java web之xss漏洞修复

最新推荐文章于 2024-05-28 09:31:38 发布
最新推荐文章于 2024-05-28 09:31:38 发布
阅读量2.3k 收藏 6
点赞数
文章标签: xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35376719/article/details/101702833
版权

java web之xss漏洞修复

一、XSS问题描述

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

二、XSS 注入方法

在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
在标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签。
在标签的 href、src 等属性中,包含 javascript: 等可执行代码。
在 onload、onerror、onclick 等事件中,注入不受控制代码。
在 style 属性和标签中,包含类似 background-image:url(“javascript:…”); 的代码(新版本浏览器已经可以防范)。
在 style 属性和标签中,包含类似 expression(…) 的 CSS 表达式代码(新版本浏览器已经可以防范)。

三、XSS 防御

3.1 在maven的pom.xml中引入代码

<dependency>
              <groupId>com.navercorp.lucy</groupId>
              <artifactId>lucy-xss-servlet</artifactId>
              <version>2.0.0</version>
</dependency>

或者WEB-INF目录下添加lucy-xss-servlet-2.0.0.jar和lucy-xss-1.6.3.jar,如有需要点击下载链接下载

3.2 在类路径下添加文件 lucy-xss-servlet-filter-rule.xml 。

<?xml version="1.0" encoding="UTF-8"?>
<config  xmlns="http://www.navercorp.com/lucy-xss-servlet">
<defenders>
<!-- XssPreventer 등록 -->
<defender>
<name>xssPreventerDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssPreventerDefender</class>
</defender>
<!-- XssSaxFilter 등록 -->
<defender>
<name>xssSaxFilterDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssSaxFilterDefender</class>
<init-param>
<param-value>lucy-xss-sax.xml</param-value> <!--  lucy-xss-filter의 sax용 설정파일 -->
<param-value>false</param-value> <!-- 필터링된 코멘트를  남길지 여부, 성능 효율상 false 추천 -->
</init-param>
</defender>
<!-- XssFilter 등록 -->
<defender>
<name>xssFilterDefender</name>
<class>com.navercorp.lucy.security.xss.servletfilter.defender.XssFilterDefender</class>
<init-param>
<param-value>lucy-xss.xml</param-value> <!--  lucy-xss-filter의 dom용 설정파일 -->
<param-value>false</param-value> <!-- 필터링된 코멘트를  남길지 여부, 성능 효율상 false 추천 -->
</init-param>
</defender>
</defenders>
<!-- default defender 선언, 필터링 시 지정한 defender가  없으면 여기 정의된 default defender를 사용해 필터링 한다.  -->
<default>
<defender>xssPreventerDefender</defender>
</default>
<!-- global 필터링 룰 선언 -->
<global>
<!-- 모든 url에서 들어오는 globalParameter 파라메터는  필터링 되지 않으며
또한 globalPrefixParameter1로 시작하는 파라메터도 필터링  되지 않는다.
globalPrefixParameter2는 필터링 되며  globalPrefixParameter3은 필터링 되지 않지만
더 정확한 표현이 가능하므로 globalPrefixParameter2,  globalPrefixParameter3과 같은 불분명한 표현은 사용하지 않는  것이 좋다. -->
<params>
<param name="globalParameter" useDefender="false" />
<param name="globalPrefixParameter1" usePrefix="true"  useDefender="false" />
