XSS跨站脚本攻击解决办法

最新推荐文章于 2023-11-16 16:01:06 发布
最新推荐文章于 2023-11-16 16:01:06 发布
阅读量923 收藏
点赞数
分类专栏: JAVAWEB JAVA 文章标签: javaweb xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surpassone/article/details/48447517
版权

跨站脚本攻击

首先先知道什么是跨站脚本攻击。
跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。
详解可以参考文档:

http://www.rising.com.cn/newsletter/news/2012-04-25/11387.html

解决办法:
一般解决办法是通过filter过滤器过滤所有的请求(包括url和表单提交的参数)。

  • 先定义一个过滤器
ackage com.jst.sys.filter;

import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.log4j.Logger;

/**
 * 非法字符过滤器
 * 1.所有非法字符配置在web.xml中,如需添加新字符,请自行配置
 * 2.请注意请求与相应时的编码格式设置,否则遇到中文时,会出现乱码(GBK与其子集应该没问题)
 * @author lee
 *
 */
public class CharFilter implements Filter {
    private Logger log = Logger.getLogger(CharFilter.class);
    private String encoding;
    private String[] legalNames;
    private String[] illegalChars;

    public void init(FilterConfig filterConfig) throws ServletException {
        encoding = filterConfig.getInitParameter("encoding");
        legalNames = filterConfig.getInitParameter("legalNames").split(",");
        illegalChars = filterConfig.getInitParameter("illegalChars").split(",");
    }

    public void destroy() {
        encoding = null;
        legalNames = null;
        illegalChars = null;
    }


    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest)request;
        HttpServletResponse res = (HttpServletResponse) response;

        //必须手动指定编码格式
        req.setCharacterEncoding(encoding);
        String tempURL = req.getRequestURI(); 
        log.info(tempURL);
        Enumeration params = req.getParameterNames();

        //是否执行过滤  true:执行过滤  false:不执行过滤
        boolean executable = true;

        //非法状态  true:非法  false;不非法
        boolean illegalStatus = false;
        String illegalChar = "";
        //对参数名与参数进行判断
        w:while(params.hasMoreElements()){

            String paramName = (String) params.nextElement();

            executable = true;

            //密码不过滤
            if(paramName.toLowerCase().contains("password")){
                executable = false;
            }else{
                //检查提交参数的名字,是否合法,即不过滤其提交的值
                f:for(int i=0;i<legalNames.length;i++){
                    if(legalNames[i].equals(paramName)){
                        executable = false;
                        break f;
                    }
                }
            }

            if(executable){
                String[] paramValues = req.getParameterValues(paramName);

                f1:for(int i=0;i<paramValues.length;i++){

                    String paramValue = paramValues[i];

                    f2:for(int j=0;j<illegalChars.length;j++){

                        illegalChar = illegalChars[j];

                        if(paramValue.indexOf(illegalChar) != -1){
                            illegalStatus = true;//非法状态
                            break f2;
                        }
                    }

                    if(illegalStatus){
                        break f1;
                    }

                }
            }

            if(illegalStatus){
                break w;
            }
        }
        //对URL进行判断
        for(int j=0;j<illegalChars.length;j++){

            illegalChar = illegalChars[j];

            if(tempURL.indexOf(illegalChar) != -1){
                illegalStatus = true;//非法状态
                break;
            }
        }
        if(illegalStatus){
            //必须手动指定编码格式
            res.setContentType("text/html;charset="+encoding);
            res.setCharacterEncoding(encoding);
            res.getWriter().print("<script>window.alert('当前链接中存在非法字符');window.history.go(-1);</script>");
        }else{
            filterChain.doFilter(request, response);
        }
    }

