XSS脚本攻击防御(Antisamy)(上)

最新推荐文章于 2024-04-15 15:36:19 发布
最新推荐文章于 2024-04-15 15:36:19 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: 菜鸟的网络安全日记 文章标签: antisamy java xss脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vi_error/article/details/54354451
版权

由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码

xss攻击的简单解释

跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
—维基百科跨站脚本

通过开源项目Antisamy防御Xss攻击

Antisamy是owasp下的开源项目(下载地址,需要翻墙),主要用于防御富文本的xss攻击。
需要说明的是,在实际情况中,最经常出现的攻击情况是输入框的js代码传入和按钮的url篡改,但是由于实际业务的需要,我们并不能严格控制输入框的内容为汉字或者数字,所以应当对输入进行过滤。

引入Antisamy包

<dependency>
    <groupId>org.owasp.antisamy</groupId>
    <artifactId>antisamy</artifactId>
    <version>1.5.5</version>
</dependency>```

这段代码是通过maven工具引入antisamy最新版本的jar包到项目中,如果没有使用maven项目,就需要手动下载jar包在项目中建立依赖。

jar包中的xml文件

antisamy jar包中包含多个xml配置文件,用于配置项目中允许输入的内容。其中有
xml配置文件

antisamy-ebay.xml文件是ebay网站使用的过滤富文本输入的配置文件,其他几个带有公司名称后缀的配置文件是相应公司使用的配置策略。需要注意的是antisamy-anythinggoes.xml文件,这个文件允许所有有效的html和css元素输入,但是拒绝javascript和css相关的网络钓鱼攻击。一般不推荐使用,但是可以当作参考,用于研究策略文件定义的基本规则。

Antisamy项目使用

项目的使用并不复杂,下面给出一个最简单的思路

//定义过滤的策略
Policy policy = Policy.getInstance("file"); //此处的file指使用的策略文件,如antisamy-ebay.xml
//对html输入进行过滤
Antisamy antisamy = new Antisamy();
CleanResult cr = antisamy.scan(innerHtml,policy);
//输出过滤后安全的html或异常信息
String cleanHtml = cr.getCleanHTML();
String errMsg = cr.getErrorMessages();

而在项目中的使用是这样的:

  • 定义一个filter
package com.vivi.test.xssfilter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub

    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        System.out.println("enter xssFilter----------------------------");
        chain.doFilter(new XssRequestWrapper((HttpServletRequest) request),
                response);

    }

    public void destroy() {
        // TODO Auto-generated method stub

    }

}
  • 重写request
package com.vivi.test.xssfilter;

import java.util.Iterator;
import java.util.Map;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

public class XssRequestWrapper extends HttpServletRequestWrapper {
    private static Policy policy = null;
    public static Logger logger = Logger.getLogger(XssRequestWrapper.class);

    static {
        try {
            policy = Policy.getInstance(XssRequestWrapper.class
                    .getClassLoader().getResourceAsStream("antisamy-ebay.xml"));
        } catch (PolicyException e) {
            e.printStackTrace();
        }
    }

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @SuppressWarnings("rawtypes")
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> request_map = super.getParameterMap();
        Iterator iterator = request_map.entrySet().iterator();
        System.out.println("request_map" + request_map.size());
        logger.debug("request_map" + request_map.size());
        while (iterator.hasNext()) {
            Map.Entry me = (Map.Entry) iterator.next();
            System.out.println(me.getKey() + ":");
            String[] values = (String[]) me.getValue();
            for (int i = 0; i < values.length; i++) {
                System.out.println(values[i]);
                logger.debug(values[i]);
                values[i] = xssClean(values[i]);
            }
        }
        return request_map;
    }

    public String[] getParameterValues(String paramString) {
        String[] arrayOfString1 = super.getParameterValues(paramString);
        if (arrayOfString1 == null)
            return null;
        int i = arrayOfString1.length;
        String[] arrayOfString2 = new String[i];
        for (int j = 0; j < i; j++)
            arrayOfString2[j] = xssClean(arrayOfString1[j]);
        return arrayOfString2;
    }

    public String getParameter(String paramString) {
        String str = super.getParameter(paramString);
        if (str == null)
            return null;
        return xssClean(str);
    }

    public String getHeader(String paramString) {
        String str = super.getHeader(paramString);
        if (str == null)
            return null;
        return xssClean(str);
    }

    private String xssClean(String value) {
        AntiSamy antiSamy = new AntiSamy();
        try {
            if (policy.equals(null)) {
                getPolicy();
            }
            final CleanResults cr = antiSamy.scan(value, policy);
            // 安全的HTML输出
            return cr.getCleanHTML();
        } catch (ScanException e) {
            e.printStackTrace();
        } catch (PolicyException e) {
            e.printStackTrace();
        }
        return value;
    }

    private void getPolicy() throws PolicyException {
        try {
            policy = Policy.getInstance(XssRequestWrapper.class
                    .getClassLoader().getResourceAsStream("antisamy-ebay.xml"));
        } catch (PolicyException e) {
            e.printStackTrace();
        }
    }
}

实际使用起来也特别方便。

时间所限,这是上篇,下篇写antisamy原理的简单解析。

Vi_error
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
XSS跨站攻击解决办法--AntiSamy的配置及使用
flying_pig1989的博客
01-24 4118
XSS跨站攻击         跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
使用AntiSamy防止XSS攻击
weixin_33898876的博客
07-12 149
2019独角兽企业重金招聘Python工程师标准>>> ...
基于Antisamy项目实现防XSS攻击
aqsswe的博客
10-23 1132
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3305
AntisamyXSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
antisamy的策略文件使用详解
RayChiu757374816的博客
01-10 7019
1 前言 Antisamy是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的
AntiSamy的使用总结
rqz__的博客
04-09 372
AntiSamy是一个Java库,用于防止跨站脚本攻击XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
AntiSamy防跨站脚本攻击XSS)快速入门
我要记录学习博客
08-29 874
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xmlantisamy-ebay-1.4.4.xmlantisamy-anythinggoes-1.4.4.xmlantisamy-tinymce-1.4.4.xml
antisamy的jar包
03-21
xssFilter所需的jar包
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
java面向对象.day21(继承02--super)
BaiZhuYuan的博客
04-14 733
super===父this===当前使用super时,首先要继承父类,其次是在子类里面才能使用super。继承父类后,运行子类时会同时调用父类的构造方法,如果要显性调用父类的构造方法必须在子类的第一行调用。单使用super()表示调用父类构造方法,单使用this()表示调用本身的构造方法。父类具有有参的构造方法时,并且没有显性无参构造方法,那么子类要使用时必须直接调用父类的有参构造方法,
SpringBoot整合javaMail
weixin_62513677的博客
04-13 580
快速掌握springboot邮件的发送
常见Spring相关工具报错-源码分析
小百的博客
04-15 393
在 getResources 中会获取 getResources(“classpath*:” + i18n/messages + “.properties”),但是缺少messages.properties属性文件。3️⃣ 源码分析 MessageSourceAutoConfiguration 配置类。4️⃣ 解决:补充 messages.properties 文件。
Java IO流-字节流
最新发布
qq_40603125的博客
04-15 499
上述两两结合一下,就得到四种大的分类。使用循环一个个字节输入。
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值