跨站点脚本攻击

最新推荐文章于 2023-07-02 11:41:48 发布
最新推荐文章于 2023-07-02 11:41:48 发布
阅读量737 收藏 1
点赞数
跨站点脚本攻击的过滤

pom.xml 添加:
<dependency>
<groupId>org.owasp.antisamy</groupId>
<artifactId>antisamy</artifactId>
<version>1.4.4</version>
</dependency>

web.xml添加过滤:
<filter>
<filter-name>AntiSamyFilter</filter-name>
<filter-class>com.c2bcms.app.filter.AntiSamyFilter</filter-class>
<init-param>
<param-name>excludedPages</param-name>
<param-value>/resources</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>AntiSamyFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>


com.c2bcms.app.filter.AntiSamyFilter文件地址:
package com.c2bcms.app.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

import com.c2bcms.app.components.safety.AntiSamyHttpServletRequestWrapper;

public class AntiSamyFilter implements Filter {
FilterConfig filterConfig = null;

public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}

public void destroy() {
this.filterConfig = null;
}
@Override
public void doFilter(ServletRequest req, ServletResponse res,
FilterChain chain) throws IOException, ServletException {
// TODO Auto-generated method stub
HttpServletRequest request = (HttpServletRequest) req;
String requestUri = request.getRequestURI();
AntiSamyHttpServletRequestWrapper requestW = new AntiSamyHttpServletRequestWrapper(request);
chain.doFilter(requestW, res);
}
}

AntiSamyHttpServletRequestWrapper 调用文件:

package com.c2bcms.app.components.safety;
import java.io.UnsupportedEncodingException;
import java.util.Iterator;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

public class AntiSamyHttpServletRequestWrapper extends HttpServletRequestWrapper {

