XSS预防

已于 2023-05-24 14:08:08 修改
阅读量8.9k 收藏
点赞数
文章标签: xss java 前端
于 2019-04-08 16:36:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaeljy1991/article/details/89095167
版权

网络安全——预防XSS

XSS是网络安全界沉睡的巨人,如果系统设计者没有考虑到相关的防范措施,后果很严重。下面记录了通过过滤器实现XSS过滤的主要步骤,以供参考。

过滤规则

针对XSS过滤网络上有很多方式,比如将可能引发XSS的<,>等转换为全角,将script相关直接替换掉,在存储字符串时通过Apache的html转义工具转义,查询时再反转义回来等。这次我选择的是Apache基金下的sling框架,它提供了针对XSS的过滤,做法是将容易引发XSS的关键字全部替换为空字符串,简单暴力!

Maven依赖

<dependency>
   <groupId>org.apache.sling</groupId>
   <artifactId>org.apache.sling.xss</artifactId>
   <version>${sling-xss.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.sling</groupId>
   <artifactId>org.apache.sling.api</artifactId>
   <version>${sling-api.version}</version>
</dependency>
<dependency>
   <groupId>org.apache.felix</groupId>
   <artifactId>org.apache.felix.scr.annotations</artifactId>
   <version>${felix-annoatation.version}</version>
</dependency>

Xss过滤器

/**

 * XSS过滤器

 *

 * @author ald

 * @date 2017/1/4 22:55

 */

public class XssFilter implements Filter {

    private static final Logger log = LoggerFactory.getLogger(XssFilter.class);

    private XSSFilter slingXssFilter;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        slingXssFilter = new XSSFilterImpl();

        InputStream inputStream = XssFilter.class.getClassLoader().getResourceAsStream("SLING-INF/content/config.xml");

        try {

            ((XSSFilterImpl)slingXssFilter).setDefaultPolicy(inputStream);

        } catch (Exception e) {

            log.error("sling xssFilter set default policy failure",e);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        chain.doFilter(new XssHttpServletRequest((HttpServletRequest) request,slingXssFilter), response);

    }

    @Override

    public void destroy() {

        slingXssFilter = null;

    }

}

/**

 * XSS请求包装类

 *

 * @author ald

 * @date 2016/12/28 9:58

 */

public class XssHttpServletRequest extends HttpServletRequestWrapper {

    private XSSFilter slingXssFilter;

    public XssHttpServletRequest(HttpServletRequest request, XSSFilter slingXssFilter) {

        super(request);

        this.slingXssFilter = slingXssFilter;

    }

    @Override

    public String getQueryString() {

        String queryStr = super.getQueryString();

        return queryStr==null?queryStr:slingXssFilter.filter(queryStr);

    }

    @Override

    public String getParameter(String name) {

        String parameter = super.getParameter(name);

        return parameter==null?parameter:slingXssFilter.filter(parameter);

    }

    @Override

    public String[] getParameterValues(String name) {

        String[] values = super.getParameterValues(name);

        if (values==null || values.length==0){

            return new String[0];

        }

        for (int i=0; i<values.length; i++){

            values[i] = slingXssFilter.filter(values[i]);

        }

        return values;

    }

    @Override

    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameterMap = super.getParameterMap();

        for (Map.Entry<String, String[]> entry:parameterMap.entrySet()){

            String[] values = entry.getValue();

            if (values!=null && values.length>0){

                for (int i=0; i<values.length; i++){

                    values[i] = slingXssFilter.filter(values[i]);

                }

            }

            parameterMap.put(entry.getKey(),values);

        }

        return parameterMap;

    }

    @Override

    public String getHeader(String name) {

        String header = super.getHeader(name);

        return header==null?header:slingXssFilter.filter(header);

