xss (跨站脚本攻击) 解决方案之 antisamy

最新推荐文章于 2024-09-07 20:58:17 发布
最新推荐文章于 2024-09-07 20:58:17 发布
阅读量2.7k 收藏
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GLQGLQ/article/details/72461469
版权
本文介绍了XSS(跨站脚本攻击)的原因,并提供了一个解决方案——使用开源的antisamy框架。通过引入antisamy的Maven依赖,自定义过滤器并在web.xml中配置,对用户请求数据进行过滤,有效防止XSS攻击。
摘要由CSDN通过智能技术生成

问题原因:对网站用户提交的数据(请求数据)未做处理。

XXS原理分析参考:http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接


解决方案:引入开源antisamy框架

解决过程:

1.导入依赖

maven依赖:

<dependencies>

    <dependency>

    <groupId>org.owasp.antisamy</groupId>

    <artifactId>antisamy</artifactId>

    <version>1.5.3</version>

    </dependency>

  </dependencies>



或者直接下载相关jar包。

2.自定义过滤器,对指定请求进行过滤,在web.xml中添加



package com.shopping.rsnet.filter;


import java.io.IOException;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.H
最低0.47元/天 解锁文章
Green_GLQ
关注
专栏目录
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 441
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7157
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
在.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat即可。 启动Tomcat后,会自动解压缩War包,如需更改过滤配置,可以修改 webapps\XssFilter3\WEB-INF\conf\antisamy-config.xml 保存后,重启Tomcat即可生效。 默认WebService地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter .net环境下得到wsdl的地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter?wsdl
xss跨站点脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Web安全之XSS跨站脚本攻击:如何预防及解决
最新发布
J老熊
09-07 1675
XSS跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击。
OWASP列举的Web应用程序十大安全漏洞 - 跨站脚本 (XSS攻击)
qq_31142237的博客
02-11 376
跨站脚本 (XSS攻击) 1、原理 Cross Site Scripting,XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS 向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每
XSS脚本注入拦截框架 antisamy
04-06
XSS脚本注入拦截框架 antisamy
ASP源码—修补跨站脚本攻击漏洞.zip
11-03
这个"ASP源码—修补跨站脚本攻击漏洞.zip"压缩包文件显然是针对ASP应用的安全性,特别是修复跨站脚本(Cross-Site Scripting, XSS)攻击的解决方案跨站脚本攻击是网络安全领域中常见的一种攻击方式,它发生在...
AntiSamyXSS防护与HTML清理框架
antisamy作为一款强大的XSS防御工具,为开发者提供了一种策略化的解决方案,帮助他们在处理用户输入时降低遭受XSS攻击的风险。然而,理解其工作原理并持续更新策略文件以应对新的威胁,是确保其有效性的关键。
跨站脚本攻击
weixin_30379531的博客
05-19 144
什么是跨站脚本攻击 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 跨站脚本攻击的产生是因为程序员在写程序时候的考虑不周,当然,也可能是根本没有考虑。安全方面有一句著...
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
免费下载 antisamy策略文件及其使用说明.zip
08-20
antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xml 、antisamy-ebay.xml、antisamy-myspace.xml、antisamy-anythinggoes.xml、antisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
antisamy-sample-configs-1.4.4.jar(antisamy策略文件)
12-20
官网下载,包括以下策略文件: antisamy.xml antisamy-anythinggoes.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot.xml antisamy-tinymce.xml 将jar包解压即可使用
antisamy策略文件
06-14
1分 antisamy策略文件antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml
XSS脚本攻击防御(Antisamy)(下)
Vi_error.nextval
01-12 1312
上篇写了怎么使用antisamy防御xss脚本攻击,下篇简单分析一下antisamy过滤的原理。 基础步骤的分析 项目源码 扫描流程 html解析成dom的流程基础步骤的分析从上篇的最基础的实现逻辑分析具体的实现,下面这段最基础实现非常好理解,看注释就能知道实现步骤。//定义过滤的策略 Policy policy = Policy.getInstance("file"); //此处的file指使用的
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1745
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
基于Antisamy项目实现防XSS攻击
aqsswe的博客
10-23 1154
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击在Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值