java 防止JS注入(使用ESAPI进行编码)

最新推荐文章于 2024-07-05 19:37:58 发布
最新推荐文章于 2024-07-05 19:37:58 发布
阅读量5.3k 收藏 9
点赞数 2
分类专栏: java 文章标签: java 防止js注入 js注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35623773/article/details/100126740
版权

今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描,
扫描工具使用的是Fortify

关于ESAPI的介绍可查看:
https://blog.csdn.net/qq_35623773/article/details/100126615

安全工具推荐使用ESAPI.encoder().encodeForHTML来对html字符串进行编码,那我们就来开始尝试吧。
1. 引入esapi依赖

<!-- https://mvnrepository.com/artifact/org.owasp.esapi/esapi -->
<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.2.0.0</version>
</dependency>
<!--   必须引入log4j依赖,不然初始化 esapi时会报错    -->
<dependency>
    <groupId>log4j</groupId>
    <artifactId>log4j</artifactId>
    <version>1.2.17</version>
</dependency>

2. 引入esapi配置文件
配置文件可从github上获取 https://github.com/ESAPI/esapi-java-legacy
找到对应版本的分支,以zip形式下载源码到本地,解压
找到以下俩个文件复制到项目的resource目录下,具体配置可查看配置文件的注释
在这里插入图片描述
这俩个文件在源码中路径: esapi-java-legacy-2.2.0.0\configuration\esapi

3. 编写代码

如果我们返回的字符串是一段html,但只解析js,可以参考以下方式:

@GetMapping("/hi")
public String hi() {
    StringBuilder sb = new StringBuilder();
    sb.append("<div style=\"color:red;\">aaaaa</div>")
      .append(ESAPI.encoder().encodeForHTML("<script>alert(1)</script>"));
    
    //String jsCode = "<div style=\"color:red;\">aaaaa</div><script>alert(1)</script>";
    //String jsEncoder = ESAPI.encoder().encodeForHTML(jsCode);
    return sb.toString();
}

页面展示效果:
在这里插入图片描述
中间的js代码就会以文本的形式展示。

4. encodeForHTML()源码解析:
在这里插入图片描述
该方法执行最终会根据unicode编码从map对象中获取对应的替代字符来替换js中的特定字符。
该map中包含以下数据:

