WEB解决跨站脚本攻击过滤器

最新推荐文章于 2024-06-21 15:44:47 发布
最新推荐文章于 2024-06-21 15:44:47 发布
阅读量4.9k 收藏 1
点赞数
分类专栏: java 文章标签: XSS攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/riapgypm/article/details/53065662
版权

使用antisamy来过滤参数值,过滤到可疑的html及script标签,

过滤器XSSFilter源码如下;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
public class XSSFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response,  
            FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);  
    }  
  
    @Override  
    public void destroy() {  
    }  
  
}


import java.io.UnsupportedEncodingException;
import java.util.Iterator;
import java.util.List;
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;
public class XSSRequestWrapper extends HttpServletRequestWrapper {  
	private static Policy antiSamyPolicy;
	private static AntiSamy antiSamy;
    public XSSRequestWrapper(HttpServletRequest request) {  
        super(request);  
    }  
    @Override
	public Map<String, String[]> getParameterMap() {

		Map<String, String[]> request_map = super.getParameterMap();
		Iterator<Map.Entry<String, String[]>> iterator = request_map.entrySet().iterator();
		System.out.println("request_map" + request_map.size());
		while (iterator.hasNext()) {
			Map.Entry<String, String[]> me = (Map.Entry<String, String[]>) iterator.next();
			String[] values = (String[]) me.getValue();
			for (int i = 0; i < values.length; i++) {
				System.out.println(values[i]);
				values[i] = stripXSS(values[i]);
				System.out.println(values[i]);
			}
		}
		return request_map;
	}
	@Override  
    public String[] getParameterValues(String parameter) {  
        String[] values = super.getParameterValues(parameter);  
        if (values == null) {  
            return null;  
        }  
        int count = values.length;  
        String[] encodedValues = new String[count];  
        for (int i = 0; i < count; i++) {  
            encodedValues[i] = stripXSS(values[i]);  
        }  
  
        return encodedValues;  
    }  
  
    @Override  
    public String getParameter(String parameter) {  
        String value = super.getParameter(parameter);  
        return stripXSS(value);  
    }  
  
    @Override  
    public String getHeader(String name) {  
        String value = super.getHeader(name);  
        return stripXSS(value);  
    }  
  
    private String stripXSS(String value){  
    	//System.setProperty("org.owasp.esapi.resources", "D:/workspaceZookeeperGui/RSSgj/src");

        if (value != null) {  
			try {
				if(antiSamyPolicy==null){
					antiSamyPolicy = Policy.getInstance(XSSRequestWrapper.class.getClassLoader().getResourceAsStream("antisamy-slashdot-1.4.4.xml"));
					antiSamy= new AntiSamy();
				}
				CleanResults test = antiSamy.scan(value, antiSamyPolicy);
				List<String> errors = test.getErrorMessages();
				if(errors.size()>0){
					System.out.println(new String(errors.toString().getBytes("iso-8859-1"),"utf-8"));
					value=test.getCleanHTML();
				}
			} catch (PolicyException | ScanException | UnsupportedEncodingException e1) {
				// TODO Auto-generated catch block
				e1.printStackTrace();
			}
        }  
        return value;  
    }  
      
}

在web.xml里配置过滤器,添加如下: 

	<!-- XSS拦截 -->
	<filter>
		<filter-name>XSSFilter</filter-name>
		<filter-class>com.cn.common.filter.XSSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


