[风一样的创作]防XSS注入攻击

已于 2022-01-19 13:26:42 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: Java开发工具类 文章标签: xss 前端 java
于 2021-12-29 10:40:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fyydrs/article/details/122209664
版权

一.首先大概理解下什么是XSS注入攻击

XSS注入攻击本质上就是通过你服务本身的接口把一些HTML,CSS,JS,SQL语句等内容存储进你的服务里面,一般是数据库里面,这时候就可以通过这些存储进去的内容拿取到一些你的数据库隐藏内容或者破坏你的页面排版,比如乱弹窗。

二.解决的方法

首先声明,解决方案不止这一种,这只是最简单的一种

1.使用拦截器拦截所有请求,一定要在最顶层
import org.springframework.boot.web.servlet.ServletComponentScan;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Controller;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.*;
import java.util.stream.Collectors;

/**
 * 自拟定springmvc拦截器,解决不用nginx情况下的cors跨域问题
 */
@Order(-100)    //拦截器级别,越小越在前面
@Controller
@ServletComponentScan
@WebFilter(urlPatterns = "/*", filterName = "shiroLoginFilter")
public class ShiroLoginFilter implements Filter {

    /**
     *  程序启动的时候调用
     *
     * @param filterConfig
     * @throws ServletException
     */
    @Override
    public void init(FilterConfig filterConfig) {
        System.out.println("程序启动");
    }

    /**
     * 每次请求访问时调用
     *
     * @param servletRequest
     * @param servletResponse
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        // 允许哪些Origin发起跨域请求
        String orgin = request.getHeader("Origin");
        response.setHeader("Access-Control-Allow-Origin", orgin);
        // 允许请求的请求类型
        response.setHeader("Access-Control-Allow-Methods", "POST,GET,OPTIONS,DELETE,PUT");
        //多少秒内,不需要再发送预检验请求,可以缓存该结果
        response.setHeader("Access-Control-Max-Age", "3600");
        //表明它允许跨域请求头中有哪些参数
        response.setHeader("Access-Control-Allow-Headers", "x-auth-token,Origin,Access-Token,X-Requested-With,Content-Type,Accept,token");
        //是否允许浏览器携带用户身份信息(cookie)
        response.setHeader("Access-Control-Allow-Credentials", "true");
        //cors试探性请求,拦截到OPTIONS类型请求,直接返回结果
        String urlType = request.getMethod();
        if (urlType.equals("OPTIONS")) {
            response.setStatus(200);
            return;
        }

        //不进行XSS攻击处理的接口(一般都是要用到富文本的接口),只是不用过滤HTML字符
        List<String> urlList=new ArrayList<>();
        urlList.add("/assess/addAssessUser");
        urlList.add("/article/addJournalism");
        urlList.add("/article/updateArticle");
        urlList.add("/course/addCourse");
        urlList.add("/course/updateCourse");
        urlList.add("/course_chapters/updateCourseChapters");
        urlList.add("/course_chapters/addCourseChapters");
        urlList.add("/competitionTitbits/updateCompetitionTitbitsOne");
        urlList.add("/competitionTitbits/addCompetitionTitbitsOne");
        urlList.add("/user/addUser");
        urlList.add("/user/updateUser");
        urlList.add("/text/addText");
        urlList.add("/text/updateText");
        urlList.add("/practice_finance/addOrUpdatePracticeFinanceSystem");
        urlList.add("/practice_structure/addOrUpdatePracticeStructureSynopsis");
        //判断当前接口是要进行XSS攻击处理的还是不要的(在不过滤列表里面有就是不过滤,没有则要过滤),只是不用过滤HTML字符
        if(urlList.stream().filter(data -> data.equals(request.getRequestURI())).collect(Collectors.toList()).isEmpty()){
            XssHttpServletRequestWrapper.HTML_TYPE = true;
            XssHttpServletRequestWrapper.SQL_TYPE = true;
        }else {
            XssHttpServletRequestWrapper.HTML_TYPE = false;
            XssHttpServletRequestWrapper.SQL_TYPE = true;
        }
        //处理XSS攻击(其实就是SQL和HTML/CSS/JS注入攻击),方法是重写HttpServletRequest这些请求实体类的参数过滤规则,然后替换掉原生默认的
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper=new XssHttpServletRequestWrapper(request);
        chain.doFilter(xssHttpServletRequestWrapper, response);
    }