private static synchronized Map<Integer, String>
mkCharacterToEntityMap() {
Map<Integer, String> map = new HashMap(252);
map.put(34, “quot”);
map.put(38, “amp”);
map.put(60, “lt”);
map.put(62, “gt”);
map.put(160, “nbsp”);
map.put(161, “iexcl”);
map.put(162, “cent”);
map.put(163, “pound”);
map.put(164, “curren”);
map.put(165, “yen”);
map.put(166, “brvbar”);
map.put(167, “sect”);
map.put(168, “uml”);
map.put(169, “copy”);
map.put(170, “ordf”);
map.put(171, “laquo”);
map.put(172, “not”);
map.put(173, “shy”);
map.put(174, “reg”);
map.put(175, “macr”);
map.put(176, “deg”);
map.put(177, “plusmn”);
map.put(178, “sup2”);
map.put(179, “sup3”);
map.put(180, “acute”);
map.put(181, “micro”);
map.put(182, “para”);
map.put(183, “middot”);
map.put(184, “cedil”);
map.put(185, “sup1”);
map.put(186, “ordm”);
map.put(187, “raquo”);
map.put(188, “frac14”);
map.put(189, “frac12”);
map.put(190, “frac34”);
map.put(191, “iquest”);
map.put(192, “Agrave”);
map.put(193, “Aacute”);
map.put(194, “Acirc”);
map.put(195, “Atilde”);
map.put(196, “Auml”);
map.put(197, “Aring”);
map.put(198, “AElig”);
map.put(199, “Ccedil”);
map.put(200, “Egrave”);
map.put(201, “Eacute”);
map.put(202, “Ecirc”);
map.put(203, “Euml”);
map.put(204, “Igrave”);
map.put(205, “Iacute”);
map.put(206, “Icirc”);
map.put(207, “Iuml”);
map.put(208, “ETH”);
map.put(209, “Ntilde”);
map.put(210, “Ograve”);
map.put(211, “Oacute”);
map.put(212, “Ocirc”);
map.put(213, “Otilde”);
map.put(214, “Ouml”);
map.put(215, “times”);
map.put(216, “Oslash”);
map.put(217, “Ugrave”);
map.put(218, “Uacute”);
map.put(219, “Ucirc”);
map.put(220, “Uuml”);
map.put(221, “Yacute”);
map.put(222, “THORN”);
map.put(223, “szlig”);
map.put(224, “agrave”);
map.put(225, “aacute”);
map.put(226, “acirc”);
map.put(227, “atilde”);
map.put(228, “auml”);
map.put(229, “aring”);
map.put(230, “aelig”);
map.put(231, “ccedil”);
map.put(232, “egrave”);
map.put(233, “eacute”);
map.put(234, “ecirc”);
map.put(235, “euml”);
map.put(236, “igrave”);
map.put(237, “iacute”);
map.put(238, “icirc”);
map.put(239, “iuml”);
map.put(240, “eth”);
map.put(241, “ntilde”);
map.put(242, “ograve”);
map.put(243, “oacute”);
map.put(244, “ocirc”);
map.put(245, “otilde”);
map.put(246, “ouml”);
map.put(247, “divide”);
map.put(248, “oslash”);
map.put(249, “ugrave”);
map.put(250, “uacute”);
map.put(251, “ucirc”);
map.put(252, “uuml”);
map.put(253, “yacute”);
map.put(254, “thorn”);
map.put(255, “yuml”);
map.put(338, “OElig”);
map.put(339, “oelig”);
map.put(352, “Scaron”);
map.put(353, “scaron”);
map.put(376, “Yuml”);
map.put(402, “fnof”);
map.put(710, “circ”);
map.put(732, “tilde”);
map.put(913, “Alpha”);
map.put(914, “Beta”);
map.put(915, “Gamma”);
map.put(916, “Delta”);
map.put(917, “Epsilon”);
map.put(918, “Zeta”);
map.put(919, “Eta”);
map.put(920, “Theta”);
map.put(921, “Iota”);
map.put(922, “Kappa”);
map.put(923, “Lambda”);
map.put(924, “Mu”);
map.put(925, “Nu”);
map.put(926, “Xi”);
map.put(927, “Omicron”);
map.put(928, “Pi”);
map.put(929, “Rho”);
