XSS 攻击的防御

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量85 收藏
点赞数
原文链接:http://www.cnblogs.com/yanduanduan/p/7233646.html
版权
  xss攻击预防,网上有很多介绍,发现很多都是只能预防GET方式请求的xss攻击,并不能预防POST方式的xss攻击。主要是由于POST方式的参数只能用流的方式读取,且只能读取一次,经过多次尝试,自己总结并经过多次尝试之后,终于成功了,废话不多说,上代码。

 

 

 

 

 

参考主要网址:

http://blog.csdn.net/Lan_Xuan/article/details/73826065

http://blog.csdn.net/happylee6688/article/details/40660797

http://www.cnblogs.com/digdeep/p/4695348.html

http://www.cnblogs.com/443855539-wind/p/6055816.html

http://blog.csdn.net/angevin/article/details/53992698

 

 

 

 

 

 

 

 

maven依赖:

       <dependency>
           <groupId>javax.servlet</groupId>
           <artifactId>javax.servlet-api</artifactId>
           <version>3.1.0</version>
           <scope>provided</scope>
       </dependency>
        
        <!-- https://mvnrepository.com/artifact/org.apache.commons/commons-lang3 -->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.0</version>
        </dependency>
        <dependency>
            <groupId>org.jboss.spec.javax.servlet</groupId>
            <artifactId>jboss-servlet-api_3.1_spec</artifactId>
            <version>1.0.0.Beta1</version>
        </dependency>

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 web.xml

1     <filter>
2         <filter-name>XssEscape</filter-name>
3         <filter-class>com.*.webshell.XSSFilter</filter-class>
4     </filter>
5     <filter-mapping>
6         <filter-name>XssEscape</filter-name>
7         <url-pattern>/*</url-pattern>
8         <dispatcher>REQUEST</dispatcher>
9     </filter-mapping>

 

 XFFFilter.java

 1 import java.io.IOException;
 2 
 3 import javax.servlet.Filter;
 4 import javax.servlet.FilterChain;
 5 import javax.servlet.FilterConfig;
 6 import javax.servlet.ServletException;
 7 import javax.servlet.ServletRequest;
 8 import javax.servlet.ServletResponse;
 9 import javax.servlet.http.HttpServletRequest;
10 
11 public class XSSFilter implements Filter {
12 
13     FilterConfig filterConfig = null;
14 
15     public void init(FilterConfig filterConfig) throws ServletException {
16         this.filterConfig = filterConfig;
17     }
18 
19     public void destroy() {
20         this.filterConfig = null;
21     }
22 
23     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
24             throws IOException, ServletException {
25         chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
26     }
27 }

 

 

 

