web网站xss攻击预防

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: JavaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qh_java/article/details/53247231
版权

之前的开发中只是做业务开发,也就不会管这些,现在有机会去考虑做这些事了,也看到项目中有对xss攻击的防范措施,来学习一下:

整个流程:

1、对请求参数进行处理,如果有半角符则把半角符替换为全角符。

2、对请求参数值进行处理,如果请求参数值有半角符则吧半角符替换为全角符。

实现方式:

1、在拦截器中进行拦截处理

2、实现方式是通过重写HttpServletRequestWrapper的方法来实现

下面来看代码:

一、Filter的实现

package com.jeecms.common.web;

import com.jeecms.core.utils.PropertiesMoreUtils;
import com.jeecms.core.web.util.URLHelper;
import org.apache.commons.lang.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

public class XssFilter implements Filter {
	private String filterChar;
	private String replaceChar;
	private String splitChar;
	private String excludeUrls;
	private Map<String, String[]> sysNo_xssExcludeUrlsFromProperties_map = new HashMap<String, String[]>();
	FilterConfig filterConfig = null;

	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterChar = filterConfig.getInitParameter("FilterChar");
		this.replaceChar = filterConfig.getInitParameter("ReplaceChar");
		this.splitChar = filterConfig.getInitParameter("SplitChar");
		this.excludeUrls = filterConfig.getInitParameter("excludeUrls");
		this.filterConfig = filterConfig;
	}

	public void destroy() {
		this.filterConfig = null;
	}

	public void doFilter(ServletRequest request, ServletResponse response,

	FilterChain chain) throws IOException, ServletException {
		/**如果都时特殊路径则不进行过滤*/
		if (isExcludeUrl(request) || isExcludeUrlFromProperties(request)) {
			chain.doFilter(request, response);
		} else {
		/**对请求参数和参数值进行处理,我们看到这里request对象传的是XssHttpServletRequestWrapper是一个自定义类,具体的见代码*/
		/**这样之后我们调用获取参数的方法都是调用XssHttpServletRequestWrapper的方法*/
			chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request, filterChar, replaceChar, splitChar), response);
		}
	}
    /**
     * 配置文件中配置不用拦截处理的特殊路径
     * @param request
     * @return
     */
	private boolean isExcludeUrlFromProperties(ServletRequest request) {
		String sysNo = PropertiesMoreUtils.getInstance().get("pf", "sys_no");
		if (StringUtils.isEmpty(sysNo))
			return false;
		boolean exclude = false;
		String[] xssExcludeUrlsFromPropertiesAry = null;
		if (PropertiesMoreUtils.getInstance().isPropertiesChanged(sysNo) || sysNo_xssExcludeUrlsFromProperties_map.get(sysNo) == null) {
			String xssExcludeUrls = PropertiesMoreUtils.getInstance().get(sysNo, "xssExcludeUrls", "");
			xssExcludeUrlsFromPropertiesAry = xssExcludeUrls.split(",");
			sysNo_xssExcludeUrlsFromProperties_map.put(sysNo, xssExcludeUrlsFromPropertiesAry);
		} else {
			xssExcludeUrlsFromPropertiesAry = sysNo_xssExcludeUrlsFromProperties_map.get(sysNo);
		}
		if (xssExcludeUrlsFromPropertiesAry != null && xssExcludeUrlsFromPropertiesAry.length > 0) {
			for (String url : xssExcludeUrlsFromPropertiesAry) {
				if (StringUtils.isEmpty(url))
					continue;
				if (URLHelper.getURI((HttpServletRequest) request).startsWith(url)){
					exclude = true;
					break;
				}
			}
		}
		return exclude;
	}
    /**
     * filterConfig中配置的可执行路径
     * @param request
     * @return
     */
	private boolean isExcludeUrl(ServletRequest request) {
		boolean exclude = false;
		if (StringUtils.isNotBlank(excludeUrls)) {
			String[] excludeUrl = excludeUrls.split(splitChar);
			if (excludeUrl != null && excludeUrl.length > 0) {
				for (String url : excludeUrl) {
					if (URLHelper.getURI((HttpServletRequest) request).startsWith(url)) {
						exclude = true;
						break;
					}
				}
			}
		}
		return exclude;
	}

