抵御即跨站脚本(XSS)攻击

最新推荐文章于 2024-05-03 20:38:51 发布
最新推荐文章于 2024-05-03 20:38:51 发布
阅读量544 收藏
点赞数 2
分类专栏: java 文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53021270/article/details/116428274
版权

1、问题描述

什么是XSS?

  • 通过网页代码的漏洞,注入恶意指令到网页,当用户加载并执行攻击者恶意制造的网络程序,通常是javaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML
  • 攻击者可以通过这种方式获取到一些私密权限,token,cookie等重要信息,冒充客户登录
  • 例如用户在发帖或者注册的时候,在文本框中输入 ,这段代码 如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到 页面上,那么

如何让避免这种XSS攻击
对用户输入信息进行转义(Hutool工具包为我们提供了HtmlUtil可以解决此类问题)

2、代码

问题?

  • 如何去转义用户输入信息
    • 过滤器,可以继承于HttpServletRequest的接口
      • 但是由于这个接口定义的方法太多,一一实现比较麻烦,因此我们有更好的选择
  • 更好的选择
    • 自定义请求类的方式
      • 继承HttpServletRequestWrapper父类

JavaEE规范还定义 了 HttpServletRequestWrapper ,这个类是请求类的包装类,用上了装饰器模式。不得不说这里 用到的设计模式真的非常棒,无论各家应用服务器厂商怎么去实现 HttpServletRequest 接口, 用户想要自定义请求,只需要继承 HttpServletRequestWrapper ,对应覆盖某个方法即可,然后 把请求传入请求包装类,装饰器模式就会替代请求对象中对应的某个方法。用户的代码和服务器 厂商的代码完全解耦,我们不用关心 HttpServletRequest 接口是怎么实现的,借助于包装类我 们可以随意修改请求中的方法。

上代码

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


    public XssHttpServletRequestWrapper(HttpServletRequest request) {
       super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(ArrayUtil.isNotEmpty(values)){
            for (int i = 0; i < values.length; i++) {
                String value =values[i];
                if(!StrUtil.hasEmpty(values[i])){
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {

        Map<String, String[]> parameterMap = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap<>();
        if(CollUtil.isNotEmpty(parameterMap)){
            for (String key: parameterMap.keySet()) {
                String[] values = parameterMap.get(key);
                    if(ArrayUtil.isNotEmpty(values)){
                        for (int i = 0; i < values.length; i++) {
                            String value =values[i];
                            if(!StrUtil.hasEmpty(values[i])){
                                value = HtmlUtil.filter(value);
                            }
                            values[i] = value;
                        }
                    }
                    map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String header = super.getHeader(name);
        if(StrUtil.isNotBlank(header)){
           header = HtmlUtil.filter(header);
        }
        return header;
    }
      @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap(map.size());
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(val.toString()));
            } else {
                resultMap.put(key, val);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }
        };
    }
}

自定义过滤器

为了让刚刚定义的包装类生效,我们还要在 com.example.emos.wx.config.xss 中创建 XssFilter 过滤器。过滤器拦截所有请求,然后把请求传入包装类,这样包装类就能覆盖所有请 求的参数方法,用户从请求中获得数据,全都经过转义。

@WebFilter(urlPatterns = "/*")  //过滤所有请求路径
public class XssFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {
        XssHttpServletRequestWrapper servletRequestWrapper = new XssHttpServletRequestWrapper(
            (HttpServletRequest) servletRequest);
        filterChain.doFilter(servletRequestWrapper,servletResponse);

    }

    @Override
    public void destroy() {

    }
}

给主启动类添加@ServletComponentScan注解

img

一菜一汤
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
抵御脚本(XSS)攻击
Baridhu的博客
10-18 716
作为Web网来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网植入JS代码。比如说普通网的用户注册、论坛网的发帖和回帖,以及电商网的商品评价等等,那我们如何去防止这种事发生呢?看看这篇文章
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss攻击客户端,最终受害者是用户,网管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 7902
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
2024年网络安全最全网络安全-跨站脚本攻击(XSS)的原理、攻击及防御_xsstrike原理
最新发布
2401_84252820的博客
05-03 734
跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意javascript代码(也可能包含html代码),当用户浏览网页之时,嵌入其中Web里面的javascript代码会被执行,从而达到恶意攻击用户的目的。XSS攻击客户端,最终受害者是用户,当然,网管理员也是用户之一。XSS漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过用户本地浏览器执行的,所以xss漏洞关键就是。
XSS攻击详解
xllllll___的博客
02-17 1374
1.盗用cookie,获取用户的敏感信息;2.利用iframe,frame等方式,以用户的身份执行一些管理动作,或者执行一些一般的行为比如说发私信,加好友等;3.在一些访问量极大的页面上进行XSS攻击可以攻击一些小型网;4.利用一些可被攻击的域或者其它的域信任的特点,以受信任来源的身份请求一些平时不被允许的操作。
全网最详细 XSS 跨站脚本攻击,不是过来打死我!!
liuhyusb的博客
06-21 2225
​。
XSS跨站脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
2-7 抵御脚本XSS攻击 - EMOS小程序1
08-04
一、XSS攻击的危害 二、导入依赖库 三、定义请求包装类
18.XSS跨站脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其中大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于...
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 8867
跨站脚本攻击漏洞-基础篇
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 2913
xss攻击脚本的简写。xss攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
跨站脚本攻击XSS(最全最细致的靶场实战)
m0_51468027的博客
01-31 2万+
一、XSS漏洞 (1)XSS简介   网中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1199
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
XSS(跨站脚本攻击)详解
hello
07-02 3758
XSS简述-XSS类型-XSS常用标签
怎么防止跨站脚本攻击XSS)?
Learn-anything.cn
11-24 3337
一、XSS 是什么? 跨站脚本攻击(Cross-site scripting,XSS)是攻击者向网注入恶意脚本,等待用户访问网并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的: 盗用cookie,获取敏感信息。 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
Hutool-贼好用的Java工具类库
很多时候犯错都是在不知情的情况下发生的
06-30 4456
简介 Hutool是Hu + tool的自造词,前者致敬我的“前任公司”,后者为工具之意,谐音“糊涂”,寓意追求“万事都作糊涂观,无所谓失,无所谓得”的境界。 Hutool是一个Java工具包,也只是一个工具包,它帮助我们简化每一行代码,减少每一个方法,让Java语言也可以“甜甜的”。Hutool最初是我项目中“util”包的一个整理,后来慢慢积累并加入更多非业务相关功能,并广泛学习其它开源项目...
Spring boot 过滤器实现防XSS攻击
李先生的博客
03-18 1328
文章目录背景参考资料上代码过滤器配置可配置不过滤地址主要过滤器代码xss具体过滤规则注意扫描该包(或者加starter也行)关于富文本框gitee代码仓库 背景 框架中添加xss攻击过滤器类,防止脚本攻击,能够做到引入包即可使用。 参考资料 这里主要参考renren-fast官方提供的开源项目的xss攻击进行改造。 参考io/renren/common/xss包下面类 三方包 hutool-http,参考博客api里面提供了xss所需的标签替换等功能 上代码 过滤器配置 /** * Filter配置
简述跨站脚本攻击XSS的工作原理
05-10
跨站脚本攻击XSS)是一种利用Web应用程序中的漏洞,将恶意脚本注入到受害者浏览器中的攻击方式。攻击者通过在目标网中注入恶意脚本,使得用户在浏览网时执行该脚本,从而达到攻击目的。 XSS攻击的工作原理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值