XssHttpServletRequestWrapper.java

  1 import java.io.BufferedReader;
  2 import java.io.ByteArrayInputStream;
  3 import java.io.IOException;
  4 import java.io.InputStreamReader;
  5 import java.io.UnsupportedEncodingException;
  6 import java.nio.charset.Charset;
  7 
  8 import javax.servlet.ReadListener;
  9 import javax.servlet.ServletInputStream;
 10 import javax.servlet.http.HttpServletRequest;
 11 import javax.servlet.http.HttpServletRequestWrapper;
 12 
 13 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 14     boolean isUpData = false;// 判断是否是上传 上传忽略
 15 
 16     public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
 17         super(servletRequest);
 18         String contentType = servletRequest.getContentType();
 19         if (null != contentType)
 20             isUpData = contentType.startsWith("multipart");
 21     }
 22 
 23     @Override
 24     public String[] getParameterValues(String parameter) {
 25         String[] values = super.getParameterValues(parameter);
 26         if (values == null) {
 27             return null;
 28         }
 29         int count = values.length;
 30         String[] encodedValues = new String[count];
 31         for (int i = 0; i < count; i++) {
 32             encodedValues[i] = cleanXSS(values[i]);
 33         }
 34         return encodedValues;
 35     }
 36 
 37     @Override
 38     public String getParameter(String parameter) {
 39         String value = super.getParameter(parameter);
 40         if (value == null) {
 41             return null;
 42         }
 43         return cleanXSS(value);
 44     }
 45 
 46     /**
 47      * 获取request的属性时,做xss过滤
 48      */
 49     @Override
 50     public Object getAttribute(String name) {
 51         Object value = super.getAttribute(name);
 52         if (null != value && value instanceof String) {
 53             value = cleanXSS((String) value);
 54         }
 55         return value;
 56     }
 57 
 58     @Override
 59     public String getHeader(String name) {
 60 
 61         String value = super.getHeader(name);
 62         if (value == null)
 63             return null;
 64         return cleanXSS(value);
 65     }
 66 
 67     private static String cleanXSS(String value) {
 68         //几种常见的web攻击:http://jingyan.baidu.com/article/0202781178e19e1bcc9ce5c7.html
 69         value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
 70         //%3C是URL对<字符的编码
 71         value = value.replaceAll("%3C", "&lt;").replaceAll("%3E", "&gt;");
 72         value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
 73         //%28是(转义后的字符编码 , %29是)转义后的字符编码
 74         value = value.replaceAll("%28", "&#40;").replaceAll("%29", "&#41;");
 75         //&#39;是单引号ASCII编码后的表现形式
 76         value = value.replaceAll("'", "&#39;");
 77         //eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码
 78         value = value.replaceAll("eval\\((.*)\\)", "");
 79         //防止如javascript:alert(doucment.cookie)可以看到当前站点的cookie(如果有的话)的攻击
 80         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
 81 //        value = value.replaceAll("script", "");
 82         return value;
 83     }
 84 
 85     @Override
 86     public ServletInputStream getInputStream() {
 87         try {
 88             if (isUpData) {
 89                 return super.getInputStream();
 90             } else {
 91 
 92                 final ByteArrayInputStream bais = new ByteArrayInputStream(
 93                         inputHandlers(super.getInputStream()).getBytes("utf-8"));
 94 
 95                 return new ServletInputStream() {
 96 
 97                     @Override
 98                     public int read() throws IOException {
 99                         return bais.read();
100                     }
101 
102                     @Override
103                     public boolean isFinished() {
104                         return false;
105                     }
106 
107                     @Override
108                     public boolean isReady() {
109                         return false;
110                     }
111 
112                     @Override
113                     public void setReadListener(ReadListener readListener) {
114                     }
115                 };
116             }
117         } catch (UnsupportedEncodingException e) {
118             e.printStackTrace();
119         } catch (IOException e) {
120             e.printStackTrace();
121         }
122         return null;
123 
124     }
125 
126     public String inputHandlers(ServletInputStream servletInputStream) {
127         StringBuilder sb = new StringBuilder();
128         BufferedReader reader = null;
129         try {
130             reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
131             String line = "";
132             while ((line = reader.readLine()) != null) {
133                 sb.append(line);
134             }
135         } catch (IOException e) {
136             e.printStackTrace();
137         } finally {
138             if (servletInputStream != null) {
139                 try {
140                     servletInputStream.close();
141                 } catch (IOException e) {
142                     e.printStackTrace();
143                 }
144             }
145             if (reader != null) {
146                 try {
147                     reader.close();
148                 } catch (IOException e) {
149                     e.printStackTrace();
150                 }
151             }
152         }
153         return cleanXSS(sb.toString());
154     }
155 }

 

如果XssHttpServletRequestWrapper.java类中没有标红的那个代码会报如下错误,主要是因为过滤的参数中有中文:

1 org.springframework.http.converter.HttpMessageNotReadableException: Could not read JSON: Invalid UTF-8 start byte 0xb1
2  at [Source: com.*.XssHttpServletRequestWrapper$1@6230dd4f; line: 1, column: 128] 
3  (through reference chain: com.*.entity.OrderTicket["address"]); 
4  nested exception is com.fasterxml.jackson.databind.JsonMappingException: Invalid UTF-8 start byte 0xb1
5  at [Source: com.*.XssHttpServletRequestWrapper$1@6230dd4f; line: 1, column: 128] 
6  (through reference chain: com.*.entity.*["address"])

 

