱尺寸（海尔冰箱尺寸规格表）">海尔冰箱尺寸（海尔冰箱尺寸规格表）</a></li><li><a href="/liuxue/20330.html" title="留学生学位认证编号（留学生学历学位认证编号）">留学生学位认证编号（留学生学历学位认证编号）</a></li></ul></div></dd></dl><dl class="function hot_tags_3" id="hot_tags"><dt class="function_t">热门标签</dt><dd class="function_c"><div><ul><li><a href="/tag/110618.html" title="db标签（6096）" target="_blank">db标签</a></li><li><a href="/tag/2968.html" title="选择（1692）" target="_blank">选择</a></li><li><a href="/tag/2933.html" title="设计（1218）" target="_blank">设计</a></li><li><a href="/tag/2986.html" title="风水（1074）" target="_blank">风水</a></li><li><a href="/tag/2925.html" title="装修（1029）" target="_blank">装修</a></li><li><a href="/tag/2939.html" title="需要（996）" target="_blank">需要</a></li><li><a href="/tag/3139.html" title="使用（962）" target="_blank">使用</a></li><li><a href="/tag/2956.html" title="可以（960）" target="_blank">可以</a></li><li><a href="/tag/2927.html" title="办公室（686）" target="_blank">办公室</a></li><li><a href="/tag/4663.html" title="产品（666）" target="_blank">产品</a></li><li><a href="/tag/3036.html" title="价格（634）" target="_blank">价格</a></li><li><a href="/tag/2948.html" title="我们（571）" target="_blank">我们</a></li><li><a href="/tag/4716.html" title="市场（554）" target="_blank">市场</a></li><li><a href="/tag/2944.html" title="公司（422）" target="_blank">公司</a></li><li><a href="/tag/3081.html" title="文化（404）" target="_blank">文化</a></li><li><a href="/tag/2934.html" title="材料（389）" target="_blank">材料</a></li><li><a href="/tag/3568.html" title="智能（378）" target="_blank">智能</a></li><li><a href="/tag/2953.html" title="空间（364）" target="_blank">空间</a></li><li><a href="/tag/3157.html" title="家具（358）" target="_blank">家具</a></li><li><a href="/tag/3582.html" title="空调（356）" target="_blank">空调</a></li><li><a href="/tag/4758.html" title="消费者（330）" target="_blank">消费者</a></li><li><a href="/tag/3018.html" title="城市（295）" target="_blank">城市</a></li><li><a href="/tag/3401.html" title="品质（291）" target="_blank">品质</a></li><li><a href="/tag/2996.html" title="自己的（285）" target="_blank">自己的</a></li><li><a href="/tag/2967.html" title="风格（277）" target="_blank">风格</a></li><li><a href="/tag/3006.html" title="一个（276）" target="_blank">一个</a></li><li><a href="/tag/4170.html" title="农历（262）" target="_blank">农历</a></li><li><a href="/tag/2994.html" title="服务（259）" target="_blank">服务</a></li><li><a href="/tag/2930.html" title="环保（248）" target="_blank">环保</a></li><li><a href="/tag/4692.html" title="用户（247）" target="_blank">用户</a></li><li><a href="/tag/3975.html" title="卧室（246）" target="_blank">卧室</a></li><li><a href="/tag/4717.html" title="技术（244）" target="_blank">技术</a></li><li><a href="/tag/3796.html" title="建筑（240）" target="_blank">建筑</a></li><li><a href="/tag/3133.html" title="安装（237）" target="_blank">安装</a></li><li><a href="/tag/2926.html" title="企业（236）" target="_blank">企业</a></li><li><a href="/tag/3744.html" title="财运（222）" target="_blank">财运</a></li><li><a href="/tag/4901.html" title="制作（222）" target="_blank">制作</a></li><li><a href="/tag/2969.html" title="装饰（218）" target="_blank">装饰</a></li><li><a href="/tag/3828.html" title="嫁娶（217）" target="_blank">嫁娶</a></li><li><a href="/tag/3653.html" title="电视（211）" target="_blank">电视</a></li><li><a href="/tag/2932.html" title="员工（210）" target="_blank">员工</a></li><li><a href="/tag/5049.html" title="应用（209）" target="_blank">应用</a></li><li><a href="/tag/4755.html" title="生活（205）" target="_blank">生活</a></li><li><a href="/tag/3072.html" title="设备（194）" target="_blank">设备</a></li><li><a href="/tag/4764.html" title="发展（193）" target="_blank">发展</a></li><li><a href="/tag/2940.html" title="安全（186）" target="_blank">安全</a></li><li><a href="/tag/2945.html" title="施工（182）" target="_blank">施工</a></li><li><a href="/tag/4099.html" title="房屋（181）" target="_blank">房屋</a></li><li><a href="/tag/4004.html" title="家庭（177）" target="_blank">家庭</a></li><li><a href="/tag/2954.html" title="舒适（174）" target="_blank">舒适</a></li></ul></div></dd></dl>    </div>
      </div>
    </div><div class="clear"></div><footer><div class="webwidth"><ul><li><a href="#" target="_blank" title="关于上海办公室装修设计公司">关于上海办公室装修设计公司</a></li><li><a href="#" target="_blank" title="联系上海办公室装修设计公司">联系上海办公室装修设计公司</a></li><li><a href="#" target="_blank" title="上海办公室装修设计公司版权声明">上海办公室装修设计公司版权声明</a></li>
    <li>免责声明：网站部份内容来互联网或者AI辅助生成，不代表上海办公室装修设计公司的意见，如有侵权请联系删除</li></ul><p>上海办公室装修公司_上海办公室装修设计公司 - 上海默子网络  <a class="text" href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">沪ICP备2022015918号-4</a>  </p></div></footer><script>
    $(function(){$("img.lazy").lazyload({placeholder:"/view/template/ss_navblog/images/grey.gif",threshold:1000,effect:"fadeIn",})});
    new scrollBox({box:'.scrollBox',top:1,bottom:0,space:20,maxHeightBox:'.main_left',minWidth:820,transition:true});</script> <div style="width:100%;max-width:100%;"> <a href="https://www.izce.net/jmdq/3940927.html" target="_blank" style="color:#aaaaaa">梦见自己死亡全过程</a>  <a href="https://www.izce.net/jmdq/3939883.html" target="_blank" style="color:#aaaaaa">孕妇梦见蛇是什么胎梦</a>  <a href="https://www.izce.net/tag/1565216.html" target="_blank" style="color:#aaaaaa">女人梦到狗咬感觉到疼</a> </div></body></html>