Java の HttpServletRequestWrapper によって実装された xss インジェクションの例-＆＃＆チュートリアル-php.cn

ホームページ

Java

＆＃＆チュートリアル

Java の HttpServletRequestWrapper によって実装された xss インジェクションの例

黄舟

May 28, 2018 pm 03:03 PM

java例

これは最近のプロジェクトでのソリューションです。主に commons-lang3-3.1.jar パッケージの org.apache.commons.lang3.StringEscapeUtils.escapeHtml4() メソッドを使用します。

解決プロセスには主に 2 つのステップが含まれます: ユーザー入力と表示出力: 入力中に " ' & などの特殊文字をエスケープし、出力中に jstl の fn:excapeXml("fff") メソッドを使用します。、入力時のフィルタリングはフィルターで実装されます。

実装プロセス:

web.xml にフィルターを追加します

    <filter>  
            <filter-name>XssEscape</filter-name>  
            <filter-class>cn.pconline.morden.filter.XssFilter</filter-class>  
        </filter>  
        <filter-mapping>  
            <filter-name>XssEscape</filter-name>  
            <url-pattern>/*</url-pattern>  
            <dispatcher>REQUEST</dispatcher>  
        </filter-mapping>

サーブレットの HttpServletRequestWrapper の実装、および次のような xss 攻撃を運ぶ可能性がある対応するメソッドを書き換えます:

    package cn.pconline.morden.filter;  
      
    import java.io.IOException;  
      
    import javax.servlet.Filter;  
    import javax.servlet.FilterChain;  
    import javax.servlet.FilterConfig;  
    import javax.servlet.ServletException;  
    import javax.servlet.ServletRequest;  
    import javax.servlet.ServletResponse;  
    import javax.servlet.http.HttpServletRequest;  
      
    public class XssFilter implements Filter {  
          
        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  
        }  
      
        @Override  
        public void doFilter(ServletRequest request, ServletResponse response,  
                FilterChain chain) throws IOException, ServletException {  
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);  
        }  
      
        @Override  
        public void destroy() {  
        }  
    }

この時点で、入力フィルタリングは完了です

ページにデータを表示するときは、 :escapeXml() を使用するだけで、xss の脆弱性が発生する可能性のある出力をエスケープします

複雑なコンテンツの表示、特定の問題が詳細に分析されます。

さらに、フィルターされたコンテンツを表示したくない場合は、StringEscapeUtils.unescapeHtml4() を使用できます。このメソッドは、StringEscapeUtils.escapeHtml4() でエスケープされた文字を復元します

。

以上がJava の HttpServletRequestWrapper によって実装された xss インジェクションの例の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

高度なJavaプロジェクト管理、自動化の構築、依存関係の解像度にMavenまたはGradleを使用するにはどうすればよいですか？Mar 17, 2025 pm 05:46 PM

この記事では、Javaプロジェクト管理、自動化の構築、依存関係の解像度にMavenとGradleを使用して、アプローチと最適化戦略を比較して説明します。

適切なバージョン化と依存関係管理を備えたカスタムJavaライブラリ（JARファイル）を作成および使用するにはどうすればよいですか？Mar 17, 2025 pm 05:45 PM

この記事では、MavenやGradleなどのツールを使用して、適切なバージョン化と依存関係管理を使用して、カスタムJavaライブラリ（JARファイル）の作成と使用について説明します。

カフェインやグアバキャッシュなどのライブラリを使用して、Javaアプリケーションにマルチレベルキャッシュを実装するにはどうすればよいですか？Mar 17, 2025 pm 05:44 PM

この記事では、カフェインとグアバキャッシュを使用してJavaでマルチレベルキャッシュを実装してアプリケーションのパフォーマンスを向上させています。セットアップ、統合、パフォーマンスの利点をカバーし、構成と立ち退きポリシー管理Best Pra

キャッシュや怠zyなロードなどの高度な機能を備えたオブジェクトリレーショナルマッピングにJPA（Java Persistence API）を使用するにはどうすればよいですか？Mar 17, 2025 pm 05:43 PM

この記事では、キャッシュや怠zyなロードなどの高度な機能を備えたオブジェクトリレーショナルマッピングにJPAを使用することについて説明します。潜在的な落とし穴を強調しながら、パフォーマンスを最適化するためのセットアップ、エンティティマッピング、およびベストプラクティスをカバーしています。[159文字]