map.put(931, “Sigma”);
map.put(932, “Tau”);
map.put(933, “Upsilon”);
map.put(934, “Phi”);
map.put(935, “Chi”);
map.put(936, “Psi”);
map.put(937, “Omega”);
map.put(945, “alpha”);
map.put(946, “beta”);
map.put(947, “gamma”);
map.put(948, “delta”);
map.put(949, “epsilon”);
map.put(950, “zeta”);
map.put(951, “eta”);
map.put(952, “theta”);
map.put(953, “iota”);
map.put(954, “kappa”);
map.put(955, “lambda”);
map.put(956, “mu”);
map.put(957, “nu”);
map.put(958, “xi”);
map.put(959, “omicron”);
map.put(960, “pi”);
map.put(961, “rho”);
map.put(962, “sigmaf”);
map.put(963, “sigma”);
map.put(964, “tau”);
map.put(965, “upsilon”);
map.put(966, “phi”);
map.put(967, “chi”);
map.put(968, “psi”);
map.put(969, “omega”);
map.put(977, “thetasym”);
map.put(978, “upsih”);
map.put(982, “piv”);
map.put(8194, “ensp”);
map.put(8195, “emsp”);
map.put(8201, “thinsp”);
map.put(8204, “zwnj”);
map.put(8205, “zwj”);
map.put(8206, “lrm”);
map.put(8207, “rlm”);
map.put(8211, “ndash”);
map.put(8212, “mdash”);
map.put(8216, “lsquo”);
map.put(8217, “rsquo”);
map.put(8218, “sbquo”);
map.put(8220, “ldquo”);
map.put(8221, “rdquo”);
map.put(8222, “bdquo”);
map.put(8224, “dagger”);
map.put(8225, “Dagger”);
map.put(8226, “bull”);
map.put(8230, “hellip”);
map.put(8240, “permil”);
map.put(8242, “prime”);
map.put(8243, “Prime”);
map.put(8249, “lsaquo”);
map.put(8250, “rsaquo”);
map.put(8254, “oline”);
map.put(8260, “frasl”);
map.put(8364, “euro”);
map.put(8465, “image”);
map.put(8472, “weierp”);
map.put(8476, “real”);
map.put(8482, “trade”);
map.put(8501, “alefsym”);
map.put(8592, “larr”);
map.put(8593, “uarr”);
map.put(8594, “rarr”);
map.put(8595, “darr”);
map.put(8596, “harr”);
map.put(8629, “crarr”);
map.put(8656, “lArr”);
map.put(8657, “uArr”);
map.put(8658, “rArr”);
map.put(8659, “dArr”);
map.put(8660, “hArr”);
map.put(8704, “forall”);
map.put(8706, “part”);
map.put(8707, “exist”);
map.put(8709, “empty”);
map.put(8711, “nabla”);
map.put(8712, “isin”);
map.put(8713, “notin”);
map.put(8715, “ni”);
map.put(8719, “prod”);
map.put(8721, “sum”);
map.put(8722, “minus”);
map.put(8727, “lowast”);
map.put(8730, “radic”);
map.put(8733, “prop”);
map.put(8734, “infin”);
map.put(8736, “ang”);
map.put(8743, “and”);
map.put(8744, “or”);
map.put(8745, “cap”);
map.put(8746, “cup”);
map.put(8747, “int”);
map.put(8756, “there4”);
map.put(8764, “sim”);
map.put(8773, “cong”);
map.put(8776, “asymp”);
map.put(8800, “ne”);
map.put(8801, “equiv”);
map.put(8804, “le”);
map.put(8805, “ge”);
map.put(8834, “sub”);
map.put(8835, “sup”);
map.put(8836, “nsub”);
map.put(8838, “sube”);
map.put(8839, “supe”);
map.put(8853, “oplus”);
map.put(8855, “otimes”);
map.put(8869, “perp”);
map.put(8901, “sdot”);
map.put(8968, “lceil”);
map.put(8969, “rceil”);
map.put(8970, “lfloor”);
map.put(8971, “rfloor”);
map.put(9001, “lang”);
map.put(9002, “rang”);
map.put(9674, “loz”);
map.put(9824, “spades”);
map.put(9827, “clubs”);
map.put(9829, “hearts”);
map.put(9830, “diams”);
return Collections.unmodifiableMap(map);
}

