跨站点脚本编制

最新推荐文章于 2023-11-21 17:57:01 发布
最新推荐文章于 2023-11-21 17:57:01 发布
阅读量1.6k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ilsld/article/details/120702371
版权

java

项目安全检测出现 “跨站点脚本编制” 的问题,以下解决方法是网上搜索整理。
用过滤器过滤所有url
1.过滤器

@Slf4j
@WebFilter(filterName = "urlFilter", urlPatterns = "/*")
public class webFilter implements Filter {
    /**
     *
     * @param filterConfig The configuration information associated with the
     *                     filter instance being initialised
     * @throws ServletException if the initialisation fails
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    /**
     * @param request  The request to process
     * @param response The response associated with the request
     * @param chain    Provides access to the next filter in the chain for this
     *                 filter to pass the request and response to for further
     *                 processing
     * @throws IOException      if an I/O error occurs during this filter's
     *                          processing of the request
     * @throws ServletException if the processing fails for any other reason
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    //if 里面的内容与解决方案无关 可以删除
        if(request instanceof HttpServletRequest){
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;

            String origin = ((HttpServletRequest) request).getHeader("Origin");
            httpServletResponse.setHeader("Access-Control-Allow-Origin", origin);
            httpServletResponse.setHeader("Access-Control-Allow-Methods","POST, GET");//允许跨域的请求方式
            httpServletResponse.setHeader("Access-Control-Max-Age", "3600");//预检请求的间隔时间
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "x-auth-token,Origin,Access-Token,X-Requested-With,Content-Type, Accept,token" );//允许跨域请求携带的请求头
            httpServletResponse.setHeader("Access-Control-Allow-Credentials","false");//若要返回cookie、携带seesion等信息则将此项设置我true

            httpServletResponse.setHeader("strict-transport-security","max-age=16070400; includeSubDomains");//简称为HSTS。它允许一个HTTPS网站,要求浏览器总是通过HTTPS来访问它
            //httpServletResponse.setHeader("Content-Security-Policy", "script-src * 'unsafe-inline'");//这个响应头主要是用来定义页面可以加载哪些资源,减少XSS的发生
            httpServletResponse.setHeader("X-Content-Type-Options", "nosniff");//互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。通过这个响应头可以禁用浏览器的类型猜测行为
            httpServletResponse.setHeader("X-XSS-Protection", "1; mode=block");//1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面
            httpServletResponse.setHeader("X-Frame-Options", "SAMEORIGIN");//SAMEORIGIN:不允许被本域以外的页面嵌入
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest,response);

    }

    /**
     *
     */
    @Override
    public void destroy() {

    }
}

2.过滤规则类

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


    /**
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.getParameterMap();//这里我选择过滤请求的所有参数 如果只过滤特定参数 可选择其他方法
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }
    @Override
    public String[] getParameterValues(String name) {
        String[] value = super.getParameterValues(name);
        if(value != null){
            for (int i = 0; i < value.length; i++) {
                value[i] = xssEncode(value[i]);
            }
        }
        return value;
    }
    @Override
    public Map getParameterMap() {
        // TODO Auto-generated method stub
        Map<String , String[]> params = new HashMap<>();
        Map map =  super.getParameterMap();
        params.putAll(map);
        Set<String> set = params.keySet();
        Iterator<String> it = set.iterator();
        while(it.hasNext()){
            String key= it.next();
            String[] values = params.get(key);
            values[0] = xssEncode(values[0]);
            params.put(key, values);
        }
        return params;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     * 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,
     * 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。
     *
     @Override
     public String getHeader(String name) {

     String value = super.getHeader(xssEncode(name));
     if (value != null) {
     value = xssEncode(value);
     }
     return value;
     }
     **/


    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存
     * @param
     * @return 过滤后的值
     */
    private static String xssEncode(String value) {
        if (value == null || value.isEmpty()) {
            return value;
        }
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        return value;
    }
}

