java防止xss攻击

最新推荐文章于 2024-04-23 18:52:22 发布
最新推荐文章于 2024-04-23 18:52:22 发布
阅读量377 收藏
点赞数
分类专栏: Java 文章标签: java xss
原文链接:https://blog.csdn.net/loveHappyLucky/article/details/52452359
版权

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等

XSS 是如何发生的

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入

"/><script>alert(document.cookie)</script><!- 那么就会变成
<input type="text" name="address1" value=""/><script>alert(document.cookie)</script><!- ">

嵌入的JavaScript代码将会被执行或者用户输入的是
“οnfοcus=”alert(document.cookie) 那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行攻击的威力,取决于用户输入了什么样的脚本,当然用户提交的数据还可以通QueryString(放在URL中)和Cookie发送给服务器. 例如下图
这里写图片描述

HTML Encode

XSS之所以会发生, 是因为用户输入的数据变成了代码。 所以我们需要对用户输入的数据进行HTML Encode处理。 将其中的”中括号”, “单引号”,“引号” 之类的特殊字符进行编码。
这里写图片描述

解决方案

  1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位。
  2. 采用开源的实现 ESAPI library ,参考网址: OWASP Enterprise Security API (ESAPI)
  3. 可以采用spring 里面提供的工具类来实现。

过滤器

public class XSSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }
}

 再实现 ServletRequest 的包装类

package com.guiyang.education.config;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.Map;
import java.util.regex.Pattern;

public class XssRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest request;

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    /**
     * 重写getParameter方法
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        value = format(value);
        return value;
    }

    /**
     * 重写getParameterMap
     */
    @Override
    @SuppressWarnings("unchecked")
    public Map getParameterMap() {
        return this.request.getParameterMap();
    }


    /**
     * 重写getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (null != values) {
            int count = values.length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = format(values[i]);
            }
            return encodedValues;
        }
        return null;

    }

    /**
     * 重写getHeader
     */
    @Override
    public String getHeader(String name) {
        // TODO Auto-generated method stub
        return format(super.getHeader(name));
    }


    public String filter(String message) {
        if (message == null)
            return (null);
        message = format(message);
        return message;
    }


    /**
     * @param name 要替换的字符
     * @desc 统一处理特殊字符的方法,替换掉sql和js的特殊字符
     */
    private String format(String name) {
        return stripXSS(name);
    }

    

    /**
     * 防止xss跨脚本攻击(替换,根据实际情况调整)
     */
    public static String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and  
            // uncomment the following line to  
            // avoid encoded attacks.  
            //value = ESAPI.encoder().canonicalize(value);  
            // Avoid null characters  
            value = value.replaceAll("", "");
            // Avoid anything between script tags  
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression  
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag  
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag  
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions  
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e-xpression(...) expressions  
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions  
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions  
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions  
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }


}

peter_qyq
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的朋友可以参考下
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 2559
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
java防止XSS(跨站脚本攻击)攻击的常用方法总结
码在飞博客
07-13 1万+
一、什么是XSS攻击XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
如何防止xss跨站脚本攻击(代码说明)
jingdianjiuchan的博客
03-19 3130
在上述代码中,使用contentSecurityPolicy选项来设置CSP策略,可以通过不同的源策略来限制不同类型的资源的加载。在Vue.js中可以使用{{}}语法来显示动态内容,需要注意的是,需要对显示的内容进行转义,从而避免XSS攻击。在上述代码中,使用escape方法来转义输出的内容,使用正则表达式来匹配需要转义的字符,并使用替换函数来替换字符,从而实现转义输出的功能。需要注意的是,转义输出并不是万能的,有些字符可能会被转义后失去原来的含义,因此还需要使用其他的防御措施来提高网站的安全性。
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7561
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
防止XSS跨站脚本攻击:Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4377
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
XSS跨站脚本攻击在Java开发中防范的方法
01-09
XSS跨站脚本攻击在Java开发中防范的方法
java接口防止XSS攻击
钓瞄的鱼的博客
11-13 1916
java接口防止XSS攻击一、什么是XSS二、XSS攻击的主要途径三、XSS攻击解决办法四、 解决代码1.配置过滤器2.实现 ServletRequest 的包装类,过滤其他请求参数3.添加在主入口@ServletComponentScan注解 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动
2、XSS
Poolhuang的博客
06-13 660
反射型XSS 1、XSS原理 用户输入的数据当做HTML代码拼接到程序代码中去执行恶意的JS语句; 2、反射型XSS 反射型跨站脚本(Reflected Cross-Site Scripting)是最常见,也是使用最广的一种,可将恶意脚本附加到 URL 地址的参数中。反射型 XSS 的利用一般是攻击者通过特定手法(如电子邮件),诱使用户去访问一个包含恶意代码的 URL,当受害者点击这些专门设计的链接的时候,恶意代码会直接在受害者主机上的浏览器执行。此类 XSS 通常出现在网站的搜索栏、用户登录口等地
如何在Java中防御XSS攻击
weixin_46699878的博客
04-09 877
从通过规范化输入的文本中检测并删除XSS(跨站点脚本)攻击。 跨站点脚本(XSS)攻击是一种威胁形式,它利用Web应用程序中的漏洞来掠夺用户信息。使用恶意脚本,攻击者可以通过通常可信任的网页吸引不同的用户,并访问该用户在浏览器中记录的任何信息,包括cookie和其他敏感信息。只要Web程序接受未经验证的用户输入并随后在其输出中使用它,就可能发生这类攻击。 采取所有必要步骤来保护用户非常重要,对于XSS攻击尤其如此,因为用户可能只知道他们对您网站的使用,而不是威胁他们的恶意行为者。然后,这可能会损害您网站的声
java防攻击_java 防止 XSS 攻击的常用方法
weixin_33589626的博客
02-12 2202
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位.2. 采用开源的实现 ESAPI library ,参考网址:https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API3. 可以采用spring 里面提供的工具类来实现.一, ...
Java程序抵御xss攻击
phubing
07-14 578
XSS:跨站脚本攻击,即CSS。利用网页开发时留下的漏洞(web应用程序对用户的输入过滤不足),巧妙的将恶意的代码注入到网页中,使用户浏览器加载并执行恶意制造的代码,以达到攻击的效果。这恶意的代码通常是JS代码,但实际上也可以是JAVA、VBS、ActiveX、Flash或者是普通的HTML。(浏览器不会判断,只要是符合解析,那么就会执行恶意的代码)。可能存在XSS的地方:微博、留言板、聊天室等收集用户输入的地方都可能遭受XSS攻击的风险。只要你对用户的输入没有严格过滤。 ———————————————..
mybatisPlus使用MetaObjectHandler对字段进行更新
最新发布
m0_56356631的博客
04-23 337
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1443
c++中string的模拟实现,面试必会知识点
excel防止xss攻击java框架
05-18
Java中可以使用Apache POI框架来操作Excel文件,并且可以使用该框架来防止XSS攻击。具体实现可以使用以下步骤: 1. 使用XSSF(对应Excel 2007及以上版本)或HSSF(对应Excel 2003及以下版本)类来读取Excel文件。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值