防范XSS攻击

最新推荐文章于 2023-07-13 14:17:55 发布
最新推荐文章于 2023-07-13 14:17:55 发布
阅读量164 收藏
点赞数
分类专栏: javaEE 文章标签: XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/accphc/article/details/84514992
版权

如何杜绝跨站脚本

• 输入输出过滤元字符

– <>

– ()

– &、#、%、?

• 输入输出转义元字符

– '<' → &lt; '>' → &gt;

– '&' → &amp;

– ' → %#027; " → &quot;

 

方法一、过滤特殊字符

如<script>、<img>、<iframe>……

示例代码:



import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止XSS(Cross Site Script)攻击的Filter
 * 
 * 
 */
public class XSSDefendFilter implements Filter {

	public  static List<String> arrTagList = new ArrayList<String>();

	// public static boolean filterSwitch =
	// com.travelsky.caair.common.Para.xssFilterB2C;

	public XSSDefendFilter() {

		super();
		if (arrTagList.size() == 0) {// 过滤敏感HTML TAG

			arrTagList.add("<script");
			arrTagList.add("<embed");
			arrTagList.add("<style");
			arrTagList.add("<frame");
			arrTagList.add("<object");
			arrTagList.add("<iframe");
			arrTagList.add("<frameset");
			arrTagList.add("<meta");
			arrTagList.add("<xml");
			arrTagList.add("<applet");
			arrTagList.add("<link");
			arrTagList.add("onload");
			arrTagList.add("<img");
			arrTagList.add("<a");
			arrTagList.add("onmouse");
			arrTagList.add("onblur");
			arrTagList.add("onchange");
			arrTagList.add("onclick");
			arrTagList.add("ondblclick");
			arrTagList.add("onkey");
			arrTagList.add("onfocus");
			arrTagList.add("onselect");
		}
	}

	public void init(FilterConfig cfg) throws ServletException {
		// TODO Auto-generated method stub

	}

	@SuppressWarnings("unchecked")
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		boolean flag = false;
		Enumeration en = request.getParameterNames();
		String prtName = "-";
		String prtValue = "-";

		while (en.hasMoreElements()) {
			prtName = (String) en.nextElement();
			prtValue = request.getParameter(prtName);
			if (prtValue != null) {
				if (judgeTagByRegular(prtValue.toLowerCase())) {
					System.out.println("ERROR Filter:" + prtName + "="
							+ prtValue);
					flag = true;
					break;
				}
			}
		}

		if (!flag) {
			chain.doFilter(request, response);
		} else {// Error Process,如果有错误,大家自己定向到一个位置
			System.out.println("ERROR Filter:"
					+ ((HttpServletRequest) request).getRequestURI());

			((javax.servlet.http.HttpServletResponse) response)
					.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
		}
	}

	/**
	 * 对arrTagList 的tag 用正则表达式封装
	 * 
	 * @param obj
	 * @return
	 */
	private boolean judgeTagByRegular(String obj)

	{

		Pattern pattern = Pattern
				.compile(
						"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
						Pattern.CASE_INSENSITIVE);

		return pattern.matcher(obj).matches();

	}

	@SuppressWarnings("unused")
	private boolean judgeHasTag(String obj) {
		for (int i = 0; i < arrTagList.size(); i++) {
			String tt = arrTagList.get(i).toString();
			if (obj.indexOf(tt) >= 0) {
				return true;
			}
		}
		return false;
	}

	/*
	 * (non-Java-doc)
	 * 
	 * @see javax.servlet.Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}


}

  此方法有一定局限性,有很多可以绕过的方式:

<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...

 

方法二:还可以使用HTML和URL编码来避免问题。

   可以使用apache-lang包中的提供的方法,如下:

System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
	
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));

    使用以上方法会得到下面的结果:

&lt;iframe src='http://www.baidu.com'/&gt;
&lt;script&gt;alert('ok');&lt;/script&gt;

 

