コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > Java > &#&チュートリアル > 本文

Java の HttpServletRequestWrapper によって実装された xss インジェクションの例

黄舟
リリース: 2018-05-28 15:03:16
オリジナル
2946 人が閲覧しました

これは最近のプロジェクトでのソリューションです。主に commons-lang3-3.1.jar パッケージの org.apache.commons.lang3.StringEscapeUtils.escapeHtml4() メソッドを使用します。

解決プロセスには主に 2 つのステップが含まれます: ユーザー入力と表示出力: 入力中に <>" ' & などの特殊文字をエスケープし、出力中に jstl の fn:excapeXml("fff") メソッドを使用します。 、入力時のフィルタリングはフィルターで実装されます。

実装プロセス:

web.xml にフィルターを追加します

    <filter>  
            <filter-name>XssEscape</filter-name>  
            <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
        </filter>  
        <filter-mapping>  
            <filter-name>XssEscape</filter-name>  
            <url-pattern>/*</url-pattern>  
            <dispatcher>REQUEST</dispatcher>  
        </filter-mapping>
ログイン後にコピー

サーブレットの HttpServletRequestWrapper の実装、および次のような xss 攻撃を運ぶ可能性がある対応するメソッドを書き換えます: 

    package cn.pconline.morden.filter;  
      
    import java.io.IOException;  
      
    import javax.servlet.Filter;  
    import javax.servlet.FilterChain;  
    import javax.servlet.FilterConfig;  
    import javax.servlet.ServletException;  
    import javax.servlet.ServletRequest;  
    import javax.servlet.ServletResponse;  
    import javax.servlet.http.HttpServletRequest;  
      
    public class XssFilter implements Filter {  
          
        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  
        }  
      
        @Override  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
        }  
      
        @Override  
        public void destroy() {  
        }  
    }
ログイン後にコピー

この時点で、入力フィルタリングは完了です

ページにデータを表示するときは、 :escapeXml() を使用するだけで、xss の脆弱性が発生する可能性のある出力をエスケープします

複雑なコンテンツの表示、特定の問題が詳細に分析されます。

さらに、フィルターされたコンテンツを表示したくない場合は、StringEscapeUtils.unescapeHtml4() を使用できます。このメソッドは、StringEscapeUtils.escapeHtml4() でエスケープされた文字を復元します

以上がJava の HttpServletRequestWrapper によって実装された xss インジェクションの例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
java
ソース:php.cn
前の記事:Javaでのjdbcの使い方の詳しい説明 次の記事:Java ソート InsertionSort 挿入ソートの例
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
function_exists() はカスタム関数を決定できません Function test () {return true;} if (function_exists ('test')) {echo "テストは関数です";
から 2024-04-29 11:01:01
0
2
1846
Google Chromeのモバイル版を表示する方法 こんにちは、先生、Google Chrome をモバイル版に変更するにはどうすればよいですか?
から 2024-04-23 00:22:19
0
10
2017
子ウィンドウは親ウィンドウを操作しますが、出力は応答しません。 最初の 2 つの文は実行可能ですが、最後の文は実装できません。
から 2024-04-19 15:37:47
0
1
1698
親ウィンドウには出力がありません document.onclick = function(){ window.opener.document.write('私は子ウィンドウの出力です');
から 2024-04-18 23:52:34
0
1
1598
CSS マインド マッピングに関するコースウェアはどこにありますか? コースウェア
から 2024-04-16 10:10:18
0
0
1615
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート