XSS攻击

互联网安全 专栏收录该内容
6 篇文章 0 订阅

什么是 XSS 攻击手段

XSS 攻击 使用的是 JavaScript 脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。

XSS 攻击原理

使用 JS 脚本语言,因为浏览器模特让你支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览器直接执行

XSS 攻击防御手段

像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很可能受到 XSS 攻击
用户如果提交 < 转换成 &lt;

如何防御XSS攻击

将脚本特殊字符,转换成html源代码进行展示。
步骤:

  1. 编写过滤器拦截所有 getParamter 参数,重写 HttpServletWrapper 方法
  2. 将参数特殊字符转换成 html 原代码保存

重写HttpServletRequestWrapper 防止XSS攻击

// 重写HttpServletRequestWrapper 防止XSS攻击
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	private HttpServletRequest request;

	/**
	 * @param request
	 */
	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	@Override
	public String getParameter(String name) {
		// 过滤getParameter参数 检查是否有特殊字符
		String value = super.getParameter(name);
		System.out.println("value:" + value);
		if (!StringUtils.isEmpty(value)) {
			// 将中文转换为字符编码格式,将特殊字符变为html源代码保存
			value = StringEscapeUtils.escapeHtml(value);
			System.out.println("newValue:" + value);
		}
		return value;
	}

}

SpringBoot启动加上@ServletComponentScan

@MapperScan(basePackages = { "com.xiaoming.mapper" })
@SpringBootApplication
@ServletComponentScan
public class App {

	public static void main(String[] args) {
		SpringApplication.run(App.class, args);
	}

}

过滤器XssFilter

@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //程序防止XSS攻击原理
        //1.使用过滤器拦截所有参数
        HttpServletRequest req = (HttpServletRequest) servletRequest;
        //2.重写 getParamter 方法   HttpServletRequestWrapper
        //3.使用 StringEscapeUtils.escapeHtml() 转换特殊参数
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(req);
        //放行程序,继续往下执行
        filterChain.doFilter(wrapper, servletResponse);

    }

    @Override
    public void destroy() {

    }
}
  • 2
    点赞
  • 0
    评论
  • 8
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 像素格子 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值