<param name="globalPrefixParameter2" usePrefix="true" />
<param name="globalPrefixParameter3" usePrefix="false"  useDefender="false" />
</params>
</global>
<!-- url 별 필터링 룰 선언 -->
<url-rule-set>
<!-- url disable이 true이면 지정한 url 내의 모든 파라메터는  필터링 되지 않는다. -->
<url-rule>
<url disable="true">/disableUrl1.do</url>
</url-rule>
<!-- url disable이 false인 설정은 기본이기 때문에  불필요하다. 아래와 같은 불필요한 설정은 하지 않는다.-->
<url-rule>
<url disable="false">/disableUrl2.do</url>
</url-rule>
<!-- url disable이 true이면 지정한 url 내의 모든 파라메터가  필터링 되지 않기 때문에 <params> 로 선언한 설정은 적용되지  않는다.
아래와 같은 불필요한 설정은 하지 않는다. -->
<url-rule>
<url disable="true">/disableUrl3.do</url>
<params>
<param name="query" useDefender="false" />
<param name="prefix1" usePrefix="true" />
<param name="prefix2" usePrefix="false"  useDefender="false" />
<param name="prefix3" usePrefix="true" useDefender="true"  />
<param name="prefix4" usePrefix="true"  useDefender="false" />
<param name="prefix5" usePrefix="false"  useDefender="true" />
</params>
</url-rule>
<!-- url disable이 false인 설정은 기본이기 때문에  불필요하다. <params> 선언한 설정은 적용이 된다.-->
<url-rule>
<url disable="false">/disableUrl4.do</url>
<params>
<!-- disableUrl4.do 의 query 파라메터와 prefix4로 시작하는  파라메터들은 필터링 되지 않는다.
usePrefix가 false, useDefender가 true인 설정은 기본이기  때문에 불필요하다. -->
<param name="query" useDefender="false" />
<param name="prefix1" usePrefix="true" />
<param name="prefix2" usePrefix="false"  useDefender="false" />
<param name="prefix3" usePrefix="true" useDefender="true"  />
<param name="prefix4" usePrefix="true"  useDefender="false" />
<param name="prefix5" usePrefix="false"  useDefender="true" />
<param name="prefix6" usePrefix="true">
<defender>xssSaxFilterDefender</defender>
</param>
</params>
</url-rule>
<!-- url1 내의 url1Parameter는 필터링 되지 않으며 또한  url1PrefixParameter로 시작하는 파라메터도 필터링 되지  않는다. globalParameter는
상위 글로벌 global 설정에 동일한 이름으로 되어있지만  url-rule 설정을 더 우선하여 따른다. -->
<url-rule>
<url>/url1.do</url>
<params>
<param name="url1Parameter" useDefender="false" />
<param name="url1PrefixParameter" usePrefix="true"  useDefender="false" />
<param name="globalParameter"/>
</params>
</url-rule>
<!-- url2 내의 url2Parameter1만 필터링 되지 않으며  url2Parameter2는 xssSaxFilterDefender를 사용해 필터링 한다. -->
<url-rule>
<url>/url2.do</url>
<params>
<param name="url2Parameter1" useDefender="false">
<defender>xssPreventerDefender</defender>
</param>
<param name="url2Parameter2">
<defender>xssSaxFilterDefender</defender>
</param>
<param name="url2Parameter3">
<defender>xssPreventerDefender</defender>
</param>
</params>
</url-rule>
</url-rule-set>
</config>