参考:http://www.2cto.com/article/201410/342040.html

riapgypm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
警告:为了安全请不要随意将ASP.Net的validateRequest="false"
DanceFire的专栏
04-11 1万+
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: Server Error in /YourApplicationPath
xss跨站脚本过滤
u011697091的博客
03-05 2579
自定义XssRequestWrapper集成HttpServletRequestWrapper package com.workflow.base.filter; import org.apache.commons.lang.StringUtils; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import javax.servlet.http.HttpServletRequest; import javax.servlet.
java读取大文件报错
最新发布
weixin_43119856的博客
06-21 255
【代码】java读取大文件报错。
C#跨站脚本防注入SXX
Xiang_Jie_的博客
05-26 659
//Global.asax里面插入代码 <%@ Application Language="C#" %> <script runat="server"> void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 } void Application_End(object sender, EventArgs e) { //在应用
C#和Java跨站式脚本(Cross-Site Scripting)
Zarkjobs的博客
07-17 450
简介 XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到窃取用户信息的用户账号的目的。 步骤1. 把连接拼接成http://www.xxx.com/aaa.aspx?c=<script>alert%2811%29<%2fscript>whscheck>\ 步骤2. 访问该拼接的连接会弹出11,说明你的参数是暴露的,需要步骤
C#--正则过滤网页及数据库敏感字符——网络安全
qq_37541057的博客
10-18 1210
网站安全,网络攻击
XSS攻击过滤器
sharpcool的博客
04-15 603
XSs攻击过滤
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1716
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamy上 xss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
oracle.jbo.JboException: JBO-29000: org/owasp/validator/html/Policy
weigotopro的专栏
08-14 1643
今天遇到这个问题
AppScan扫描安全问题解决实录-跨站点脚本编制
yaovirus的专栏
05-15 1795
问题分析 未对用户可控制的输入正确进行无害化处理,就将其放置到充当 Web 页面的输出中。这可被跨站点脚本编制攻击利用。 白话解析:攻击者将脚本作为参数发送到被攻击的接口,然后接口直接返回语句到页面,那么页面就会执行攻击者的脚本。攻击者可以利用脚本获取token、cookie等信息,进而下一步攻击。 解决方案一 Apache配置解决方案: 1开放module LoadModule security2_module modules/mod_security2.so 2添加如下配置 <If
JAVA实现XML攻击——过滤恶意脚本
weixin_43303023的博客
06-21 236
package test01; import org.owasp.validator.html.AntiSamy; import org.owasp.validator.html.Policy; public class Demo1 { public static void main(String[] args) { // TODO Auto-generated method stub String temp="HelloWorld<img src='null' οnerrοr='ale
antisamy的jar包
03-21
xssFilter所需的jar包
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1247
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
appScan常见高危漏洞,走过的坑啊
weixin_43881309的博客
12-06 9626
appScan常见高危漏洞,走过的坑啊 一、SQL 盲注(SQL注入) 1、 过滤特殊字符 2、使用预编译,不要拼接sql 3、对sql执行部分异常进行捕获,不要抛出不同的异常,以免被推测有漏洞 4、可能appscan误报 误报解决: (1)、把错误的页面单独反复测试 (2)、把AppScan扫描的线程数改成1(默认10) 二、存储的跨站点脚本编制(xss漏洞) 1、对存储的内容进行xss过滤。 ...
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 9951
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
antisamy java_AntiSamy解决XSS攻击
weixin_39901332的博客
02-16 190
1、下载jar包2、下载策略文件(里面有各个版本的策略文件)3、自定义过滤器import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;im...
网络安全-跨站脚本攻击(XSS)的原理、攻击及防御
热门推荐
关注网络安全、云原生安全
08-01 4万+
所用工具 Google出品:开源Web App漏洞测试环境:Firing Range 简介 跨站脚本攻击(全称Cross Site Scripting,为和CSS(层叠样式表)区分,简称为XSS)是指恶意攻击者在Web页面中插入恶意Script代码,当用户浏览网页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 xss是攻击客户端,最终受害者是用户,网站管理员也是用户之一。 xss漏洞通常是通过php的输出函数将javascript代码输出到html页面中,通过.
防范Web应用服务器攻击:点击劫持与跨站脚本防御策略
跨站脚本(XSS)攻击是另一种常见的Web应用安全问题。攻击者利用网站的漏洞注入恶意脚本,这些脚本可以在用户的浏览器上执行,获取敏感信息。防止XSS攻击,可以使用两种HTTP响应头: 1. X-XSS-Protection:此响应头...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值