java 防止 XSS 攻击的常用方法总结.

最新推荐文章于 2024-09-12 17:21:06 发布
最新推荐文章于 2024-09-12 17:21:06 发布
阅读量1.2w 收藏 17
点赞数 3
分类专栏: web
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里  java网页程序采用 spring 防止 csrf 攻击.  ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释  http://baike.baidu.com/view/2161269.htm , 但在实际的应用中如何去防止这种攻击呢,下面给出几种办法.
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.
2. 采用开源的实现 ESAPI library ,参考网址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

3. 可以采用spring 里面提供的工具类来实现.

一, 第一种方法。
配置过滤器 
public class XSSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void destroy() {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }
}


再实现 ServletRequest 的包装类 
import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return stripXSS(value);
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("(.*?)", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome  tag
            scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome  tag
            scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid οnlοad= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}


例子中注释的部分,就是采用 ESAPI library 来防止XSS攻击的,推荐使用.

当然,我还看到这样一种办法,将所有的编程全角字符的解决方式,但个人觉得并没有上面这种用正则表达式替换的好 

private static String xssEncode(String s) {
        if (s == null || s.equals("")) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case '>':
                sb.append('>');// 全角大于号
                break;
            case '<':
                sb.append('<');// 全角小于号
                break;
            case '\'':
                sb.append('\\');
                sb.append('\'');
                sb.append('\\');
                sb.append('\'');
                break;
            case '\"':
                sb.append('\\');
                sb.append('\"');// 全角双引号
                break;
            case '&':
                sb.append('&');// 全角
                break;
            case '\\':
                sb.append('\');// 全角斜线
                break;
            case '#':
                sb.append('#');// 全角井号
                break;
            case ':':
                sb.append(':');// 全角冒号
                break;
            case '%':
                sb.append("\\\\%");
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }


当然,还有如下更简单的方式: 
private String cleanXSS(String value) {
                //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }


在后台或者用spring 如何实现呢:
首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用这些函数: 
StringEscapeUtils.escapeHtml(string); 
StringEscapeUtils.escapeJavaScript(string); 
StringEscapeUtils.escapeSql(string);


当然,我记得在spring 里面好像有一个 HtmlUtils.htmlEscape , 同样可以做到 过滤 XSS 攻击。从上面的介绍可以看出,防止 XSS 攻击并不难,就是要小心。
追寻北极
关注
专栏目录
java根据白名单过滤html,防止XSS攻击方法-使用白名单过滤html标签
weixin_36469247的博客
06-08 1242
问题场景:在网页页面的富文本编辑框添加内容是我们常见的操作,在编辑框中可以给内容填色、变字体等等之后,把内容保存到数据库。但是稍微专业的人会通过firebug/fiddler等工具拦截请求,进行修改数据(添加alert(1);等标签),提交到数据库保存,之后加载显示数据时浏览器就执行这些标签。所以我们要在后台处理非正常手段输入的标签内容解决方法一:jsoup工具类org.jsoupjsoup1.8...
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 592
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同学对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
Java开发安全及防护
Agazigi的博客
09-12 1949
开发安全 - XSS 详解 | Java 全栈知识体系 (pdai.tech)就是说其实我们的浏览器十分的愚蠢,它看见js脚本就想执行。好比我们在文本框或者其他什么给后端发送内容的地方写了这些,而不对其进行过滤,就十分的危险。那么如何防范?过滤!xss靶场练习(一)之xss.haozi.me_xss(haozimi)靶场地址-CSDN博客ruoyi的过滤:步骤一:查看FilterConfig类以及配置文件。步骤二:产看XssFilter:init、doFilter。
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
防止XSS攻击方法
aizhang3827的博客
02-09 108
什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 1 <dependency> 2 <groupId>org.jsoup</groupId> 3 <artifactId>jsoup</artifactId> 4 <versio...
java防御xss攻击
jackaney的专栏
12-23 333
. 关于xss的概念和解决方案网上很多,可以参考这个: http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.es...
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 405
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
简单模拟XSS攻击.zip
07-05
通过这个项目,你可以学习到如何构建一个基础的Web应用,理解XSS攻击的原理,并学习如何在后端验证和清理用户输入,防止此类攻击的发生。同时,这也是一个很好的实践平台,加深对Node.js、Express以及JavaScript安全...
Java中的10种方法防止XSS攻击
热门推荐
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
java防止xss注入
07-15
解决方案是对request请求的parameter 参数做过滤与字符转义
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7821
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
如何防止XSS攻击
m0_49521873的博客
05-23 6782
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
如何防止XSS攻击
许文杰的博客
03-13 3810
  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技...
java 防止 XSS 攻击常用方法总结
爱吃鱼油
03-23 809
过滤器拦截所有的请求对特殊字符进行转义。 import java.io.IOException; import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.Set; import java.util.Map.Entry; import javax.servlet.Fil
如何在Java中防御XSS攻击
weixin_46699878的博客
04-09 927
从通过规范化输入的文本中检测并删除XSS(跨站点脚本)攻击。 跨站点脚本(XSS攻击是一种威胁形式,它利用Web应用程序中的漏洞来掠夺用户信息。使用恶意脚本,攻击者可以通过通常可信任的网页吸引不同的用户,并访问该用户在浏览器中记录的任何信息,包括cookie和其他敏感信息。只要Web程序接受未经验证的用户输入并随后在其输出中使用它,就可能发生这类攻击。 采取所有必要步骤来保护用户非常重要,对于XSS攻击尤其如此,因为用户可能只知道他们对您网站的使用,而不是威胁他们的恶意行为者。然后,这可能会损害您网站的声
java接口防止XSS攻击
钓瞄的鱼的博客
11-13 2142
java接口防止XSS攻击一、什么是XSS二、XSS攻击的主要途径三、XSS攻击解决办法四、 解决代码1.配置过滤器2.实现 ServletRequest 的包装类,过滤其他请求参数3.添加在主入口@ServletComponentScan注解 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动
Java程序抵御xss攻击
phubing
07-06 252
Java程序抵御xss攻击 原理:将前端请求的所有数据,进行转义后再存入数据库 1.导入hutool-all包 <!-- 数据转义,防止xss攻击--> <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version&
javaxss攻击特殊字符转换为html实体
最新发布
09-15
Java防止XSS(跨站脚本攻击)时,对用户输入的内容通常需要进行特殊的处理,以防恶意插入HTML标签或脚本执行。对于特殊字符,一种常见的做法是将其转换为HTML实体。例如: 1. **`htmlspecialchars()`函数**:这是Java中最常用的函数之一,它会将某些字符(如 `<`, `>`, `'`, `"`, `&`, `;` 等)转换为它们对应的HTML实体。这个函数可以应用于字符串,确保输出到网页的安全。 ```java String input = "Hello <script>alert('XSS');</script>"; String safeOutput = org.apache.commons.lang3.StringEscapeUtils.htmlEscape(input); ``` 2. **`org.apache.commons.lang3.StringEscapeUtils`**:Apache Commons Lang库提供了一个`htmlEscape()`方法,用于进行类似的操作。 3. **`outputEscaped()`方法**:如果你使用的是Spring MVC框架,可以在视图渲染时使用`outputEscaped="true"`属性,这会自动转义输出的字符串。 ```java @RequestMapping("/example") public String example(@RequestParam("input") String input) { return "YourPage", escapeSpecialChars(input); } // 在YourPage.jsp中使用${input},Spring会自动做转义 private String escapeSpecialChars(String str) { return StringEscapeUtils.escapeHtml4(str); } ```
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值