url参数script注入攻击 防御

最新推荐文章于 2024-08-19 01:56:44 发布
最新推荐文章于 2024-08-19 01:56:44 发布
阅读量2k 收藏
点赞数
文章标签: 前端 java javascript ViewUI

package net.survey.util;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * 处理非法字符
 *
 * @author   wuruihua
 * @myblog http://blog.sina.com.cn/ruihuawu
 * @create    2016年5月19日
 */
public class XssShieldUtil {

    private static List<Pattern> patterns = null;

    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();

        ret.add(new Object[]{"<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|οnerrοr=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        return ret;
    }

    private static List<Pattern> getPatterns() {

        if (patterns == null) {

            List<Pattern> list = new ArrayList<Pattern>();

            String regex = null;
            Integer flag = null;
            int arrLength = 0;

            for(Object[] arr : getXssPatternList()) {
                arrLength = arr.length;
                for(int i = 0; i < arrLength; i++) {
                    regex = (String)arr[0];
                    flag = (Integer)arr[1];
                    list.add(Pattern.compile(regex, flag));
                }
            }

            patterns = list;
        }

        return patterns;
    }

    public static String stripXss(String value) {
        if(StringUtils.isNotBlank(value)) {

            Matcher matcher = null;

            for(Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if(matcher.find()) {
                    // 删除相关字符串
                    value = matcher.replaceAll("");
                }
            }

            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        }

        return value;
    }
    public static boolean stripXSS(String value) {
        boolean result = false;
        if (value != null) {

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            // //如果找到则为true
            if (result)
                return result;

            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Avoid οnlοad= expressions
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;

            // Avoid alert:... expressions
            scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);
            result = scriptPattern.matcher(value).find();// .replaceAll("");
            if (result)
                return result;
        }
        return result;
    }

}

iteye_16661
关注
开发技术 Web开发,防止url注入
11-09
这段程序是针对各业务系统通过URL进行越权注入进行控制的脚本
Javascript 注入攻击
WriteHappy的专栏
05-24 1万+
Javascript 注入攻击? 什么是javascript注入攻击呢?其实比较其他的攻击javascript可能相对简单一些。 每当接受用户输入的内容并重新显示这些内容的时候,网站就容易受到这种攻击。 用asp.net mvc来个简单的例子: [ValidateInput(false)] public class HomeController : Controller
什么是URL 重定向攻击
最新发布
m0_57836225的博客
08-19 982
在 Spring Boot 代码中的 `/unsafeRedirect` 端点: 当用户访问这个端点并提供了一个 `url` 参数作为重定向的目标时,如果没有对用户输入的这个 `url` 参数进行严格的验证和过滤,攻击者可以构造一个恶意的 `url` 值。如果用户被诱骗输入了一个恶意网址(例如一个用于网络钓鱼或传播恶意软件的网址),然后点击确定,页面将立即被重定向到这个恶意网址,用户可能在不知情的情况下陷入危险,比如被窃取个人信息、遭受欺诈或者设备被感染恶意软件。用户在这里可以输入任何网址,包括恶意网址。
跨站Script攻击和防范
sun33170161的专栏
12-23 674
第一部分:跨站Script攻击每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script攻击。而这种攻击大多数都发生在网站动态产生网页的时侯,但黑客的目标并不是你的网站,而
六、防止JavaScript注入攻击
weixin_30527323的博客
04-21 535
这篇文章主要介绍在ASP.NET MVC应用程序中如何防止JavaScript注入攻击。这篇文章讨论了两种防止JavaScript攻击的方法:在显示数据的时候,通过使用Encoding来防止攻击在接收到数据的时候,通过使用Encoding防止攻 一、什么是JavaScript注入攻击(原创:灰灰虫的家 http://hi.baidu.com/grayworm)在我们接收用户输入或在页面显示用户输...
浅谈javascript注入攻击
热门推荐
qq_41914181的博客
10-17 1万+
前言 记录一次防止js注入的项目经历,起因,项目在测试过程中,发现可能存在注入可能,于是拿到代码开始查看,因为现在前后端分离的情况下,需要特殊处理避免XSS攻击(跨站脚本攻击)的情况已经很少了,所以这次情况引起了我的兴趣。 介绍 什么是javascript注入攻击?简单来说,就是页面上输入的内容中带有可执行的javascript,而你使用这段输入内容的时候,让这段用户提供的代码执行了,也就是你写的代码,执行了非你写的代码,就会导致网页的不可行乃至更严重的安全威胁。 传统页面的服务端渲染 因为传统页面基本都是
Nginx中防止SQL注入攻击的相关配置介绍
09-30
在Nginx中防止SQL注入攻击是保护Web应用程序...总之,防止SQL注入攻击需要多层防御策略,包括但不限于Nginx配置、应用程序代码安全实践以及定期的安全更新和审计。通过这些措施,可以显著降低网站被SQL注入攻击的风险。
Web安全之XSS攻击防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击注入JS代码)。诱使受害者打开受到攻击...
web安全之XSS攻击防御pdf
08-25
这类攻击通常出现在URL参数中,例如在搜索框或链接中嵌入恶意代码。 ##### 2.2 持久型XSS 持久型XSS比反射型XSS更为危险,因为它涉及到了Web服务器本身的安全问题。在这种情况下,恶意脚本被直接存储在服务器上,...
XSS攻击中的注入攻击防御
XSS(Cross-Site Scripting)攻击是一种常见的Web应用程序安全漏洞,攻击者通过注入恶意代码到受信任的网站中,使用户在浏览器端执行该恶意代码,从而达到攻击目的。XSS攻击是基于客户端的攻击方式,主要利用了网页...
如何使用Web应用防火墙来防御SQL注入攻击
它的作用是监控、过滤和阻止对Web应用程序的恶意访问和攻击,包括SQL注入攻击、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等。 WAF通过检测和阻止恶意请求、过滤危险字符和参数、识别攻击模式等方式来保护Web应用...
javascript获取url参数script标签中获取url参数
weixin_30535565的博客
01-21 179
url paramter: //lastest:varqueryStrings=function(){//geturlquerystringvarparams=document.location.search,reg=/(?:^\?|&)(.*?)=(.*?)(?=&|$)/g,temp,args={};while((temp=reg.exec(pa...
常见网络攻击防御方法总结(XSS、SQL注入、CSRF攻击
qq_43532275的博客
10-27 456
网络攻击无时无刻不存在,其中XSS攻击和SQL注入攻击是网站应用攻击的最主要的两种手段,全球大约70%的网站应用攻击都来自XSS攻击和SQL注入攻击。此外,常用的网站应用攻击还包括CSRF、Session劫持等。
url中存在脚本注入风险_XXS跨站脚本攻击原理及代码攻防演示(一)
weixin_39610774的博客
12-03 2141
点击上方“蓝字”,一起愉快的学习吧!声明:本文并非小编所创,本文所有内容均来自CSDN博主Eastmount版权声明:本文为CSDN博主「Eastmount」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/Eastmount/article/details/102511286如需观看原文,请点击原...
JAVAURL存在跨站漏洞,注入漏洞解决方案
yiluoAK_47的专栏
12-12 5154
跨网站脚本介绍 一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载
深入理解web安全攻防策略
Candour_0的博客
02-12 408
深入理解web安全攻防策略
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值