今天暂时就到这里了,后续有问题再继续更新

大碍桃花开
关注
专栏目录
java 防止js注入_java 防止JS注入使用ESAPI进行编码
weixin_42312133的博客
02-16 1607
今天在做报表导入的时候遇到测试在excel数据里面填了一段js代码,导致数据回显到页面的时候弹一个框出来,这个框我想大家都懂了,又恰好逢项目在做代码安全扫描,扫描工具使用的是Fortify安全工具推荐使用ESAPI.encoder().encodeForHTML来对html字符串进行编码,那我们就来开始尝试吧。1. 引入esapi依赖org.owasp.esapiesapi2.2.0.0log4j...
JAVA防止XSS注入,附jar包
05-19
防止xss注入,有antlr-runtime和xssProtect两个jar包,及相关的filter过滤器。
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 4069
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
ESAPI自定义配置文件路径
最新发布
青春不打烊的博客
07-05 1531
文章目录 前言一、pom依赖 <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.3.0</version> <!-- 如果项目中没有引入其他日志框架,可以不排除 -->
ESAPI安全编码工具源码包
12-30
由owasp开发的基于java实现的安全工具开发包, 包含认证,授权,加密,参数校验都工具
java 防止js注入----ESAPI结合Top10安全开发实战
大碍桃花开
08-28 4348
ESAPI(Enterprise Security API)是一个免费开源的Web应用程序API,目的帮助开发者开发出更加安全的代码,并且它本身就很方便调用。 根据下面的图,我将会介绍OWASP上10种类型的漏洞所对应的API使用方法,大概有十多个接口。 相关API介绍可以查看官方文档:https://www.javadoc.io/doc/org.owasp.esapi/esapi/2.1.0 ...
Java如何防止JS脚本注入代码实例
10-14
主要介绍了Java如何防止JS脚本注入代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
owasp-esapi-js:最初是从code.google.compowasp-esapi-js导出的UNMAINTAINTED项目。 该项目已弃用。 有关更多详细信息和可能的替代方法,请参见README.md。
05-02
弃用-OWASP JavaScript企业安全性API(ESAPI-JS) 该文件是开放Web应用程序安全性项目(OWASP)企业安全性API(ESAPI)项目的一部分。 有关详细信息,请参阅 。 版权所有(c)2008-OWASP基金会 ESAPI由OWASP根据BSD许可发布。 在使用,修改和/或重新分发此软件之前,您应该阅读并接受许可。 警告:此项目已弃用且未维护。 使用风险自负。 不再支持该项目。 已知它可能会受到“攻击者”漏洞的影响(特别是CVE-2019-5484)。 可以通过将ESAPI-JS升级为使用Bower 1.8.8或更高版本来解决此漏洞,但是已经尝试过此漏洞,并在使用NPM时导致部署问题。 有关详细信息,请参见随后的讨论。 ESAPI-JS的潜在替代品(又名ESAPI4JS) -ESAPI-JS输出编码器的最小端口,它不依赖于Bower,截至撰写本文时(2
esapi4js-0.1.2.zip下载包
05-07
前端防止XSS攻击的安全包,esapi4js适合用在前端,使用前请先阅读readme
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器不会将其解析为可执行的HTMLJavaScript代码。 接下来,我们将讨论如何在SpringBoot项目中集成ES...
esapi-2.1.0.1.zip(esapi-2.1.0.1.jar)
12-24
1. 输入验证:ESAPI提供了强大的输入验证机制,防止如SQL注入、跨站脚本(XSS)、命令注入等攻击。它支持自定义规则,可以对用户输入进行严格的检查,确保数据的合法性。 2. 编码:在处理用户输入时,ESAPI提供了...
egg-esapi:用于egg.js的ESAPI(企业安全API)插件
02-12
鸡蛋 用于的ESAPI(企业安全API)插件 安装 $ npm i egg-esapi --save 用法 // {app_root}/config/plugin.js exports . esapi = { enable : true , package : 'egg-esapi' , } ; 例 this . app . esapi . encodeForHTML ( HTML ) ; this . app . esapi . encodeForCSS ( CSS ) ; this . app . esapi . encodeForJavaScript ( JavaScript ) ; this . app . esapi . encodeForURL ( URL ) ; this . app . esapi . encodeForHTMLAttribute ( HTMLAt
esapi for javascript-0.1.3
08-03
详尽的esapi资源,esapi,js,esapi for javascript
java 防止Xss、SQL注入攻击
热门推荐
湖人•总冠军
01-17 1万+
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去,使别的用户访问都会执行相应的嵌入代码。  1.1.XSS攻击的危害      1、盗取用户资料,比如:登录帐号、...
ESAPI
金溪的博客
01-25 3061
ESAPI是owasp提供的一套API级别的web应用解决方案。https://www.owasp.org/ 转自:https://blog.csdn.net/frog4/article/details/81876462 maven &lt;dependency&gt; &lt;groupId&gt;org.owasp.esapi&lt;/groupId&gt; &lt;a...
ESAPI处理sql注入和xss攻击
HI,我是小瑞!
11-10 1万+
使用ESAPI防止XSS的做法: String safe = ESAPI.encoder().encodeForHTML( request.getParameter( "input" ) ); 对用户输入“input”进行HTML编码防止XSS。   使用ESAPI防止ORACLE数据库SQL注入的做法:   String sqlStr=“select name f
探索ESAPI Java Legacy项目:安全编码的新里程碑
gitblog_00024的博客
04-16 380
探索ESAPI Java Legacy项目:安全编码的新里程碑 项目地址:https://gitcode.com/ESAPI/esapi-java-legacy 在Web开发的世界里,安全始终是不可忽视的重要一环。ESAPI (Enterprise Security API) 是一个用于防止常见Web应用程序安全漏洞的强大工具,其Java Legacy版本提供了丰富的功能和便利,以增强您的应用安...
【ESAPI】WEB安全ESAPI使用
后端研发工程师Marion的博客
03-30 4495
ESAPI可以使用构建工具如Maven和Gradle进行安装,也可以手动下载jar包后导入到项目中。ESAPI的配置文件需要在classpath中或指定的位置中定义路径。同时,如果您需要记录日志,您还需要定义日志记录器和日志格式。ESAPI提供了多种输入验证API,提供对XSS攻击和SQL注入攻击等的防护。这将验证输入是否有效。它通过检查输入的长度和字符集来防止XSS攻击和SQL注入攻击。ESAPI提供了多种加密API,可以用于密码和数据的加密。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值