private static Policy policy = null;
static{
//String path = URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";
String path =AntiSamyHttpServletRequestWrapper.class.getClassLoader().getResource("antisamy.xml").getFile();
try {
path = java.net.URLDecoder.decode(path ,"UTF-8");
} catch (UnsupportedEncodingException e1) {
e1.printStackTrace();
}
System.out.println(path);
if(path.startsWith("file")){
path = path.substring(6);
}
try {
// policy = Policy.getInstance(ClassLoader.getSystemResourceAsStream("antisamy.xml"));
policy = Policy.getInstance(path);
} catch (PolicyException e) {
e.printStackTrace();
}
}
public AntiSamyHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@SuppressWarnings("rawtypes")
public Map<String,String[]> getParameterMap(){
Map<String,String[]> request_map = super.getParameterMap();
Iterator iterator = request_map.entrySet().iterator();
System.out.println("request_map"+request_map.size());
while(iterator.hasNext()){
Map.Entry me = (Map.Entry)iterator.next();
//System.out.println(me.getKey()+":");
String[] values = (String[])me.getValue();
for(int i = 0 ; i < values.length ; i++){
System.out.println(values[i]);
values[i] = xssClean(values[i]);
}
}
return request_map;
}
public String[] getParameterValues(String paramString)
{
String[] arrayOfString1 = super.getParameterValues(paramString);
if (arrayOfString1 == null)
return null;
int i = arrayOfString1.length;
String[] arrayOfString2 = new String[i];
for (int j = 0; j < i; j++)
arrayOfString2[j] = xssClean(arrayOfString1[j]);
return arrayOfString2;
}
public String getParameter(String paramString)
{
String str = super.getParameter(paramString);
if (str == null)
return null;
return xssClean(str);
}
public String getHeader(String paramString)
{
String str = super.getHeader(paramString);
if (str == null)
return null;
return xssClean(str);
}
private String xssClean(String value) {
AntiSamy antiSamy = new AntiSamy();
try {
//CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
//String str = StringEscapeUtils.unescapeHtml(value);
//value = java.net.URLDecoder.decode(value);
final CleanResults cr = antiSamy.scan(value, policy);
//安全的HTML输出
return cr.getCleanHTML();
} catch (ScanException e) {
e.printStackTrace();
} catch (PolicyException e) {
e.printStackTrace();
}
return value;
}
}
然后添加antisamy.xml文件
FYWT98
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
antisamy策略文件.zip
12-25
常见和不常见的都在这里:antisamy-anythinggoes-1.4.4.xml antisamy-anythinggoes.xml antisamy-ebay-1.4.4.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot-1.4.4.xml antisamy-slashdot.xml antisamy-tinymce-1.4.4.xml antisamy-tinymce.xml antisamy.xml
XSS防御-使用AntiSamy
热门推荐
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS的防御中
XSS攻击解决办法--AntiSamy的配置及使用
flying_pig1989的博客
01-24 4129
XSS攻击         脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
【全局过滤器GlobalFilter和自定义过滤器AbstractGatewayFilterFactory】
会者定离,一期一祈
03-11 2908
全局过滤器GlobalFilter是固定写法(public class ****GlobalFilter implements GlobalFilter, Ordered),全局过滤器GlobalFilter无需配置,默认过滤所有请求。官方文档传送门 自定义过滤器AbstractGatewayFilterFactory是固定写法 ...
(一)网关拦截并修改请求体和响应体
weixin_41756354的博客
08-20 2856
网关请求拦截器 @Component @Slf4j public class MyFilter implements GlobalFilter, Ordered { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { log.info("进入request拦截器**********"); ServerHttpRequ
asp防范站点脚本攻击的的方法
10-30
asp防范站点脚本攻击的的方法
站点脚本攻击xml文件
11-15
站点脚本攻击xml文件
关于脚本攻击问题
09-05
个问题我的理解是只要让其他网站能执行我的脚本我就有可能危害到,这个网站的用户安全
web站点脚本攻击方式和测试方法.doc
10-11
web站点脚本攻击方式和测试方法.doc
Spring Cloud Gateway全局过滤器 GlobalFilter
马明的博客
07-15 1896
SpringCloud视频教程: https://ke.qq.com/course/2805647?tuin=a3e3fb1&from_uin=171851697&from=1000201007 个人博客纯净版 全局过滤器作用于所有的路由,不需要单独配置,我们可以用它来实现很多统一化处理的业务需求,比如权限认证、IP 限流等等。 单独定义只需要实现 GlobalFilter、Ordered 两个接口就可以了,具体代码如下所示。 @Component public class My
站点脚本(XSS)的介绍
专注于大数据方向,区块链,前后端,数据可视化,人工智能等领域
06-14 2787
站点脚本 (XSS) 攻击是一种注入,其中 恶意脚本被注入到其他良性和受信任的脚本中 网站。当攻击者使用 Web 应用程序执行以下操作时,会发生 XSS 攻击 发送恶意代码(通常以浏览器端脚本的形式)到 不同的最终用户。允许这些攻击成功的缺陷是 相当普遍,并且发生在 Web 应用程序使用来自 用户在其生成的输出中,而无需对其进行验证或编码。攻击者可以使用 XSS 向毫无戒心的人发送恶意脚本 用户。最终用户的浏览器无法知道脚本应该 不可信,并将执行脚本
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1172
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:脚本(JavaScript、Java、 VBScript、ActiveX、 ...
什么是脚本 (XSS) 攻击
简介
01-04 1902
这一次,教会xss攻击!!!!!!!
脚本攻击(XSS)
凉茶铺的博客
07-26 5896
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是域的,所以叫"脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
XSS(脚本攻击)详解
最新发布
hello
07-02 2895
XSS简述-XSS类型-XSS常用标签
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 7344
脚本攻击漏洞-基础篇
【Web漏洞探索】脚本漏洞
kjcxmx的博客
08-03 3884
脚本(Cross-site scripting简称为"CSS",为避免与前端叠成样式表的缩写"CSS"冲突,故称为XSS)允许攻击者破坏用户与易受攻击的应用程序的交互。它允许攻击者绕过同源策略,该策略旨在将不同的网站相互隔离。站点脚本漏洞通常允许攻击者伪装成受害者用户,执行用户能够执行的任何操作,并访问用户的任何数据。如果受害者用户在应用程序中具有特权访问权限,那么攻击者可能能够完全控制应用程序的所有功能和数据。XSS脚本是一种网站应用程序的安全漏洞攻击,是代码注入的一种。...
XSS攻击过滤器
sharpcool的博客
04-15 556
XSs攻击过滤
__webpack_nonce__是一个Webpack的全局变量,用于指定一个随机字符串作为资源加载器的nonce值,以增强应用程序的安全性。它主要用于防止站点脚本攻击(XSS),可以在Webpack配置文件中通过配置output.nonce来设置。使用__webpack_nonce__可以让Webpack在生成HTML时添加正确的nonce值,从而使浏览器可以正确地使用nonce值加载资源。具体怎么操作
06-02
在 Webpack 的配置文件中,你可以通过设置 `output.nonce` 属性来指定 `__webpack_nonce__` 的值。具体操作如下: 1. 在 Webpack 配置文件中添加如下代码: ```js module.exports = { // ... ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值