解决跨站脚本注入问题

最新推荐文章于 2023-06-14 07:00:00 发布
最新推荐文章于 2023-06-14 07:00:00 发布
阅读量7.5k 收藏 3
点赞数
分类专栏: JAVA 文章标签: java Java JAVA L l 漏洞 脚本 跨站

===========================问题描述========================
跨站脚本注入的几种形式

*****="/><script>alert(document.cookie)</script>&passwd=&ok.x=28&ok.y=6


******="/><script>window.open("http://www.baidu.com")</script>

/document/ifr_list_managerHalfway.jsp?subFrame=managerHalfway&Page=2&Pages=2&Count=15&docsfrom="/><script>window.open("http://www.baidu.com")</script>

document/ifr_list_managerHalfway.jsp?docucode=&organiger=&manageEntityId=&Page=1&queryOwn=0&procstatus=&docsfrom=5&subFrame=managerHalfway&docsfrom=5&beginDate=&cbt=&procid=&cfwdw=&wenhao=%5C0%5C%22%5C%27%3E%3CScRiPt%3Ealert%28/shtec%2Bxss%2Btest/%29%3B%3C/ScRiPt%3E


document/ifr_list_managerHalfway.jsp?docucode=&organiger=&manageEntityId=&Page=1&queryOwn=0&procstatus=&docsfrom=5&subFrame=managerHalfway&docsfrom=5&beginDate=&cbt=&procid=&cfwdw="/><script>window.open("http://www.baidu.com")</script>&wenhao="/><script>window.open("http://www.baidu.com")</script>


以上的几种跨站点脚本注入会使页面非正常显示

 

解决方案

1。增加一个request的转码过滤器=======================

package com.apusic.portal.sso;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.*;
import java.util.*;
/**
 * Servlet Filter implementation class SqlEscapeFilter
 */
public class SqlEscapeFilter implements Filter {
    /**
     * Default constructor. 
     */
    public SqlEscapeFilter() {
        // TODO Auto-generated constructor stub
    }
    /**
     * @see Filter#destroy()
     */
    public void destroy() {
        // TODO Auto-generated method stub
    }
    /**
     * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        // place your code here
        HttpServletRequest hreq = (HttpServletRequest)request;
        Map map = hreq.getParameterMap();
        Iterator itr = map.keySet().iterator();
        while( itr.hasNext() )
        {
            String key = itr.next().toString();
            String [] values = hreq.getParameterValues(key);
            if( values != null )
            {
                for( int i = 0; i < values.length; i++ )
                {
                    values[i] = cleanXSS(values[i]);
                }
            }
            hreq.setAttribute(key, values);
        }
        // pass the request along the filter chain
        chain.doFilter(request, response);
    }
    /**
     * @see Filter#init(FilterConfig)
     */
    public void init(FilterConfig fConfig) throws ServletException {
        // TODO Auto-generated method stub
    }
    private String cleanXSS(String value)
    {
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }
}


 


2================================
web.xml

<filter>
     <display-name>SqlEscapeFilter</display-name>
     <filter-name>SqlEscapeFilter</filter-name>
     <filter-class>com.apusic.portal.sso.SqlEscapeFilter</filter-class>
   </filter>
    <filter-mapping>
     <filter-name>SqlEscapeFilter</filter-name>
     <url-pattern>*.jsp</url-pattern>
    </filter-mapping>

 