}

二、Filter的配置文件 

<!--@分隔 -->
	<filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.jeecms.common.web.XssFilter</filter-class>
		<init-param>
			<param-name>excludeUrls</param-name>
			<param-value>/member/contribute@/jeeadmin/jeecms@/flow_statistic</param-value>
		</init-param>
		<init-param>
			<param-name>SplitChar</param-name>
			<param-value>@</param-value>
		</init-param>
		<init-param>
			<param-name>FilterChar</param-name>
			<param-value>'@"@\@#@%@></param-value>
		</init-param>
		<init-param>
			<param-name>ReplaceChar</param-name>
			<param-value>‘@“@\@#@%@></param-value>
		</init-param>
	</filter>

<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>*.do</url-pattern>
	</filter-mapping>

三、自定义类HttpServletRequestWrapper

在Filter中我们传了一个XssHttpServletRequestWrapper类对象,XssHttpServletRequestWrapper这个类继承了HttpServletRequestWrapper 而HttpServletRequestWrapper实现了HttpServletRequest 接口所以HttpServletRequestWrapper 中实现了所有HttpServletRequest 接口中的方法,当XssHttpServletRequestWrapper继承HttpServletRequestWrapper 后重写了要用到的方法来满足我们过滤特殊字符的需求,所以在控制层调用的方法其实都是XssHttpServletRequestWrapper对象的方法,而这个对象的部分方法我们是进行了重写来实现xss攻击的处理,具体处理方法见下面代码中重写的方法!

package com.jeecms.common.web;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;

import static com.jeecms.common.web.Constants.UTF8;


/**
 * @author Tom
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private String[]filterChars;
	private String[]replaceChars;
	public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {
		//调用父类的构造函数创建对象
		super(request);
		if(filterChar!=null&&filterChar.length()>0){
			filterChars=filterChar.split(splitChar);
		}
		if(replaceChar!=null&&replaceChar.length()>0){
			replaceChars=replaceChar.split(splitChar);
		}
	}
	public String getQueryString() {
		String value = super.getQueryString();
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}
	
	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 */
	public String getParameter(String name) {
		//调用父类的方法来获取请求参数,继承HttpServletRequestWrapper的目的就是使用这些现成的方法!
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}
	
	public String[] getParameterValues(String name) {
		String[]parameters=super.getParameterValues(name);
		if (parameters==null||parameters.length == 0) {
			return null;
		}
		for (int i = 0; i < parameters.length; i++) {
			parameters[i] = xssEncode(parameters[i]);
		}
		return parameters;
	}
	
	/**
	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
	 */
	public String getHeader(String name) {
		String value = super.getHeader(xssEncode(name));
		if (value != null && !name.equals("Referer")) {
			value = xssEncode(value);
		}
		return value;
	}
	
	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 * 
	 * @param s
	 * @return
	 */
	private  String xssEncode(String s) {
		if (s == null || s.equals("")) {
			return s;
		}
		try {
			s = URLDecoder.decode(s, UTF8);
		} catch (UnsupportedEncodingException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		//容易引起xss漏洞的半角字符直接替换成全角字符
		for (int i = 0; i < filterChars.length; i++) {
			if(s.contains(filterChars[i])){
				s=s.replace(filterChars[i], replaceChars[i]);
			}
		}
		return s;
	}
}

总结:

这样我们就实现了对xss攻击的处理,其实就是对所有请求使用Filter进行拦截在将请求参数和请求参数值进行了处理,而处理的方式就是重写HttpServletRequest接口的方法进行处理。重写HttpServletRequest接口方法有两种一种就是实现这个接口这样的话我们就要去实现一个个的方法而另一种方法就是继承HttpServletRequestWrapper这个类,因为他已经实现了HttpServletRequest接口的方法,我们不用一个个去实现,如果需要的话就可以直接调用!