以上方法 我只进行了简单的模拟是可行的 AppScan安全检测能不能通过 我也不知道

风山渐起
关注
专栏目录
8.8:.NET的理解和处理站点请求伪造和站点脚本编制(课程共5450字,4段代码举例)
小兔子平安
08-13 57
通过学习本课程,读者将掌握.NET中处理CSRF和XSS攻击的核心概念和技术,并能够应用这些知识来提升Web应用程序的安全性。然而,安全是一个持续的过程,我们应该保持警惕并不断学习和改进我们的安全实践,以保护用户的数据和隐私。
站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
站点脚本编制描述及解决方法
热门推荐
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
站点脚本编制 解决方案( IBM)
收集盒 Book box
11-21 4018
站点脚本编制 修订建议 一般 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符
站点脚本编写综合教程
aboutmn的博客
08-28 1039
第一部分:概述 什么是XSS? 站点脚本(XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
xss站点脚本编制漏洞/antisamy策略过滤
09-07
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
解决BEA WebLogic Platform 8.14站点脚本编制漏洞问题
03-19
"解决BEA WebLogic Platform 8.14站点脚本编制漏洞问题" 这个标题表明了我们关注的核心是BEA WebLogic Platform 8.14版本的安全问题,特别是针对脚本(XSS)攻击的解决方案。BEA WebLogic是一个由Oracle公司...
IBM Security Appscan漏洞--存储的站点脚本编制
YouXu
03-16 9209
未对用户输入正确执行危险字符清理 ,添加XSS过滤器
【安全漏洞】安全漏洞处理--站点脚本编制
最新发布
11-21 228
这里并没有写的很完全,如果你的系统中加了这段代码,还是出现问题,那么你就要去看看源文件了,看存在哪些特殊的字符,在这段代码中进行补充就可以了;注意:1、404.jsp页面或者其他页面的输出错误路径语句,也会检测到站点脚本编制错误,要把输出路径语句删除或者屏蔽。通过修改原始请求参数,可获取正常的响应结果,并且可以在响应的内容中获取到修改原始参数添加的那部分脚本。对修改原始请求参数添加的脚本进行过滤,找到关键词后对关键词进行替换或者直接报错跳转到异常页面。响应的内容中获取到修改原始参数添加的那部分脚本
网站安全之存储型脚本编制
owen_william的博客
03-26 3730
1.  说明问题      也许读者看到博客的标题,会觉得有点疑惑。什么叫存储型脚本编制。这个名字有点高大上了。其实也是,我们在网站的有些文本框中输入javaScript的代码或html的标签代码,我们本想作为信息存储,但是这样的文本却成为了代码执行出来。可能这样说读者会有点迷惑。我们来看下面的一个例子。 1)        在系统的添加信息的文本框中输入” . 2)        这条
站点脚本编制-XSS 描述及解决方法
p15097962069的博客
05-25 472
站点脚本编制-XSS 描述及解决方法
java 站点脚本编制_AppScan站点脚本编制修复
weixin_39720807的博客
02-13 196
查了下百度,站点脚本编制其实也就是在url后加入参数和js脚本实现一些坏坏的事情,至少appscan就是这么干的。那么主要的工作就是把恶意代码给过滤了,作为javaweb开发,明显第一步想到的是过滤器。网上很多都是将request对象 传入HttpServletRequestWrapper的子类 ,主要是将获取信息的方法过滤了一下,主要有:getParameterValues,getParame...
java 站点脚本编制_站点脚本编制
weixin_28881575的博客
02-16 691
站点脚本编制”攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web 站点交互时假冒这位用户。这个攻击立足于下列事实:Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站点的若干链接,且其中一个参数是由恶意的 ...
《appscan教程》 三 sql注入站点脚本编制
程序猿学社的博客
08-30 2186
sql注入站点脚本编制 package com.cloudtech.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servle...
js解决站点脚本编制问题
weixin_34237596的博客
08-02 1272
1.前台处理(容易绕过): &lt;script type="text/javascript"&gt; $(document).ready(function(){ var url=window.location.href; window.location.href=HTMLEnCode(url); }); function HTMLEnCode(str) { var s = ""; i...
java站点脚本编制解决方案_阿里云ECS地域整站容灾操作指南
weixin_34363294的博客
12-11 266
一、 概述混合云容灾服务(HDR)是阿里云提供的低成本高性能业务连续性保障的服务,可以为企业内部关键应用,互联网应用,乃至Hadoop大数据集群提供容灾服务。其中的连续复制型(CDR)基于磁盘数据连续复制技术,可以为企业关键业务提供低至秒级RPO,分钟级RTO的容灾服务,极大缩短业务宕机时间,减少数据丢失损失。其一键演练,全链路监控,自动化运维等功能更是解决了传统容灾服务操作难,验证难,维护难的问...
XSS站点脚本攻击解决方案
attilax的专栏
06-05 4404
XSS站点脚本攻击解决方案 如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行 STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度…… 输出页面时需要进行HTML转码,如输出地址内容 td >convert.html(cus.getAdd
站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)
C3Stones
12-06 1839
1. 简介   XSS,即脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。   XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2. XSS相关博客   站点脚本编制 - SpringBoot配置XS...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值