XSS解决方案(以及前端UrlEncode 加密两次的原理分析);附代码

最新推荐文章于 2024-08-07 09:15:00 发布
最新推荐文章于 2024-08-07 09:15:00 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: web安全 文章标签: xss跨域脚本攻击 UrlEncode 加密两次
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32649889/article/details/78465655
版权 
 XSSFilter.java

package com.sfpay.scfp.oms.app.filter;

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

 
/**
 * Servlet Filter implementation class XSSFilter
 */
public class XSSFilter implements Filter {

  
 
	/**
	 * @see Filter#doFilter(ServletRequest, ServletResponse, FilterChain)
	 */
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

		if (!(request instanceof HttpServletRequest)) {
			chain.doFilter(request, response);
			return;
		}
		HttpServletRequest hrequest = (HttpServletRequest) request;
		HttpServletResponse hresponse = (HttpServletResponse) response;
		XSSRequestWrapper secureRequest = new XSSRequestWrapper(hrequest);
		chain.doFilter(secureRequest, hresponse);

	
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

 

}


XSSRequestWrapper.java

package com.sfpay.scfp.oms.app.filter;

import java.net.URLDecoder;
import java.util.Enumeration;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * 
 * @author wzs
 *
 */
public class XSSRequestWrapper extends HttpServletRequestWrapper implements
		HttpServletRequest {
	HttpServletRequest orgRequest = null;

	public XSSRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
		orgRequest = servletRequest;
	}
   
	 
	public boolean getStatus() {
		  boolean flag=true;
 		  Enumeration<String> parameterNames = super.getParameterNames();
 		 while(parameterNames.hasMoreElements()){
 			 String nextElement = parameterNames.nextElement();
 			 String parameter = this.getParameter(nextElement);
 			  if(parameter.contains("script")){
 				 flag=false;
 				  break;
 			  }
 		  }
 		 return flag;
	}

	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = cleanXSS(values[i]);
		}
		return encodedValues;
	}

	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		if (value == null) {
			return null;
		}
		return cleanXSS(value);
	}

	@Override
	public String getHeader(String name) {
		String value = super.getHeader(name);
		if (value == null) {
			return null;
		}
		return cleanXSS(value);
	}

	private String cleanXSS(String value) {
		if (value == null || value.isEmpty()) {
			return value;
		}
		// 后台在参数传递时已经进行了encode,此处需要decode。
		/**
		 * 注意:前段js对url进行两次加密 UrlEncode(UrlEncode(URL)),目的是:前台第一次通过加密使用前后台约定编码。比如:UTF-8
		 *  加密完成以后,此时的url基本上就是%、字母、数字了。第二次加密就是对%、字母、数字进行加密了。此时无论使用哪一种编码集
		 *  加密后的结果都是一样的,(UTF-8/GBK/ISO-8859-1),
		 *   后台,只需要显示的调用一下URLDecoder.decode(value, "UTF-8"); 就可以了。
		 *   因为request.getParameter("name")之前会自动做一次解码的工作,而且是默认的ISO-8859-1。
		 *   然后通过显示的调用URLDecoder.decode(value, "UTF-8");就得到我们想要的url了
		 *   可参考:http://blog.csdn.net/kongqz/article/details/9028111
		 */
		try {
			value = URLDecoder.decode(value, "UTF-8");
		} catch (Exception e) {
			/*
			 *  显示模板保存时未进行encode,出现%时decode会抛异常,异常截取改为Exception且不打印堆栈。
			 * 当然,【%】encode后为【%25】,若值包含%25,则会decode为%。
			 */
//			e.printStackTrace();
		}
		// 方案一:对相关Xss特殊字符进行替换,但是,返回前台时数据还是会有问题。
		// You'll need to remove the spaces from the html entities below
		// value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
		// value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
		// value = value.replaceAll("'", "&#39;");
		// value = value.replaceAll("eval\\((.*)\\)", "");
		// value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
		// value = value.replaceAll("script", "scr1pt");
		
		// 方案二:采用XssProject进行替换,有bug就是。实现原理是将Xss特殊字段截取。需要完整的html标签,无法只针对<script>...</script>进行处理,直接返回空字符串。
//		StringReader reader = new StringReader(value);
//		StringWriter writer = new StringWriter();
//		try {
//			HTMLParser.process(reader, writer, new XSSFilter(), true);
//			value = writer.toString();
//		} catch (NullPointerException e) {
//			return value;
//		} catch (Exception ex) {
//			ex.printStackTrace(System.out);
//		}
		
		// 方案三:采用Spring提供的函数,跟方案一存在同样的bug。
//		value = HtmlUtils.htmlEscape(value);
		
		// 方案四:采用ESAPI进行处理。相关配置非常麻烦。
		// NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to avoid encoded attacks.
        // value = ESAPI.encoder().canonicalize(value);
		