    }

}

原理:通过包装类,重写request的getParameter等方法,然后用sling将参数值过滤

Aldom
关注
java 预防XSS攻击
08-23
本文将深入探讨如何在Java后端进行预防XSS攻击的策略。 1. **理解XSS类型**: - **存储型XSS**:攻击者的脚本被存储在服务器上,如论坛帖子、评论等,当其他用户访问这些内容时,恶意脚本会被执行。 - **反射型...
SpringBoot项目XSS攻击过滤防御实现
weixin_45818787的博客
09-02 3027
一、先来个简介# 什么是XSS? 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类# xss攻击可以分成两种类型: 1.非
Apache Sling App CMS <1.1.4 存在反射型XSS漏洞(CVE-2022-46769)
murphysec的博客
01-11 512
1.1.4 之前版本的 Apache Sling 中的 cms.js#confirmMessage 方法未对用户可控的 `title` 和 `message` 参数进行过滤,攻击者可将精心构造的 js 代码注入到 startcontent.jsp 页面的 `recentContent` 参数中,当用户访问该页面时远程执行恶意 javascript 代码。该漏洞已存在 POC。
探索Apache Sling的魔法:脚手架兼容版JSP脚本处理
最新发布
gitblog_00866的博客
09-02 816
探索Apache Sling的魔法:脚手架兼容版JSP脚本处理 sling-org-apache-sling-scripting-jsp-taglib-compatsling-org-apache-sling-scripting-jsp-taglib-compat 这是一个用于在 Apache Sling 中实现 JSP 标签库兼容性的模块。 特点:可以帮助开发者更方便地使用 JSP 标签库,提...
Apache Sling Security: 强大的Web安全解决方案
gitblog_00048的博客
08-06 347
Apache Sling Security: 强大的Web安全解决方案 sling-org-apache-sling-securityApache Sling Security项目地址:https://gitcode.com/gh_mirrors/sl/sling-org-apache-sling-security 项目介绍 Apache Sling Security 是一个专门针对Web应用程...
XSS攻击
e68zts的博客
06-25 136
继承 HttpServletRequestWrapper 类,对getParameter( String param)、getParameterValues( String param)以及 getHeader( String param) 等方法进行重写,都将进行一遍全方位清洗。/*** @desc 基于AntiSamy的XSS防御*///AntiSamy使用的策略文件static {try {/*** @desc Header为空直接返回,不然进行XSS清洗。
springmvc4配置防止XSS攻击的方法
04-05
特别是在Web应用中,跨站脚本攻击(XSS)和SQL注入攻击是常见的安全威胁。XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
springboot整合XSS
03-20
本文将深入探讨如何在Spring Boot项目中整合并预防XSS(Cross-Site Scripting)攻击。XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要...
XSS攻击,使用Filter转义
熊浪的博客
09-09 887
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
xss攻击测试以及sprigboot防止xss攻击
wangscaler的博客
02-23 1098
title: Xss date: 2021-02-23 sidebar: ‘auto’ tags: Xss Springboot categories: 后端 Xss 漏洞测试 整理16个常见的属性标签和脚本script带来的漏洞。参考地址常见几种跨站脚本漏洞安全测试,测试的html,可以参考如下 <!DOCTYPE html> <html> <head> <title>动态网页请求后台数据</title> </head&gt.
Sling CMS 学习:环境搭建(一)
zhaoqi333的博客
08-20 2062
一,安装 下载地址:https://sling.apache.org/documentation/getting-started.html 运行:  java -jar org.apache.sling.cms.builder-0.9.0.jar
Sling Model 注解
halfgap的博客
03-07 659
1.创建Sling Model @Model:声明一个bean为Sling模型。 @Inject:将资源属性注入类变量中。 @PostConstruct:声明根据业务逻辑派生信息后初始化bean的函数。在所有注入完成后调用该函数。 @Model(adaptables = Resource.class) public class ContactUsModel { private String ...
Web安全问题:Xss攻击及解决方法
weixin_45650737的博客
04-23 465
转自:https://blog.csdn.net/qq_38892496/article/details/91582868 作者:y_mk 什么是Xss攻击? 首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。 ——摘自百度百科 https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc 其实就是使用Javascript脚本
Web安全之XSS攻击解决方案
thisIsDennis的博客
03-17 645
一.XSS介绍 网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完...
使用filter过滤xss攻击
lionzl的专栏
12-02 1471
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
XssFilter防xss攻击
癸酉金鸡的博客
10-19 433
通过过滤器防止xss攻击,新建过滤器 package com.zheytech.common.filter; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void init(FilterConfig filterC.
mica-xss预防文件导入XSS
05-19
Mica-xss 是一个基于 JavaXSS 防护工具,它可以预防文件导入 XSS 攻击。具体来说,它可以对上传的文件进行检查,防止其中包含恶意脚本,从而保护应用程序的安全。 Mica-xss 的使用非常简单,只需要在 web.xml 文件中配置过滤器,即可对所有上传的文件进行过滤。下面是一个示例: ```xml <filter> <filter-name>xssFilter</filter-name> <filter-class>com.github.bingoohuang.mica.xss.XssServletFilter</filter-class> <init-param> <param-name>whiteUrls</param-name> <param-value>/upload,/upload/*</param-value> </init-param> <init-param> <param-name>logLevel</param-name> <param-value>1</param-value> </init-param> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 在上面的配置中,我们定义了一个名为 xssFilter 的过滤器,并指定了要过滤的 URL 范围。在初始化参数中,我们可以设置白名单和日志级别等选项。最后,在 filter-mapping 中将该过滤器映射到所有 URL 上。 当有文件上传时,Mica-xss 会自动检查其中是否包含恶意脚本,并在检测到问题时进行拦截。这样可以有效地预防文件导入 XSS 攻击,提高应用程序的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值