Java中使用AntiSamy开源项目防御XSS攻击

最新推荐文章于 2024-04-15 15:57:02 发布
最新推荐文章于 2024-04-15 15:57:02 发布
阅读量2.6k 收藏 3
点赞数 2
分类专栏: Java开发 文章标签: XSS AntiSamy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Howinfun/article/details/83414262
版权

背景:

    之前公司有接了一个国土的项目,虽然是内部小项目,但是可能是zhengfu项目竟然找软件测试公司大概测了一下。。。然后出现了以下三种问题:sql注入,XSS攻击,接口访问频率。下面是解决XSS攻击。

研究:

    一开始的想法是,弄个过滤器把那些关键字过滤掉不就好了,例如script、eval、document等等,确实网上也有这些例子。可参考此博客https://www.cnblogs.com/myyBlog/p/8890365.html

    但是人家可是请专业的软件测试工程师测试的,我这么混过去肯定是不行滴,上面的主要只是简单地过滤掉用户的输入参数,而且过滤得非常的不全面,可能还有很多方面的攻击呢?然后继续的百度找找有没有此方面的开源项目。结果真的找到了一个,就是AntiSamy,OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。这个就相当的强大了啊。

方案:

    参考上面的博客的做法:弄一个过滤器XSSFilter,拦截所有路径。再使用HttpServletRequestWrapper来装饰一下HttpServletRequest,已达到XSS清洗来防御XSS攻击。嗯,就这么大概了,网友真强大~

开工:

    1、引入Maven依赖:

<!-- OWASP AntiSamy 防止XSS攻击-->
<dependency>
    <groupId>org.owasp.antisamy</groupId>
    <artifactId>antisamy</artifactId>
    <version>1.5.5</version>
</dependency>

    2、策略文件:

        Maven下载下来的依赖里面是带有策略文件,之前试过前一点的版本例如1.5.3好像是没有的。下面我使用的策略文件将是antisamy-ebay.xml,毕竟eBay 是当下最流行的在线拍卖网站之一,防御策略肯定是非常好的。关于AntiSamy的策略文件的详解大家可以去搜一下,毕竟可能以后要改里面的处理规则呢。

    3、怎么使用AntiSamy:

        想当的简单,首先要指定策略文件生成Policy,然后新建AntiSamy,再对需要进行XSS清洗的内容进行扫面即可。

String xsshtml = "hyf<script>alert(1)</script>";
Policy policy = Policy.getInstance("antiSamyPath");
AntiSamy antiSamy = new AntiSamy();
CleanRequests cr = antiSamy.scan(xsshtml,policy);
xsshtml = cr.getCleanHTML(); //清洗完的

    4、创建XssFilter实现Filter接口然后重新doFilter方法:

        因为我们对用户的每次请求都进行拦截清洗,清洗完才能真正地调用Controller的方法,所以我们用到的是过滤器而不是拦截器。因为Filter是一个典型的过滤链,可以用来对 HttpServletRequest 进行预处理,或者是对 HttpServlerResponse 进行后处理。

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 *
 *@author howinfun
 *@date 2018/10/23
 *@company DM
 *@version 1.0
 */
public class XssFilter implements Filter {

    private FilterConfig filterConfig;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)servletRequest;
       /* filterChain.doFilter(new XssHttpServletRequestWrapper2(request),servletResponse);*/
        filterChain.doFilter(new XssHttpServletRequestWrapper(request),servletResponse); //包装request,在里头进行XSS清洗
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

    5、新建一个自定义 HttpServletRequest 包装类 XssHttpServletRequestWrapper ,继承 HttpServletRequestWrapper 类:

        对getParameter( String param)、getParameterValues( String param)以及 getHeader( String param) 等方法进行重写,在重写里头都进行一遍全方位清洗。

import org.apache.commons.lang.StringEscapeUtils;
import org.jeecgframework.web.appconfig.util.StringUtils;
import org.owasp.validator.html.*;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.Iterator;
import java.util.Map;

/**
 * @desc 基于AntiSamy的XSS防御
 * @author howinfun
 * @date 2018/10/23
 * @company DM
 * @version 1.0
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    //AntiSamy使用的策略文件
    private static Policy policy = null;
    static {
        //指定策略文件,策略文件记得放在classpath下
        String antiSamyPath = XssHttpServletRequestWrapper.class.getClassLoader().getResource("antisamy-ebay.xml").getFile();
        System.out.println("policy_filepath:"+antiSamyPath);
        if(antiSamyPath.startsWith("file")){
            antiSamyPath = antiSamyPath.substring(6);
        }
        try {
            policy = Policy.getInstance(antiSamyPath);
        } catch (PolicyException e) {
            e.printStackTrace();
        }
    }


    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * @desc Header为空直接返回,不然进行XSS清洗
     * @author howinfun
     * @date 2018/10/24
     *
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if(StringUtils.isEmpty(value)){
            return value;
        }
        else{
            String newValue = cleanXSS(value);
            return newValue;
        }

    }

    /**
     * @desc Parameter为空直接返回,不然进行XSS清洗
     * @author howinfun
     * @date 2018/10/24
     *
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if(StringUtils.isEmpty(value)){
            return value;
        }
        else{
            value = cleanXSS(value);
            return value;
        }
    }

    /**
     * @desc 对用户输入的参数值进行XSS清洗
     * @author howinfun
     * @date 2018/10/24
     *
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = cleanXSS(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }


    @SuppressWarnings("rawtypes")
    public Map<String,String[]> getParameterMap(){
        Map<String,String[]> request_map = super.getParameterMap();
        Iterator iterator = request_map.entrySet().iterator();
        System.out.println("request_map"+request_map.size());
        while(iterator.hasNext()){
            Map.Entry me = (Map.Entry)iterator.next();
            //System.out.println(me.getKey()+":");
            String[] values = (String[])me.getValue();
            for(int i = 0 ; i < values.length ; i++){
                System.out.println(values[i]);
                values[i] = cleanXSS(values[i]);
            }
        }
        return request_map;
    }


    /**
     * @desc AntiSamy清洗数据
     * @author howinfun
     * @date 2018/10/24
     *
     */
    private String cleanXSS(String taintedHTML) {
        try{
            AntiSamy antiSamy = new AntiSamy();
            CleanResults cr = antiSamy.scan(taintedHTML, policy);
            taintedHTML = cr.getCleanHTML();
            return taintedHTML ;

        }catch( ScanException e) {
            e.printStackTrace();
        }catch( PolicyException e) {
            e.printStackTrace();
        }
        return taintedHTML;
    }
}

    6、在web.xml对新建的Filter进行注册。

	<!-- 防止XSS攻击 -->
	<filter>
		<filter-name>XSSFilter</filter-name>
		<filter-class>org.jeecgframework.core.filter.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

    7、接下来进行测试:

        简单的测试是否能过滤掉script标签及里面的内容。这个上传的gif不动的,我就不放了,结果肯定是可以过滤掉滴。

    8、继续测试:

        我继续测试其他接口,测试了一个之前自己做的通用API,发现传回来的JSON数据出现了问题,原来的双引号被转换为&quot。还测试到&nbsp;被转成乱码了。。。所以我们必须在清洗完后进行进一步处理,将这两个问题给自己解决掉。

/**
     * @desc AntiSamy清洗数据
     * @author howinfun
     * @date 2018/10/24
     *
     */
    private String cleanXSS(String taintedHTML) {
        try{
            AntiSamy antiSamy = new AntiSamy();
            final CleanResults cr = antiSamy.scan(taintedHTML,policy);
            //AntiSamy会把“&nbsp;”转换成乱码,把双引号转换成"&quot;" 先将&nbsp;的乱码替换为空,双引号的乱码替换为双引号
            String str = StringEscapeUtils.unescapeHtml(cr.getCleanHTML());
            str = str.replaceAll(antiSamy.scan("&nbsp;",policy).getCleanHTML(),"");
            str = str.replaceAll(antiSamy.scan("\"",policy).getCleanHTML(),"\"");
            return str;

        }catch( ScanException e) {
            e.printStackTrace();
        }catch( PolicyException e) {
            e.printStackTrace();
        }
        return taintedHTML;
    }

到此,全部结束~ 

 

Howinfun
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AntiSamy使用总结
rqz__的博客
04-09 571
AntiSamy是一个Java库,用于防止跨站脚本攻击(XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其的所有不安全内容,以防止攻击者向网站注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网站可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1581
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
Java的安全性问题,如跨站脚本攻击(XSS)和SQL注入等
最新发布
编程小弟的博客
04-15 638
Java的安全性问题涉及多个方面,包括跨站脚本攻击(Cross-Site Scripting,XSS)和SQL注入等。这些攻击都是由于程序在处理用户输入时未能有效过滤或转义恶意代码,导致攻击者能够插入并执行恶意脚本或命令。跨站脚本攻击是一种安全漏洞,攻击者可以在其注入恶意脚本到网页,当其他用户浏览该网页时,恶意脚本将在用户的浏览器执行。这可能导致用户会话的劫持、隐私数据的泄露或其他恶意行为。在Java Web应用XSS攻击通常发生在以下几种情况:为了防止XSS攻击,开发者应该:SQL注入是一种攻
富文本信息存储显示?乱码问题
Vi_error.nextval
09-15 3192
前两天遇到了一个前台富文本保存异常的问题,具体表现为前台编辑好的富文本保存后再次查看会发现每一行的缩进都变成了 ? ,页面显示非常糟糕,寻求解决的办法。
Springboot 实战一个依赖解决XSS攻击
热门推荐
LoveSummer
05-01 4万+
Cross Site Scripting,为不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其 Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。
antisamy XML 简介
周碧银
09-29 1897
1) antisamy-slashdot.xml Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限 的 HTML 格式的内容匿名回帖。Slashdot 不仅仅是目前同类最酷的网站之一,而 且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻 击的原由是臭名昭着的 goatse.cx 图片(请你不要
Java防止xss攻击附相关文件下载
08-25
OWASP Java Encoder项目提供了一套API,用于在Java安全地编码输出,防止XSS使用这些库可以简化安全编码的工作。 9. **存储时过滤**: 不仅要在展示时过滤用户输入,还要在存储时进行过滤。这样,即使数据被...
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
基于Java的高级XSS攻击过滤器设计源码
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、...该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS攻击防御解决方案。
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Web安全之XSS攻击防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
antisamy 策略文件
01-10
比较全的策略文件,antisamy是owasp组织的一个开源库,是一个可确保用户输入的HTML/CSS符合应用规范的API,参考:http://blog.csdn.net/raychiu757374816/article/details/79016101
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
antisamy java_XSS 简单理解之:AntiSamy
weixin_39611047的博客
02-16 175
AntiSamy介绍OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有140个分会近四万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。OWASP AntiSamy项目可以有好几种定义。从技术角度看,它是一个可确保用户输入的HTML/CSS符合应...
使用antisamy防止xss注入
weixin_34148456的博客
06-10 441
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS 防御AntiSamy
chongdanshi5995的博客
06-19 404
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 9927
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3404
AntisamyXSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 2824
XSS 是跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上插入恶意脚本来攻击用户。AntiSamy通过检查和过滤传入的HTML和CSS代码,确保只有安全的代码被显示和执行。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值