bit-caffe
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
七、抵御即跨站脚本(XSS)攻击
weixin_39309918的博客
10-20 1758
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
XSS漏洞通过HttpServletRequestWrapper实现
qq_35799712的博客
08-31 9862
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3603
Springboot配置XSS过滤器XssFilter
XssHttpServletRequestWrapper过滤器
零落的尘土
12-24 6936
XssHttpServletRequestWrapper过滤器 先定义需要过滤的变量如下: private static final String EVENTS = "((?i)onclick|oncontextmenu|ondblclick|onmousedown|onmouseenter|onmouseleave|" + "onmousemove|onmouse...
调查:XSS攻击Web应用程序-研究论文
05-20
如今,Web应用程序对于在许多领域(例如,资金,基于Web的业务,人力资源等)的利用具有巨大的价值和惊人的价值,因此必须对其进行... 在本文中,我们调查了XSS攻击预防基于存储的XSS和基于DOM的XSS的原因和方法。
预防Web应用程序的漏洞
03-04
Web环境中两个主要的风险在于:注入——也就是SQL注入,它会让黑客更改发往数据库的查询——以及跨站脚本攻击(XSS),它们也是最危险的(Category:OWASP_Top_Ten_Project)。注入攻击会利用有问题代码的应用程序来...
HttpServletRequestWrapper通过filter做XSS
小松鼠米老鼠
06-26 3387
XSS的具体解释这里不多说,XSS简单的防注入其实就是字符的替换和屏蔽。这就需要我们在服务器接受数据对数据进行处理。Filter能在request到达servlet的服务方法之前拦截HttpServletRequest对象,而在服务方法转移控制后又能拦截HttpServletResponse对象。但是不能修改HttpServletRequest对象,我们可以用HttpServletRequestW...
在spring boot中防止xss攻击的实现方案
程序员记事本
02-22 1902
【代码】在spring boot中防止xss攻击的实现方案。
【xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4374
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSS。 XSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
SpringBoot防Xss攻击
weixin_48040732的博客
11-11 5117
这里记录一下怎么防止Xss攻击的代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
过滤器防止xss攻击
最新发布
yizhousai0662的博客
09-01 945
将参数中有关xss攻击的非法字符全部处理掉。
web抵御XSS攻击
市民景先生
07-09 559
目录1.概念2.解决办法3.覆盖Http请求方法XSS:Cross Site Script ,为了区分css改写成xss,通过注入“HTML注入”,篡改了网页,插入了恶意脚本。等到用户加载的时候就会自动执行恶意脚本,如果在浏览器上执行javacript就可以盗取Cookie或者Token1).设置过滤器编写过滤器,拦截请求,把请求里面的数据进行转义2).覆盖Http请求方法在请求里面获取数据的时候,调用HttpServletRequest类中getParameter()方法和getParameterValu
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
Web系统安全问题整理(XSS攻击
ThisLX的博客
01-25 848
Web系统安全问题整理(XSS攻击)1. XSS介绍2. XSS分类2.1 反射型XSS2.1 存储型XSS3. 安全测试工具4. 代码过滤XSS攻击4.1. XSSSecurityManager 安全过滤配置管理类4.2. XSSSecurityConfig 开关配置类4.3. XssHttpServletRequestWrapper 自定义XSS过滤wrapper4.4. XssFilter...
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5780
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
HttpServletRequestWrapper的使用与原理
li12412414的博客
05-08 2635
HttpServletRequestWrapper 实现了 HttpServletRequest 接口,可以让开发人员很方便的改造发送给 Servlet 的请求.HttpServletRequest 对参数值的获取实际调的是org.apache.catalina.connector.Request没有提供对应的set方法修改属性所以不能对前端传来的参数进行修改,实际场所像过滤xss攻击,取认证token统一去除token前缀等需要进行请求参数的处理。
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2524
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
什么是 XSS 攻击?如何预防
05-16
为了预防XSS攻击,可以采取以下几种措施: 1. 对用户输入进行过滤和验证:在Web应用程序中,对所有输入的数据进行过滤和验证,防止恶意脚本被注入。可以使用一些开源的XSS过滤器,如ESAPI和HTML Purifier。 2. 对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值