XSS漏洞修复方案

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量3.7k 收藏 8
点赞数
文章标签: web.xml javascript java ViewUI
原文链接:https://my.oschina.net/zhang2xiang/blog/3089873
版权

基本概念及解决办法

比较典型的XSS攻击漏洞(Cascading Style Sheets, CSS),俗称跨站脚本攻击;解决办法:将特殊字符进行转义

1、增加过滤器XssFilter.java

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;
    private List<String> urlExclusion = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String servletPath = httpServletRequest.getServletPath();
        if (urlExclusion != null && urlExclusion.contains(servletPath)) {
            chain.doFilter(request, response);
        } else {
            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
        }
    }

    public List<String> getUrlExclusion() {
        return urlExclusion;
    }

    public void setUrlExclusion(List<String> urlExclusion) {
        this.urlExclusion = urlExclusion;
    }
}

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {

        //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }
}

2、web.xml增加过滤器配置

<!-- xss过滤器 -->
<filter>
	<filter-name>XssFilter</filter-name>
	<filter-class>com.powersi.hygeia.web.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>XssFilter</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

转载于:https://my.oschina.net/zhang2xiang/blog/3089873

chitun2903
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS安全漏洞的几种修复方式
markbug的博客
03-26 2万+
什么是XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意的html,javaScript代码,当用户浏览该页之时,嵌入其中Web里面的html,javaScript代码会被执行,从而达到恶意的特殊目的,如,盗取用户Cook
SQL+XSS漏洞修复方案
04-13
近期公司的项目遭受了SQL+XSS攻击(市面上现在检测工具很多如:AWVS/360等),现贴出项目中的修复核心代码,需要的可以参考一下
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
springboot整合XSS
03-20
springboot 整合预防xss攻击
XSS 存储漏洞修复
qq_26244285的博客
01-20 1万+
收到检查报告,说是有xss 存储型漏洞,百度看了很多资料总结两句话 1、保存数据库内容需要过滤 2、设置过滤器 思路:我们需要一个过滤前在Controller方法调用前对所有参数进行检查,过滤替换。 过滤》替换非法参数》继续Controller调用。 网上得思路基本是替换,没看到拒绝请求,因为过滤得检查很多很容易被拒绝非常不友好 做法spring拦截器:检查非法内容或特定内容拒绝请求,使用sprintboot得做法很简单,做一个aop切面定义一个定义一个拦截器 import javax..
xss漏洞修复建议/方法
小雨的博客
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
XSS漏洞修复方案
若明天不见
07-19 2万+
XSS漏洞介绍、XSS危害及相关修复方案 XSS的原理是WEB应用程序混淆了用户提交的数据和脚本的代码边界,导致浏览器把用户的输入当成了脚本代码来执行。XSS的攻击对象是浏览器一端的普通用户。
Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4665
Java代码审计】XSS漏洞产生原理及其修复
xss漏洞修复踩坑总结
BHSZZY的博客
05-18 3122
一、前言 最近测试发现系统某个接口有个xss漏洞,比如,保存数据入库时,会把<a>标签保存入库;然后查看列表时,会把<a>标签显示出来; 说是这个漏洞可以构建恶意链接,点击会跳转到恶意网址,让修复掉。 二、修复方法:前端修复 这个问题之前也遇到过,于是就按照之前的修复方法,让前端加一个xss.js,过滤掉不合法的标签后,再把数据传给后台。 谁知道这次不行了,测试直接抓包,用postman直接给后台发送含有<a>标签的请求,结果又存入数据库了。 如果从前端输入含有<a
XSS攻击及防御
热门推荐
寻道
11-29 20万+
本文来自:高爽|Coder,原文地址:http://blog.csdn.net/ghsau/article/details/17027893,转载请注明。 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的H...
XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击
梦想起飞的地方.........
03-14 1万+
XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击 小心XSS跨站脚本漏洞 Web的安全问题越来越严重,漏洞总是在不停的出现,而我们以前一直在做的都是打补丁,就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的,只要我们做好前期的工作。 XSS跨站脚本漏洞修复建议 1、假定所有输入都是可疑的,必须对所有输入中的scri
复现XSS漏洞及分析
qq_61739597的博客
09-01 2109
跨站脚本攻击XSS(Cross Site Scripting),为区别层叠样式表(Cascading Style Sheets, CSS),所以改写为XSS
XSS安全漏洞修复解决方案
hold on the last
06-18 2万+
背景:等保测评公司针对我系统进行了一次渗透测试,并发现存在XSS漏洞,现记录修复过程。 框架:SSM。 全站XSS漏洞风险等级:中危 涉及页面:全站存在内容输入处 漏洞描述:所有模块可以修改内容处存在XSS,填入恶意代码后触发。 修复建议:过滤所有输入内容。(防止恶意弹窗/跨站脚本/过滤敏感字符/违法信息等) 解决方案 列举方案1:写个DispatcherServ...
关于在线文本编辑器防XSS注入攻击问题
weixin_30443731的博客
02-07 1499
跨站脚本攻击,又称XSS代码攻击,也是一种常见的脚本注入攻击。例如在下面的界面上,很多输入框是可以随意输入内容的,特别是一些文本编辑框里面,可以输入例如<script>alert('这是一个页面弹出警告');</script>这样的内容,如果在一些首页出现很多这样内容,而又不经过处理,那么页面就不断的弹框,更有甚者,在里面执行一个无限循环的脚本函数,直到页面耗尽资...
【奇安信安全漏洞XSS漏洞/重定向漏洞解决及产生分析!
weixin_47898697的博客
06-26 2397
解决基于DOM的XSS漏洞方法,详细讲解
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4450
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
Path Manipulation 漏洞java修复
06-09
Path Manipulation 漏洞是一种常见的安全漏洞,攻击者可以利用该漏洞来修改程序中的路径,访问未授权的资源,或者执行恶意代码。为了修复这个漏洞,我们可以采取以下措施: 1. 不要直接使用用户提供的输入来构建文件路径。应该对用户输入进行验证和过滤,确保路径只包含可信任的字符。例如,可以使用Java的正则表达式来检查输入是否符合预期格式。 2. 使用Java的File类来构建文件路径,而不是手动拼接字符串。这样可以确保路径分隔符的正确性,避免因为不同操作系统使用不同的分隔符而导致的问题。 3. 使用安全的文件访问API,例如java.nio.file.Files类和java.nio.file.Path类,来读取和写入文件。这些API提供了更多的安全性和灵活性,可以防止一些常见的攻击,例如路径遍历攻击和符号链接攻击。 4. 在应用程序中启用沙箱环境,限制程序的访问权限,防止恶意代码的执行。例如,可以使用Java的SecurityManager类来限制程序的访问权限。此外,还可以使用Java的沙箱工具,例如Applet和Java Web Start,来运行不受信任的代码。 总之,为了修复Path Manipulation 漏洞,我们需要在程序中使用安全的文件访问API,对用户输入进行验证和过滤,使用安全的路径构建方法,以及启用沙箱环境来限制程序的访问权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值