body13_13
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于决策树分类的跨站脚本攻击检测方法
10-17
跨站脚本攻击是一种特殊的Web客户端脚本注入攻击手段,目前对于跨站脚本攻击缺乏有效的防御措施。针对这一问题,提出一种采用决策树分类算法检测跨站脚本...实验结果表明,该方法能够有效解决跨站脚本攻击的检测问题
前端安全跨站脚本攻击
sunshine的博客
08-11 788
- 攻击者将恶意代码提交到目标网站的数据库中。 - 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。 - 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。 - 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。...
跨站脚本(XSS)的一些问题解决<script>alert(42873)</script>
王伟峰聊下VB语言的一些心得
12-24 9578
问题跨站脚本(XSS)的一些问题,主要漏洞证据: alert(42873),对于这个问题怎么解决? 方案一: 一、 过滤用户输入的内容,检查用户输入的内容中是否有非法内容。如 二、严格控制输出 可以利用下面这些函数对出现xss漏洞的参数进行过滤 1、htmlspecialchars() 函数,用于转义处理在页面上显示的文本。 2、htmlentities() 函数,用于转义处理在页面
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1461
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3703
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击。
anti-xss:AntiAntiXSS | 通过PHP防止跨站脚本(XSS)
05-02
XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站脚本编写约占Symantec记录的所有安全漏洞的84%。” ...
Web 应用程序中的跨站脚本 (XSS) 和 SQL 注入攻击检测-研究论文
06-09
现在每天都在生成新的 Web 应用程序工具,因此 Web 的安全性是最重要的。 从几年前开始,网络攻击不断增加,... 在工具的帮助下,我们可以发现漏洞的类型主要是SQL注入攻击和跨站脚本攻击可能发生在Web应用程序中。
SQL注入攻击与防御
10-04
7.4.2 创建跨站脚本 263 7.4.3 在Oracle上运行操作系统命令 264 7.4.4 利用验证过的漏洞 265 7.5 本章小结 265 7.6 快速解决方案 266 7.7 常见问题解答 267 第8章 代码层防御 269 8.1 概述 270 8.2 使用参数化语句 ...
SQL注入攻击与防御(安全技术经典译丛)
02-19
 7.4.2 创建跨站脚本  7.4.3 在Oracle上运行操作系统命令  7.4.4 利用验证过的漏洞  7.5 本章小结  7.6 快速解决方案  7.7 常见问题解答 第8章 代码层防御  8.1 概述  8.2 使用参数化语句  8.2.1 ...
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
跨站脚本(XSS)的介绍
最新发布
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
06-14 2804
跨站脚本 (XSS) 攻击是一种注入,其中 恶意脚本注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时,会发生 XSS 攻击 发送恶意代码(通常以浏览器端脚本的形式)到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍,并且发生在 Web 应用程序使用来自 用户在其生成的输出中,而无需对其进行验证或编码。攻击者可以使用 XSS 向毫无戒心的人发送恶意脚本 用户。最终用户的浏览器无法知道脚本应该 不可信,并将执行脚本
XSS跨站脚本攻击介绍
99度灰的博客
12-05 5205
一、XSS漏洞简介   XSS(Cross Site Script)即跨站脚本,攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID等。总而言之,前端能做的事情它都能做到。XSS可分为反射型,存储型和DOM型。
xss跨站脚本过滤
u011697091的博客
03-05 2569
自定义XssRequestWrapper集成HttpServletRequestWrapper package com.workflow.base.filter; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.http.HttpServletRequest; import javax.servlet.
跨站脚本漏洞XSS
qq_48904485的博客
03-22 8080
一、XSS跨站脚本基础 1、XSS漏洞介绍 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2、XSS漏洞原理 形成XSS漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后,在输到前端时被浏览器当作有效代码解析执
跨站脚本配置过滤器
weixin_50909296的博客
11-24 236
https://www.cnblogs.com/lyhero11/p/6406730.html
MySQL注入跨站注入
DNA_A的博客
07-18 136
在MySQL5.0以上版本中,mysql存在一个自带数据库名为information_schema,它是一个存储记录有所有数据库名,表名,列名的数据库,也相当于可以通过查询它获取指定数据库下面的表名或列名信息
解决跨站脚本注入跨站伪造用户请求,sql注入等http安全漏洞
weixin_34304013的博客
06-08 399
跨站脚本就是在url上带上恶意的js关键字然后脚本注入了,跨站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入 1、参数化查询预处理,如java使用PreparedStatement()处理变量。 2、转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,...
sca扫描前端代码出现‘跨站脚本:DOM’怎么解决
06-13
CSP可以限制Web页面中脚本的来源,只允许从指定的域名加载脚本,从而防止恶意脚本注入。 3. 使用安全的DOM操作方法:在编写Web页面时,应该使用安全的DOM操作方法,比如使用`textContent`代替`innerHTML`,避免将...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值