    这样经过html转义就可以防止html元素代码执行。方式XSS攻击。

accphc
关注
专栏目录
Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4185
XSS(跨站脚本攻击)是指攻击者在返回的HTML嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie: httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 1262
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue的安全最佳实践。
过滤用户输入元数据的文件
01-31
用360网站监测出现漏洞!建议过滤用户输入元数据,跟好几个客服联系后得到此文件!分享一下
关于正则表达式元字符过滤
dac55300424的专栏
05-20 1194
java使用String.replaceAll方法其实底层使用的也是正则,而若替换的目标字符串是经过用户输入
跨站脚本攻击xss_跨站脚本
cusi77914的博客
07-03 744
如今,大多数网站都在网页上添加了动态内容,使用户的体验更加愉悦。 动态内容是由某些服务器进程生成的内容,该内容在交付时可以根据用户的设置和需求表现并向用户显示不同的内容。 动态网站具有静态网站所没有的威胁,称为“跨站点脚本编制”,也称为“ XSS”。 “网页包含服务器生成并由客户端浏览器解释的文本和HTML标记。仅生成静态页面的网站能够完全控制浏览器用户如何解释这些页面。生成动态网站的网站...
常见的Web攻击及防御办法 - 重学计算机网络系列(5)
zhongjunhaoz的博客
09-08 740
Web攻击分类 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。 web应用的攻击模式有以下两种 主动攻击(主要攻击服务器上的资源) SQL注入攻击 OS命令注入攻击 其他 被动攻击(主要攻击用户的资源和权限) 跨站脚本攻击 跨站点请求伪造 点击劫持(与跨站请求伪造手法相似) HTTP首部注入攻击 其他 跨站脚本攻击(XSS) 跨站脚本攻击(XSS)是指通过存在安全漏洞的Web.
用mod_security保障Web Services的安全
Magicbreaker的专栏
11-25 3835
用mod_security保障Web Services的安全作者:Shreeraj Shah;skater     来源:matrix.org.cn摘要:Web服务正在变为下一代web应用的一个完整部分。但是它也较容易被攻击。这些攻击的种类与传统的web应用所受到的攻击是相同的,但是形式上发生了变化。这些攻击会导致信息泄漏;另外,这些攻击有助于执行远程命令。通过使用WSDL,一个攻
Cookie 如何防范 XSS 攻击
超级罗伯特的博客
03-29 246
httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie。XSS(跨站脚本攻击)是指攻击者在返回的 HTML 嵌入 javascript 脚本,为了减轻这。secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。结果应该是这样的:Set-Cookie=.....
PHP防范XSS攻击
IT部落格
03-03 2826
定义 XSS(Cross Site Scripting)攻击,文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
防范 XSS 攻击的措施
程序猿徐师兄的博客
07-13 3099
XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本来攻击用户的计算机和浏览器。
防范XSS攻击程序
07-29
用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
表单提交防范xss攻击
qq_40194668的博客
02-25 576
使用HTMLPurifier过滤过滤表单提交数据之后再进行数据插入数据表 1、定义过滤数据方法 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './vendor/purifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::
thinkphp6防范xss攻击
zb0109的博客
12-15 909
转化的思想防范xss攻击 转化的思想:将输入内容的<>转化为html实体字符。 原生phpxss攻击进行防范,使用htmlspecialchars函数,将用户输入的字符串的特殊字符,比如<> 转化为html实体字符。 TP框架,可以设置在获取输入变量时,使用htmlspecialchars函数对输入进行处理。 设置方法:修改application/config.php 注意:在框架配置文件,配置的函数名称,如果写错,页面不会报错,只是所有接收的数据都是null.
java web之xss漏洞修复
qq_35376719的博客
09-29 2447
修复跨站脚本攻击(XSS)漏洞,无需更改项目源码
HTTPS 间人攻击及其防范
KobeHoo的博客
10-09 1757
转自:https://rolandreed.cn/post/Man-In-Middle-Attack
Tobit与Probit模型Stata实现代码-最新发布.zip
最新发布
11-14
Tobit与Probit模型Stata实现代码-最新发布.zip
供AI训练的文数据集持续更新与AI公司图谱目前的数据集餐饮行业8000问百度知道Alpaca文数据集计算机领域数据.zip
11-14
Jupyter-Notebook
红警单机版(单机游戏)
11-14
红警单机版(单机游戏)
防范XSS攻击:原理与策略
防范XSS攻击的关键在于应用安全编程实践,包括但不限于: 1. 输入验证和清理:对用户提交的数据进行严格的过滤和转义,确保输入只包含预期的字符和结构。 2. 使用HTTP-only cookie:这可以防止恶意脚本访问用户的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值