转载于:https://www.cnblogs.com/yanduanduan/p/7233646.html

dftij28664
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jboss-ejb-api_3.1_spec.jar
09-02
ejb在jboss下的组件基础类,包含javax.ejb.Stateless等
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
JBoss工具3.1最终版
06-17 282
现在可以下载JBoss Tools 3.1的最终版本。 JBoss Tools 3.1 Final引入了对JBoss企业应用程序平台,Enterprise SOA平台5,JBoss AS 5.x和AS 6 M1的支持。 现在还支持JavaServer Faces 2,Seam 2.2,JBoss Portal及其后续产品GateIn和Enterprise Portal Platform。 ...
servlet-api-2.4.jar - jar not loaded 问题解决
pineapple1的博客
11-23 941
信息: validateJarFile(G:\workspace\cms\webapp\WEB-INF\lib\servlet-api-2.4.jar) - jar not loaded. See Servlet Spec 2.3, section 9.7.2. Offending class: javax/servlet/Servlet.class   分析: jsp-api.jar和se...
maven missing artifact 但是 jar 存在 repository
热门推荐
承接app开发,旅游电商网站设计
10-12 1万+
今天打开Eclipse发现POM文件出现了好多问题。10/12/17 9:50:46 AM SGT: Missing artifact org.antlr:antlr-runtime:jar:3.1.1:compile 10/12/17 9:50:46 AM SGT: Missing artifact org.eclipse.jdt:core:jar:3.4.2.v_883_R34x:compile
JBOSS 中不需要servlet-api.jar?
taibaiyinxing的专栏
08-14 1612
今天用tomcat作了个最简单的servlet小例子,转到jboss上时发现不需要用到servlet-api.jar,网上查了下原因说是servlet通常是tomcat的,在jboss中要删除掉,系统的JBOSS RUNTIME下的servlet-api.jar会起作用 。 参考链接  http://blog.sina.com.cn/s/blog_6151984a01011dgp.html
XSS攻击防御
ssslq的博客
03-08 2273
XSS攻击防御
用SpringBoot打造坚固防线:轻松实现XSS攻击防御
weixin_42132035的博客
07-06 1472
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 5281
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
XSS 攻击防御
qq_42646885的博客
08-05 495
XSS(Cross Site Scripting) XSS,全称Cross Site Scripting,即跨站脚本攻击,也是一种注入攻击,是指攻击者在页面注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在浏览器上运行。根据恶意代码是否存储在服务器中,XSS可以分为存储型的XSS与反射型的XSS。还有一种特殊的基于DOM的XSS(DOM Based XSS) 1、反射型XSS 又称为非持...
正确采取Xss攻击防御措施
zollty的专栏
01-13 2146
灵魂拷问:到底怎么做防XSS攻击才是最佳方案?网上那些拦截器方案靠谱吗? Xss攻击说明: 1、攻击者准备 恶意html/javascript代码片段,该代码最终会被嵌入到被攻击服务器加载的页面上。 2、恶意html/js代码,在用户不知情的情况下被执行,以该登录用户的身份执行敏感操作或获取敏感数据后发送给攻击者。 举例如下: 有个文章编辑页面,可以编写任意html/js代码。攻击者在里面嵌入了恶意js。 文章被提交保存后,下次显示出来时,执行该恶意js,从而获...
【ASP.NET编程知识】.net core xss攻击防御的方法.docx
05-15
.NET Core XSS 攻击防御方法 在 ASP.NET 编程中,XSS 攻击是一种常见的安全威胁,它允许恶意用户将代码植入到提供给其他用户使用的页面中。为防御 XSS 攻击,需要对用户输入的数据进行过滤和sanitization。本文将...
8、XSS 攻击防御pdf资料
10-15
为了防御XSS攻击,开发者需要采取一系列措施,包括但不限于: - 对用户输入进行严格的过滤和转义,确保任何可能包含恶意脚本的数据在显示之前都被安全处理。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制...
xss防御之php利用httponly防xss攻击
10-26
主要介绍了xss防御之php利用httponly防xss攻击,下面是PHP设置HttpOnly的方法,需要的朋友可以参考下
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
四足宠物机器狗动态步行规划与仿真.pdf
最新发布
07-28
四足宠物机器狗动态步行规划与仿真
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
07-28
JSP、Servlet、HTML、CSS、JS和JQuery开发的Java题库管理系统可执行内含文档代码.zip
springboot xss攻击防御
07-25
在Spring Boot中防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户输入的数据展示到前端页面时,使用合适的编码方式来避免被浏览器解析为HTML标签。可以使用Thymeleaf模板引擎的`${variableName}`表达式来输出变量值,它会自动进行HTML编码。 3. 设置HTTP头:在响应中设置`X-XSS-Protection`头部字段,启用浏览器内置的XSS过滤器。可以通过设置该字段的值为`1; mode=block`来开启。 4. 使用安全框架:Spring Security是一个功能强大的安全框架,可以用于保护应用程序免受XSS攻击和其他安全威胁。通过配置Spring Security的规则和过滤器,可以对用户输入进行严格的验证和过滤。 5. 使用CSP:Content Security Policy (CSP)是一种安全策略,通过限制网页内容源的加载,减少XSS攻击的风险。在Spring Boot应用中,可以通过设置响应头`Content-Security-Policy`来启用CSP。 请注意,防御XSS攻击是一项综合性的工作,需要从多个方面进行防护。以上方法只是其中的一部分,还需要根据具体情况和需求进行进一步的安全加固。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值