XSS预防

已于 2023-05-24 14:08:08 修改
阅读量8.8k 收藏
点赞数
文章标签: xss java 前端
于 2019-04-08 16:36:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MichaelJY1991/article/details/89095167
版权

网络安全——预防XSS

XSS是网络安全界沉睡的巨人,如果系统设计者没有考虑到相关的防范措施,后果很严重。下面记录了通过过滤器实现XSS过滤的主要步骤,以供参考。

过滤规则

针对XSS过滤网络上有很多方式,比如将可能引发XSS的<,>等转换为全角,将script相关直接替换掉,在存储字符串时通过Apache的html转义工具转义,查询时再反转义回来等。这次我选择的是Apache基金下的sling框架,它提供了针对XSS的过滤,做法是将容易引发XSS的关键字全部替换为空字符串,简单暴力!

Maven依赖

<dependency>
   <groupId>org.apache.sling</groupId>
   <artifactId>org.apache.sling.xss</artifactId>
   <version>${sling-xss.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.sling</groupId>
   <artifactId>org.apache.sling.api</artifactId>
   <version>${sling-api.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.felix</groupId>
   <artifactId>org.apache.felix.scr.annotations</artifactId>
   <version>${felix-annoatation.version}</version>
</dependency>

Xss过滤器

/**

 * XSS过滤器

 *

 * @author ald

 * @date 2017/1/4 22:55

 */

public class XssFilter implements Filter {

    private static final Logger log = LoggerFactory.getLogger(XssFilter.class);

    private XSSFilter slingXssFilter;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        slingXssFilter = new XSSFilterImpl();

        InputStream inputStream = XssFilter.class.getClassLoader().getResourceAsStream("SLING-INF/content/config.xml");

        try {

            ((XSSFilterImpl)slingXssFilter).setDefaultPolicy(inputStream);

        } catch (Exception e) {

            log.error("sling xssFilter set default policy failure",e);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        chain.doFilter(new XssHttpServletRequest((HttpServletRequest) request,slingXssFilter), response);

    }

    @Override

    public void destroy() {

        slingXssFilter = null;

    }

}

/**

 * XSS请求包装类

 *

 * @author ald

 * @date 2016/12/28 9:58

 */

public class XssHttpServletRequest extends HttpServletRequestWrapper {

    private XSSFilter slingXssFilter;

    public XssHttpServletRequest(HttpServletRequest request, XSSFilter slingXssFilter) {

        super(request);

        this.slingXssFilter = slingXssFilter;

    }

    @Override

    public String getQueryString() {

        String queryStr = super.getQueryString();

        return queryStr==null?queryStr:slingXssFilter.filter(queryStr);

    }

    @Override

    public String getParameter(String name) {

        String parameter = super.getParameter(name);

        return parameter==null?parameter:slingXssFilter.filter(parameter);

    }

    @Override

    public String[] getParameterValues(String name) {

        String[] values = super.getParameterValues(name);

        if (values==null || values.length==0){

            return new String[0];

        }

        for (int i=0; i<values.length; i++){

            values[i] = slingXssFilter.filter(values[i]);

        }

        return values;

    }

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameterMap = super.getParameterMap();

        for (Map.Entry<String, String[]> entry:parameterMap.entrySet()){

            String[] values = entry.getValue();

            if (values!=null && values.length>0){

                for (int i=0; i<values.length; i++){

                    values[i] = slingXssFilter.filter(values[i]);

                }

            }

            parameterMap.put(entry.getKey(),values);

        }

        return parameterMap;

    }

    @Override

    public String getHeader(String name) {

        String header = super.getHeader(name);

        return header==null?header:slingXssFilter.filter(header);

    }

}

原理:通过包装类,重写request的getParameter等方法,然后用sling将参数值过滤

Aldom
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
详解XSS 和 CSRF简述及预防措施
10-17
主要介绍了XSS 和 CSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springboot整合XSS
03-20
springboot 整合预防xss攻击
如何预防 XSS 攻击
春风化雨
12-17 5457
1、XSS 攻击 XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。 原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。 2、预防策略 预防 XSS 的核心:对输入的数据做必要的过滤处理。 ...
OWASP-XSS预防规则
Artisan_w
11-03 793
XSS跨站点预防规则 不要简单地对各种规则中提供的示例字符列表进行编码/转义。仅编码/转义该列表是不够的。阻止列表方法非常脆弱。此处的允许列表规则经过精心设计,即使将来因浏览器更改而引入的漏洞也能提供保护。 规则 0 除了在允许的位置,永远不要插入不受信任的数据 第一条规则是拒绝所有- 不要将不受信任的数据放入您的 HTML 文档,除非它位于规则 #1 到规则 #5 中定义的插槽之一内。规则 #0 的原因是 HTML 中有太多奇怪的上下文,以至于编码规则列表变得非常复杂。我们想不出有什么好的理由将不受信任
SpringBoot项目XSS攻击过滤防御实现
weixin_45818787的博客
09-02 2903
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
Sling CMS 学习:环境搭建(一)
zhaoqi333的博客
08-20 1998
一,安装 下载地址:https://sling.apache.org/documentation/getting-started.html 运行:  java -jar org.apache.sling.cms.builder-0.9.0.jar
Web安全之XSS攻击解决方案
thisIsDennis的博客
03-17 583
一.XSS介绍 网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完...
Sling Model 注解
halfgap的博客
03-07 621
1.创建Sling Model @Model:声明一个bean为Sling模型。 @Inject:将资源属性注入类变量中。 @PostConstruct:声明根据业务逻辑派生信息后初始化bean的函数。在所有注入完成后调用该函数。 @Model(adaptables = Resource.class) public class ContactUsModel { private String ...
xss攻击测试以及sprigboot防止xss攻击
wangscaler的博客
02-23 1023
title: Xss date: 2021-02-23 sidebar: ‘auto’ tags: Xss Springboot categories: 后端 Xss 漏洞测试 整理16个常见的属性标签和脚本script带来的漏洞。参考地址常见几种跨站脚本漏洞安全测试,测试的html,可以参考如下 <!DOCTYPE html> <html> <head> <title>动态网页请求后台数据</title> </head&gt.
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3014
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
有效预防xss,Javascript XSS预防
weixin_33486249的博客
01-14 111
There is a Node.js project that sanitizes data and there is an OWASP library for JavaScript that handles sanitization to prevent XSS.I have been benchmarking these libraries, and they are pretty inten...
什么是 XSS 攻击?
m0_38066007的博客
04-23 63
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
ctfshow——XSS
最新发布
qq_55202378的博客
04-24 1017
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
pikachu-xss
2303_81631620的博客
04-23 300
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 895
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
XSS-跨站脚本攻击 漏洞详解
m0_69043895的博客
04-20 957
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 263
都是符合我们的预期的。
mica-xss预防文件导入XSS
05-19
Mica-xss 是一个基于 JavaXSS 防护工具,它可以预防文件导入 XSS 攻击。具体来说,它可以对上传的文件进行检查,防止其中包含恶意脚本,从而保护应用程序的安全。 Mica-xss 的使用非常简单,只需要在 web.xml ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值