}
  • 配置web.xml文件
<filter>
        <filter-name>charFilter</filter-name>
        <filter-class>com.jst.sys.filter.CharFilter</filter-class>
        <init-param>
            <param-name>encoding</param-name>
            <param-value>UTF-8</param-value>
        </init-param>
        <init-param>
            <param-name>legalNames</param-name>
            <param-value>content1,ver</param-value>
        </init-param>
        <init-param>
            <param-name>illegalChars</param-name>
            <param-value>|,$,@,',&quot;,\',\&quot;,&lt;,>,(,),+,CR,LF,\&quot;,&quot;,\</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>charFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
surpassone
关注
专栏目录
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击
本本本添哥
03-31 414
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
XSS跨站脚本攻击
SYJ_361的博客
12-23 4196
本文介绍了XXS跨站脚本攻击的几种方法。其中包括对反射型XSS、存储型XSS和DOM型XSS的攻击,以及我们在kali中用到了beef和Setoolkit对目标进行信息获取。
XSS 跨站脚本攻击 的防御解决方案
03-26
XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
XSS跨站点脚本攻击解决方案
attilax的专栏
06-05 4404
XSS跨站点脚本攻击解决方案 如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行 STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度…… 输出页面时需要进行HTML转码,如输出地址内容 td >convert.html(cus.getAdd
如何防止跨站点脚本攻击
大明的博客
08-21 2159
转自:http://www.freebuf.com/articles/web/15188.html 1. 简介 跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏
XSS(跨站脚本攻击)漏洞解决方案
p15097962069的博客
01-13 682
XSS(跨站脚本攻击)漏洞解决方案
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4636
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
XSS跨站脚本攻击)及部分解决方案
Peacock__的博客
12-26 2886
最近做的部门内部用的一个小项目要上线,上线前安全测试测出了存储型XSS漏洞,自己也通过这个机会学习了一下,在此记录 1、什么是XSS XSS的中文含义是跨站脚本攻击,Cross Site Scripting,缩写为CSS,但容易与层叠样式表的缩写混淆,所以有人将其缩写为XSS 2、XSS原理 html是超文本标记语言,通过一些字符特殊对待来区分文本和标记,例如:<被看作h...
web安全-XSS跨站脚本攻击
vaultc的博客
03-30 362
xss跨站脚本攻击 一、产生原因 对用户输入的过滤不足 二、常见类型 反射型-非持久型: 通过客户端可操作的前端变量注入,经过后端,不经过数据库保存,一般为一次性攻击,通过诱导其他用户访问被xss操作后的URL进行攻击 存储型-持久型: 通过客户端可操作的前端变量注入,经过后端,进入数据库持久化,其他用户每次访问被xss入侵的界面都会启动恶意脚本攻击 DOM型-DOM反射型: 通过前端可操作的DOM注入,不经过后端(不经过数据库),和反射型类似,一般也是通过URL诱导点击触发攻击 三、常见危害 窃取
php伪协议xss,XSS跨站脚本攻击
weixin_35241867的博客
04-08 567
一、简介XSS(cross site script)是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。二、原因解析主要原因:过于信任客户...
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7136
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
跨站脚本攻击XSS(最全最细致的靶场实战)
热门推荐
m0_51468027的博客
01-31 3万+
一、XSS跨站漏洞 (1)XSS简介   网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting,安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS)有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。恶意攻击者会在 Web页面里插入恶意Script代码,当用户浏览该页之时,嵌.
跨网站脚本攻击(XSS)的原理与防范对策
bytxl的专栏
11-12 5528
摘要:随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点,重点分析了网页代码的检测以及
跨站脚本 XSS漏洞解决办法
cs95T6的博客
05-05 805
xss漏洞解决
存储型Xss跨站式脚本攻击解决方案
weixin_44442403的博客
10-15 1637
一 新建一个XssFilter类 package com.walk.common.xssnew; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servl...
XSS跨站点脚本攻击拦截器
weixin_34347651的博客
04-28 348
2019独角兽企业重金招聘Python工程师标准>>> ...
信安小白,一篇博文讲明白存储型、反射型XSS漏洞
.G();的博客
10-24 3664
靶机系统:win7 存储型、反射型XSS漏洞一、DVWA 靶机二、XSS1. 判断是否存在XSS漏洞2. XSS攻击窃取cookie2.1 cookie为什么产生?2.2 cookie作用机制2.3 存储型XSS攻击窃取cookie2.4 中级存储型XSS攻击(防御代码)3. 反射型XSS漏洞3.1 反射型XSS漏洞实验3.2 中级、高级反射型XSS攻击3.2.1 中级反射型XSS攻击防御与绕过3.2.2 高级级反射型XSS攻击防御与绕过3.3 总结4. 提出防御方案 一、DVWA 靶机   旨在为安全
奇安信xss漏洞问题解决
hwb33333的博客
05-31 2762
重要的事情说三遍,不管你在过滤器配置写的过滤多好,本地代码返回有多正确,它是不会检测到的!你需要在它检测出的接口那加上过滤。ps:在方法里不要写判断,直接走过滤逻辑,因为它这破检测会走别的逻辑,哪怕你用的接口写死只走过滤的逻辑,还是会检测出来漏洞。
奇安信扫描文件下载功能的存储型XSS漏洞修复
qq_43599841的博客
11-16 835
文件流相关的存储型XSS漏洞修复
dvwa靶场各种爆红解决办法
最新发布
04-17
它包含了各种常见的Web应用漏洞,如SQL注入、XSS跨站脚本攻击)、CSRF(跨站请求伪造)等。 以下是一些常见的DVWA漏洞及解决办法: 1. SQL注入: - 防御措施:使用参数化查询或预编译语句,避免直接拼接SQL语句...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值