    /**
     * 程序关闭的时候调用
     */
    @Override
    public void destroy() {
        System.out.println("程序关闭");
    }
}
2.自拟定XSS过滤工具

其实就是拿取所有的request对象里面的参数,进行过滤,去除一些关键字,转义一些特殊字符

import org.thymeleaf.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    //要过滤数据库SQL的关键字
    private final static String key = "and|exec|insert|select|delete|update|count|chr|mid|master|truncate|char|declare|or";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    //SQL过滤到要加的标记文字
    private static String replacedString = "INVALID";
    //是否要过滤HTML符号
    public static Boolean HTML_TYPE = true;
    //是否要过滤SQL关键字
    public static Boolean SQL_TYPE = true;

    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }

    private String currentUrl;

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }


    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> values = super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result = new HashMap<>();
        for (String key : values.keySet()) {
            String encodedKey = cleanXSS(key);
            int count = values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey, encodedValues);
        }
        return result;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 过滤HTML,CSS,JS中的一些特殊字符,比如 <> () '
     *
     * @param valueP
     * @return
     */
    private String cleanXSS(String valueP) {
        String value = valueP;
        //判断是否过滤HTML字符,是则过滤
        if(HTML_TYPE){
            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
            value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
            value = value.replaceAll("'", "&#39;");
            value = value.replaceAll("eval\\((.*)\\)", "");
            value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
            value = value.replaceAll("alert", "");
        }
        //判断是否过滤SQL关键字,是则过滤
        if(SQL_TYPE){
            value = cleanSqlKeyWords(value);
        }
        return value;
    }

    /**
     * 过滤SQL关键字
     *
     * @param value
     * @return
     */
    private String cleanSqlKeyWords(String value) {
        String paramValue = value;
        if (value.indexOf("q=0.01") == -1) {
            for (String keyword : notAllowedKeyWords) {
                if (paramValue.length() > keyword.length() + 4 && (paramValue.contains(" " + keyword) || paramValue.contains(keyword + " ") || paramValue.contains(" " + keyword + " "))) {
                    paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                }
            }
        }
        return paramValue;
    }

