JAVA 如何写 防XSS跨站脚本工具和sql注入的 过滤器

问题描述

JAVA如何写防XSS跨站脚本工具和sql注入的过滤器

解决方案

解决方案二:
话说原来项目中都有专门的安全包,屏蔽这些
解决方案三:
HttpServletRequestWrapper你值得拥有
解决方案四:
引用2楼x19881216的回复:

HttpServletRequestWrapper你值得拥有

那个我试了貌似只能过滤参数吧,我请求的连接是这样的/PORTAL/css/struts-virtdir/%3Cscript%3Ealert(4415)%3C/script%3E.do会弹出个页面弹出提示框4415
解决方案五:
要是要防止所有的js跟个sql代码....通常只要htmlencode就ok了.....要是有选择的过滤部分js,sql,要使用js,sql解析库,建立黑名单,白名单过滤...
解决方案六:
要是要防止所有的js跟个sql代码....通常只要htmlencode就ok了.....然后正则表达式过滤参数!
解决方案七:
引用3楼sinat_15137089的回复:

Quote: 引用2楼x19881216的回复:
HttpServletRequestWrapper你值得拥有

那个我试了貌似只能过滤参数吧,我请求的连接是这样的/PORTAL/css/struts-virtdir/%3Cscript%3Ealert(4415)%3C/script%3E.do会弹出个页面弹出提示框4415

这个难道不应该是404么
解决方案八:
防止sql注入直接在dao就能实现了吧,使用preparedstatment预编译一下,不用过滤器,防止xss脚本攻击的过滤器可以通过转码实现,将html代码中的<号什么的转义,让xss代码编程普通的字符串

时间: 2024-09-14 04:37:16

JAVA 如何写 防XSS跨站脚本工具和sql注入的 过滤器的相关文章

网站存在啊D注入工具的SQL注入点的修复方法_网络安全

前日和昨日,我的网站还有我给老师做的单片机网站相继被黑.在我的网站里莫名其妙的多出一篇文章,还有多出一组贴图.正在纳闷是谁可以登陆我的后台发表文章和图片的时候,我的qq弹出消息,一个陌生人给我发消息,说我的网站有漏洞,还说是他弄了我的网站.不过还好,他给我详细说了黑我网站的方法,还提醒我好好修补修补,不然会被别人黑的.从他那得知,他用的是"啊D注入工具",先找我的网站是否存在可注入点,如果有,进行注入,能够破解得到后台密码. 当晚我把那个"啊D注入工具"下载下来研究

java类过滤器,防止页面SQL注入

package com.tarena.dingdang.filter; import java.io.IOException; import java.util.Enumeration; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servle

利用PHP编程防范XSS跨站脚本攻击

国内不少论坛都存在跨站脚本漏洞国外也很多这样的例子甚至Google也出现过不过在12月初时修正了.(编者注关于跨站脚本漏洞攻击读者可参阅<详解XSS跨站脚本攻击>).跨站攻击很容易就可以构造而且非常隐蔽不易被查觉通常盗取信息后马上跳转回原页面. 如何攻击在此不作说明也不要问我主要谈谈如何防范.首先跨站脚本攻击都是由于对用户的输入没有进行严格的过滤造成的所以我们必须在所有数据进入我们的网站和数据库之前把可能的危险拦截.针对非法的HTML代码包括单双引号等可以使用htmlentities() .

PHP防SQL注入和XSS攻击

就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.在用户名输入框中输入:' or 1=1#,密码随便输入,这时候的合成后的SQL查询语句为"#"在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,等价于 Java代码   select * from users where username='' or 1=1    防止SQL注入 Java代码   <?php   $field 

《XSS跨站脚本攻击剖析与防御》目录—导读

内容提要 XSS跨站脚本攻击剖析与防御 本书是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下. 第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害.第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马.窃取Cookies.会话劫持到钓鱼欺骗,各种攻击都不容忽视.第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具.第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全

分享15款Java程序员必备的开发工具_java

如果你是一名Web开发人员,那么用膝盖想也知道你的职业生涯大部分将使用Java而度过.这是一款商业级的编程语言,我们没有办法不接触它. 对于Java,有两种截然不同的观点:一种认为Java是最简单功能最强大的编程语言之一,另一种则表示这种编程语言既难用又复杂. 下面这些工具或许功能和作用不同,但是有着一个共同的主旨,那就是--它们都是为了给Java编码和开发提供卓越的支持. 1. JDK(Java开发工具包)如果你打算用Java开发一些小程序和应用程序,那么首先得给自己准备一个类似于JDK的工具

Java 生成二维码的工具资料整理_java

1.  使用SwetakeQRCode在Java项目中生成二维码 http://swetake.com/qr/ 下载地址 或着  http://sourceforge.jp/projects/qrcode/downloads/28391/qrcode.zip 这个是日本人写的,生成的是我们常见的方形的二维码 可以用中文 如:5677777ghjjjjj  有朋友问我要这个图片生成的代码,我就在网上搜索然后整理了一个类,首先要把SwetakeQRCode的jar包qrcode.jar放在工程的编译

java 过滤器filter防sql注入的实现代码_java

实例如下: XSSFilter.java public void doFilter(ServletRequest servletrequest, ServletResponse servletresponse, FilterChain filterchain) throws IOException, ServletException { //flag = true 只做URL验证; flag = false 做所有字段的验证; boolean flag = true; if(flag){ //只

xss防御之php利用httponly防xss攻击

 这篇文章主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下 xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了...   如下js获取cookie信息:    代码如下: url=document.top.location.href; coo