4、在web.xml中添加以下代码。

<!-- XSS过滤器 -->
 <filter>
      <filter-name>xssEscapeServletFilter</filter-name>
      <filter-class>com.navercorp.lucy.security.xss.servletfilter.XssEscapeServletFilter</filter-class>
 </filter>
 <filter-mapping>
      <filter-name>xssEscapeServletFilter</filter-name>
      <url-pattern>/*</url-pattern>
 </filter-mapping>

5、重启项目,使用绿盟软件软件扫描,问题解决

要和太阳肩并肩
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
lucy-xss-filter
04-30
Lucy-XSSXssFilter,XssPreventer Lucy-XSS是一个包含两个防御模块的开源库,用于保护Web应用程序免受XSS攻击。 它支持基于白名单规则的安全策略。 当前的默认规则是Naver的标准。 您可以根据需要更改默认规则。 XssFilter 基于Java的库,支持设置白名单以保护Web应用程序的方法。 如果将过滤器与白名单方法一起使用,它将为XSS攻击的网站提供比使用黑名单方法的现有过滤器更严格的安全措施。 同时支持DOM和SAX解析器。 XssPreventer 使用apache-common-lang3库防止XSS攻击。 只需按如下所示转换所有输入字符串,即可在网络浏览器中将其识别为HTML标记。 < → < > → > " → " ' → ' XssFilter与VS XssPreventer 除HTM
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
Lucy-Xss-Servlet-Filter:让XSS防御变得更简单
最新发布
gitblog_00027的博客
05-28 372
Lucy-Xss-Servlet-Filter:让XSS防御变得更简单 项目地址:https://gitcode.com/naver/lucy-xss-servlet-filter 项目介绍 在Web开发中,XSS(跨站脚本)攻击是一种常见的安全威胁,它令开发者头痛不已。Lucy-Xss-Servlet-Filter就是为了解决这一问题而诞生的开源项目。它是一个基于Java Servlet Fil...
java xss漏洞修复_全局存储型XSS漏洞修复
weixin_39916520的博客
02-24 2064
什么是XSS?人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而...
JAVA解决XSS漏洞
qq_29206607的博客
09-18 2529
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
XSS攻击漏洞修复 java
一直梦见飞的路人涛
12-20 881
&lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.hzlh.filter.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-mapping&gt; &lt;filter-name&gt;XssSqlFilt
Java后台解决request请求体不能重复读取+解决XSS漏洞问题
BHSZZY的博客
08-24 1968
本文使用了3个java类,原理是使用过滤器,封装一个自定义的HttpServletRequest对象,重写其中的、等方法,替换掉非法字符\等,使得从request中获得的key-value类型参数、header参数、请求体(包含json)参数是合法字符,以防止XSS漏洞;同时增加了request请求体可以重复读取的功能。
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨...它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。
java 预防XSS攻击
08-23
- 定期进行安全审计和渗透测试,发现并修复潜在的XSS漏洞。 - 部署日志监控系统,及时发现异常请求和行为。 通过以上这些策略,可以显著降低Java应用程序遭受XSS攻击的风险。然而,安全防护是一个持续的过程,...
java防止xss注入
07-15
2. **代码审查**:定期进行代码审查,查找并修复潜在的XSS漏洞。 3. **持续教育**:定期对开发人员进行安全培训,提高安全意识。 4. **使用自动化安全工具**:如OWASP ZAP、Burp Suite等,进行安全扫描和渗透测试...
JSP使用过滤器防止Xss漏洞
01-08
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等...
xss漏洞jar.rar
09-29
跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cookie信息。 或者当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。 可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 9309
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
XSS漏洞定位和修复方法——htmlspecialchars() 函数
12-01 2229
安全测试】XSS漏洞定位和修复方法——htmlspecialchars() 函数 上一篇 / 下一篇  2011-08-25 18:49:11 / 个人分类:安全测试 测试的XXX的版本中,扫描器扫描出一个中威胁的XSS漏洞,对BUG定位和解决消耗了一定的时间,在咨询过安全测试组的同学后,终于弄清楚了解决的方法,现在根据结果倒推回来,有利于指导测试和帮助开同学定位类似的问题,所
xss漏洞】存储型XSS漏洞修复
weixin_43526443的博客
05-03 5701
一、简单的测试 输入框输入<script>alert(document.cookie)</script> 得到结果,存在较为严重的存储型XSS漏洞 二、代码分析      2.1 输入处理代码分析 $message=escape($link, $message); $query="insert into messa...
Java 中处理跨站点脚本 (XSS)
allway2的博客
07-24 1357
跨站脚本(XSS)是Web应用程序中的一种安全漏洞,攻击者通过某种用户输入(如输入框、URL参数、HTML标头等)注入恶意脚本。Web应用程序信息的机密性、完整性和可用性。来自用户请求的恶意内容显示给用户,或者在服务器响应后写入页面。例如,在下一个屏幕截图中,信用卡号字段很容易受到攻击。例如,在下一个屏幕截图中,您可以看到添加了一个脚本作为注释。加载页面时,脚本将作为代码的一部分执行并打印。...
web漏洞 XSS
煮酒闲谈
10-18 849
形成原理xss 中文名是“跨站脚本攻击”,英文名“Cross Site Scripting”。 xss也是一种注入攻击,当web应用对用户输入过滤不严格,攻击者写入恶意的脚本代码(HTML、JavaScript)到网页中时,如果用户访问了含有恶意代码的页面,恶意脚本就会被浏览器解析执行导致用户被攻击。 常见的危害有 cookie窃取,session劫持,钓鱼攻击,蠕虫,ddos等。 xss
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5296
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
JAVA Web应用常见漏洞修复建议
12-09
"JAVA Web应用常见漏洞修复建议" 在JAVA Web应用开发中,安全问题至关重要,因为不安全的代码可能会导致数据泄露、系统瘫痪甚至法律风险。本资源主要探讨了几个常见的安全漏洞,包括跨站脚本(XSS)攻击,特别是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值