}

三.一些过滤以后会出现的问题

1.比如我碰见的layui富文本就会出现转义以后的字符回显在富文本不会回显样式的问题,暂时没有好的解决方案

风一样的码农
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全
weixin_45755539的博客
11-10 410
1.范常见的Web攻击 1)什么是SQL注入攻击攻击者在HTTP请求中注入恶意的SQL代码,服务器使用参数构建数据库SQL命令时,恶意SQL被一起构造并在数据库中执行。 用户登录时,输入用户名:root,密码:‘’or‘1’=‘1’。如果此时使用参数构造的方式,就会出现select * from user where name =‘root’ and password = ‘’ or ‘1’ = ‘1’。此时不管用户名和密码是什么内容,查询出来的用户列表都不为空。 如何范SQL注入攻击? web端:
文件上传中防止Xss注入
fxtxz2的专栏
12-24 4076
上传文件XSS
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的朋友可以参考下
XSS漏洞注入,分类,御方法
最新发布
zz12345600354的博客
05-08 1042
❤️其实不是项目上的要求,实际中我们没必要专门花时间去只找XSS漏洞,因为如果找到了反射型XSS像补天或者是漏洞盒子等都是不收的,除非有只收XSS漏洞的!因为要实现漏洞得与管理员交互,而且危害性较小!像标签格的有些游览器会拦截,即使你过了游览器这关,还有网站开发这关,一般会过滤测试XSS漏洞关键在善于看网站源码,通过网站源码给你的信息来进行测试,并且要善于找输出点,这些地方都是需要重点排查的。
技术分享:如何利用文件上传执行XSS
Fly_鹏程万里
12-17 4017
利用文件上传实现XSS攻击是一个Hacking Web应用的很好机会,特别是无处不在的用户头像上传案例中,这就给予我们很多发现开发者错误的机会。基本的文件上传 XSS 攻击有以下几种。 1) 文件文件名本身可能就是网页的一部分可以造成反射,所以可以通过将 XSS 语句插入文件名中来触发反射。 尽管不是有意为之,但是这个 XSS 可以实践在 W3Schools。 2) 元数据 使用...
若依框架html文件上传xss漏洞
weixin_43267639的博客
05-09 1909
在若依框架内如果使用上传组件,前端会默认读取文件内容,如果文件格式是html,并且文件内容含有一些方法,如alert()等,就会直接运行可能对系统造成伤害,如果系统需要做安全测试,这属于一个储存型xss漏洞。
红色格艺术教育学校网站系统源代码
07-02
4. **安全性**:源代码应该包含了防止SQL注入XSS攻击的安全措施,同时,用户密码的存储应经过加密处理,保障用户信息安全。 5. **优化与扩展**:为了适应未来需求变化,源代码可能遵循模块化和面向对象的设计原则...
企业创作网站模板
04-09
9. **安全考虑**:模板应遵循安全编码标准,防止常见的Web攻击,如XSS跨站脚本攻击、SQL注入等。 10. **文档支持**:为了帮助用户更好地理解和使用模板,提供详细的安装指南和使用文档是必要的。 从压缩包文件名...
基于Java的影视创作论坛的设计与实现
12-29
8. **安全机制**:用户认证与授权,可能使用Spring Security或Shiro,防止未授权访问和XSS、CSRF等攻击。 9. **文件上传下载**:用户可能需要上传影视素材或下载资源,涉及文件存储、流处理及权限控制。 10. **...
PJBlog2 网易水墨
01-03
此外,安全性和性能优化也是系统设计的重要考虑因素,例如防止SQL注入XSS攻击,以及通过缓存技术提高页面加载速度。 在文件名为"pjblog555"的压缩包中,可能包含了以下内容: 1. index.php:网站的主页文件,包含...
视频打赏系统源码最新版 自带
03-11
8. 安全性:源码需要考虑防止SQL注入XSS攻击等常见的网络安全问题,同时要遵循最佳的安全实践,如使用HTTPS、对用户输入进行验证等。 9. 移动适配:考虑到大部分用户可能在移动设备上使用,源码应支持多平台,如...
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4321
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3561
springboot项目防止XSS攻击和sql注入
JAVA服务端防止XSS攻击
我都没有昵称的博客
05-06 2697
JAVA服务端防止XSS攻击 在网站登录页面用户名输入 1"><script>alert(10350)</script> 密码随便输然后点击登陆如下图 ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190506110924790.png?x-oss-process=image/watermark,type_ZmFuZ3...
java防止xss注入攻击
辰辰呐的博客
11-10 6532
后面附录有三个.java文档 1.把文档拷进项目中(最好建立一个单独的包存放),然后修改引入路径,看到不报错那么第一步完成。 2.打开web.xml配置文件 xssFilter cn.parent.xss.XssFilter xssFilter /* 测试: 在输入框输入 cript>alert('aa') 点击提交或
【网络安全】防止XSS注入的方法
Xuetao_Shen的博客
03-22 2604
关于防止XSS注入: 1.尽量使用框架。通过对自己的网页进行xss保留型攻击的测试,尽管自己没有对某些输入框进入转义,但还是无法进行xss注入,因为框架会自动将某些特殊字符转义。(我使用的spring+struts+hibernate框架)。 2.如果不使用框架,一定要进行字符转义。对< 、> 、" 、 等字符进行转义成为:&lt; 、&gt; 、...
java xss 注入攻击
05-27
Java 中,防止 XSS 注入攻击可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,避免恶意代码的插入。例如,可以使用一些开源的 XSS 过滤器,如 OWASP 的 ESAPI 库或是 Google 的 GSON 库。 2. 对用户输入的数据进行编码,避免特殊字符被解析为 HTML 标签或 JavaScript 代码。例如,可以使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeHtml4()` 方法对 HTML 进行编码,或是使用 `org.apache.commons.text.StringEscapeUtils` 类的 `escapeEcmaScript()` 方法对 JavaScript 进行编码。 3. 在页面中设置 CSP(Content Security Policy),限制外部资源的加载,避免恶意脚本的注入。 4. 如果需要在页面中显示用户输入的富文本,可以使用一些开源的富文本编辑器,例如 CKEditor、TinyMCE 等,这些编辑器都内置了防止 XSS 注入攻击的机制。 以上措施可以结合使用,以提高网站的安全性和XSS 注入攻击的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

风一样的码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值