xss攻击解决方案

最新推荐文章于 2024-09-13 09:25:18 发布
最新推荐文章于 2024-09-13 09:25:18 发布
阅读量3.9k 收藏 7
点赞数
文章标签: xss java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M1275601161/article/details/123375407
版权

参考博客:

https://blog.csdn.net/qwe86314/article/details/83827588

一、什么是xss攻击

跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,
故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时,
嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request
请求中的一些参数去掉一些比较敏感的脚本命令。

二、解决方案:

1、定义一个wrapper

package com.bear.wrapper;

import org.apache.commons.lang3.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

/** HttpServletRequestWrapper这个类代表了对request请求里面的数据进行清理
 * @author LiuShanshan
 * @version V1.0
 * @Description
 */
public class XssHttpServletRequest extends HttpServletRequestWrapper {

    public XssHttpServletRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values==null)  {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value != null) {
            return cleanXSS(value);
        }
        return null;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null){
            return null;
        }
        return cleanXSS(value);
    }

    private static String cleanXSS(String value) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());

        return new ServletInputStream() {

            @Override
            public int read() throws IOException {
                return bais.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) { }
        };
    }

    public   String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  cleanXSS(sb.toString ());
    }

}

注意:这里的作用主要是将 HttpServletRequest里面的参数进行过滤

2、定义过滤器

package com.bear.filter;

import com.bear.wrapper.XssHttpServletRequest;
import org.apache.commons.lang3.StringEscapeUtils;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.Map;

/**
 * @author LiuShanshan
 * @version V1.0
 * @Description
 */
@WebFilter(filterName = "filterXss", urlPatterns = "/*")
public class FilterXSS implements Filter{
    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        System.out.println("过滤器初始化");
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("执行过滤操作");
        filterChain.doFilter(new XssHttpServletRequest((HttpServletRequest)servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        System.out.println("过滤器销毁");
        this.filterConfig = null;
    }
}

3、配置启动类

package com.bear;

import com.bear.filter.FilterXSS;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

/**
 * @author LiuShanshan
 * @version V1.0
 * @Description
 */
@SpringBootApplication
@ServletComponentScan(value = "com.bear.filter")  // 这里是扫描servlet的类,注入到bean容器中
public class XssApplication {
    public static void main(String[] args) {
        SpringApplication.run(XssApplication.class,args);
    }

}

4、定义html文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form method="post" action="/user/save">
    content:<input type="text" name="content"><br>
    <input type="submit" value="submit">
</form>
</body>
</html>

5、定义controller

package com.bear.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @author LiuShanshan
 * @version V1.0
 * @Description
 */
@RestController
@RequestMapping("/user")
public class HelloController {

    @RequestMapping("/save")
        public String save(String content){
        System.out.println("UserController save.... " + content);
        return content;
    }
}
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 1786
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击。
XSS攻击解决方法
weixin_33877092的博客
02-28 861
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
XSS漏洞处理
最新发布
yuechuzhixing的博客
09-13 220
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。
关于xss攻击解决方案
susanliy的博客
01-11 3034
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5226
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
XSS攻击原理和解决方法
yy1715713348的博客
06-29 2747
XSS攻击原理和解决方法
跨站脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5525
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 本资源为百度内部通用XSS攻击解决方案探讨培训ppt,主要介绍了百度内部通用XSS攻击解决方案的探讨培训内容。下面是从该资源中提取的知识点: 1. 问题现状:XSS攻击的数量...
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
### Spring Boot XSS 攻击过滤插件使用及解决方案详解 #### XSS概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。这种攻击方式利用了Web应用未能正确过滤用户提交的数据,导致恶意脚本...
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 7203
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS)攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 4363
XSS攻击介绍及防御方法
XSS攻击解决方案
冰夜翎博客
11-03 1914
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
xss漏洞攻防
mackilo的博客
12-20 9359
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。xss是一种发生在web前端的漏洞,所以其危害的对象也主要是前端用户在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
xss漏洞
A_Alger的博客
09-04 369
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值