		// 方案五:采用正则表达式,对相关Xss特殊字符进行替换。后台应该没有需要富文本编辑的功能。
        // Avoid null characters
        value = value.replaceAll("", "");

        // Avoid anything between script tags
        Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid anything in a src='...' type of e­xpression
        scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");

        scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");

        // Remove any lonesome </script> tag
        scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");

        // Remove any lonesome <script ...> tag
        scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid eval(...) e­xpressions
        scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid e­xpression(...) e­xpressions
        scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid javascript:... e­xpressions
        scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid vbscript:... e­xpressions
        scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
        value = scriptPattern.matcher(value).replaceAll("");

        // Avoid onload= e­xpressions
        scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
        value = scriptPattern.matcher(value).replaceAll("");
		
        return value;
	}

	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XSSRequestWrapper) {
			return ((XSSRequestWrapper) req).getOrgRequest();
		}

		return req;
	}

}

前段两次加密原理测试:可参考:http://blog.csdn.net/kongqz/article/details/9028111

String sArgs="与客户合同中约定利率为12%,系统显示利率为36.4%,故需减免复利差额";
		//第一次加密,核心加密
		String encode = URLEncoder.encode(sArgs, "UTF-8");
		System.out.println(encode);
		//第二次加密,只是对%、字母、数字进行二次加密。使用任何字符集加密的结果是一样的
		String encode2 = URLEncoder.encode(encode, "ISO-8859-1");
		System.out.println(encode2);
		System.out.println(".......................................");
		//第一次解密:对第二次加密的结果进行解密
		String decode = URLDecoder.decode(encode2, "UTF-8");
		System.out.println(decode);
		//第二次解密:核心解密
		String decode2 = URLDecoder.decode(decode, "UTF-8");
		System.out.println(decode2);

对%、字母、数字进行二次加密,使用任何字符集加密的结果是一样的。测试如下;

String sArgs="与客户合同中约定利率为12%,系统显示利率为36.4%,故需减免复利差额";
		//第一次加密,核心加密
		String encode = URLEncoder.encode(sArgs, "UTF-8");
		System.out.println(encode);
		 //str 就是 encode 的值
		String str ="%E4%B8%8E%E5%AE%A2%E6%88%B7%E5%90%88%E5%90%8C%E4%B8%AD%E7%BA%A6%E5%AE%9A%E5%88%A9%E7%8E%87%E4%B8%BA12%25%EF%BC%8C%E7%B3%BB%E7%BB%9F%E6%98%BE%E7%A4%BA%E5%88%A9%E7%8E%87%E4%B8%BA36.4%25%EF%BC%8C%E6%95%85%E9%9C%80%E5%87%8F%E5%85%8D%E5%A4%8D%E5%88%A9%E5%B7%AE%E9%A2%9D";
		String decode = URLEncoder.encode(str, "UTF-8");
		System.out.println(decode);
		String decode2 = URLEncoder.encode(str, "GBK");
		System.out.println(decode2);
		String decode3=  URLEncoder.encode(str, "ISO-8859-1");
		System.out.println(decode3);
        //decode decode2 decode3 的结果是一样的
汪小胜
关注
专栏目录
Fiddler抓包工具详解
悦分享
10-30 2081
HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写,是用于从万维网(WWW:World Wide Web )服务器传输超文本到本地浏览器的传送协议。HTTP(HyperText Transfer Protocol)协议是基于TCP的应用层协议,它不关心数据传输的细节,主要是用来规定客户端和服务端的数据传输格式,最初是用来向客户端传输HTML页面的内容。默认端口是80 3.http(超文本传输协议)是一个基于请求与响应模式的、无状态的、应用层的协议HTTP请求报文主
笔试、面试题收集(主要是Python Web开发)编辑中。。。
Henry1991back的博客
11-22 1万+
Python 语言 类变量和实例变量 @staticmethod 和 @classmethod;@property 闭包,装饰器,迭代器,yield,生成器? staticmethod和装饰器的区别? *args 和 **kwargs 鸭子类型 @property 和 @setter Python的垃圾回收机制(GC: garbage collection) Python垃圾回收机制–完美讲...
Urlencode编码对HTTP的URL地址的作用的探究(20210519更新,最终结论得出,XSS相关)
DawdleD的博客
05-16 1027
今天闲来无事切了一道19年的CTF题,题目的预期解法很简单,就是篡改HTTP包的,实施SSTI攻击,不过发现了一个 以下是一份简单的用于测试的PHP代码: <?php echo 'HTTP_HOST: '.$_SERVER['HTTP_HOST'].'<br/>'; echo 'REQUEST_URI: '.$_SERVER['REQUEST_URI']; echo "<br/>"; foreach($_REQUEST as $key => $value) {
xss与crypto加密
qq_32615575的博客
02-23 220
1、XSS攻击 XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击XSS的重点不在于跨站点,而在于脚本的执行。 那么XSS原理是: 恶意攻击者在web页面中会插入一些恶意的script代码xss npm i xss --save xss是一个函数,可以直接使用解析用户页面输入的内容 const param=xss(param) xss可以将<script></script>脚本解析成符号,不再具有攻击执行 2、加密 防止被攻击
XSS攻击原理和解决方法
最新发布
2302_76672693的博客
08-07 1299
XSS攻击原理和解决方法
为什么网上会有人提出在客户端对字符串重复编码两次呢.
qingfengxia2013的专栏
09-18 345
http://topic.csdn.net/u/20100125/14/6d0242ed-9c0b-4a02-837d-977c575ae201.html  var url="/demo/login.do?userName="+userName+"&amp;pwd="+pwd;  url=encodeURI(url);  url=encodeURI(url);为什么网上会有人提出在客户端对字符串...
XSS————XSS二次编码漏洞绕过实例研究报告
Fly_鹏程万里
04-16 2574
安全龙sec核心战队CORE:我们在进行XSS或者SQL注入时,经常会遇到输入的字符被过滤的情况。比如当我们输入字符’时,就会出现以下情况:很明显我们的参数已经被过滤掉了。然后我又继续输入了&lt; &gt;进行测试,结果和上面是一样的。我们该怎么么办呢,我们知道&lt;的url编码为%3C,当我们直接输入%3C时,这样可以绕过吗?我们测试下:我们发现还是没法绕过,我们输入的%3C被浏览器解析为&...
XSS中JavaScript加密以及Filter bypass
weixin_34244102的博客
02-17 355
转载于http://www.iteye.com/topic/947149在2011年的BlackHat DC 2011大会上Ryan Barnett给出了一段关于XSS的示例javascript代码:Javascript代码 ($=[$=[]][(__=!$+$)[_=-~-~-~$]+({}+$)[_/_]+($$=($_=!''+$...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7149
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
WEB漏洞篇——跨站脚本攻击XSS
m0_56634355的博客
06-05 4753
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
PHP面试题(含答案),持续更新
qq_41469037的博客
08-25 4677
PHP面试题(含答案),持续更新(会有重复)
js url加密解密
08-14
js对文字进行编码及相应的解码函数 传递参数时 进行url跳转时
XSS攻击与防范(加密与解密笔记)
ResumeProject的博客
04-06 551
攻击案例 XSS攻击例子:(简单的修改网页元素,睡眠2s为了先加载元素) 网络钓鱼:         网络钓鱼 (Phishing)攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动,受骗者往往会泄露自己的私人资料,如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌,骗取用户的私人信息。XSS攻击也可以用到网络钓鱼,通过注入代码,让用户先登录你的网页,以
URL 地址通过 encode 方式加密
清叶 的专栏
07-25 1121
var a= document.getElementById("a").value; windowencodeURI(encodeURI(a))
JS与ASP.NET的 urlencode编码 加解码操作——解决前端无法传html代码到后端
laizhixue的博客
02-26 1067
JS中 urlencode 编码 :encodeURIComponent(编码的具体内容) 解码 :decodeURIComponent(解码码的具体内容) 原理:对URL的组成部分进行个别编码,而不用于对整个URL进行编码 ASP.NETurlencode 编码 :Uri.EscapeDataString(url) 解码 :Uri.UnescapeDataString(url) ...
urlcode编码绕过xss限制
weixin_64311421的博客
03-01 275
url编码绕过xss限制
URLEncoder和URLDecoder加密解密
轻描淡写
08-03 1661
URLEncoder和URLDecoder加密解密     import java.net.URLDecoder; import java.net.URLEncoder; /** * URLEncoder和URLDecoder * 解决URL字符串中参数特殊字符的传递问题! */ public class URLEncoderOrURLDecoder { ...
关于URLEncoder.encode的用法
热门推荐
jike11231的博客
04-02 1万+
公司项目需要访问jira平台,需要对传输数据进行转码,否则乱码导致查询出错。 一、前端代码 //获取系统和相应系统的领域负责人 function getSystem(){ $.ajax({ url : '${pageContext.request.contextPath}/IT00015Controller/doGet.action', type : 'get', async : false, data : {
【20.0】 前端基础之URL编码
Chimengmeng的博客
07-07 721
【20.0】 前端基础之URL编码 【一】URL 解码 / 编码详解 当 URL 路径或者查询参数中,带有中文或者特殊字符的时候,就需要对 URL 进行编码(采用十六进制编码格式)。URL 编码的原则是使用安全字符去表示那些不安全的字符。 安全字符,指的是没有特殊用途或者特殊意义的字符。 【二】URL基本组成 URL 是由一些简单的组件构成 比如协议、域名、端口号、路径和查询字符串等 示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值