什么是 XSS 攻击,如何避免

最新推荐文章于 2024-07-31 12:18:55 发布
最新推荐文章于 2024-07-31 12:18:55 发布
阅读量2.9k 收藏 7
点赞数 8
分类专栏: java进阶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syilt/article/details/90678372
版权

XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。

预防 XSS 的核心是必须对输入的数据做过滤处理。

下面是XssFilter的代码:


import java.io.IOException;
import java.util.Enumeration;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * 非法字符过滤器(防SQL注入,防XSS漏洞)
 * @author zsy
 */
public class XssFilter implements Filter {
	private static final Logger logger = LoggerFactory.getLogger(XssFilter.class);

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filter) throws IOException, ServletException {
		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse res = (HttpServletResponse) response;
		String pathInfo = req.getPathInfo() == null ? "" : req.getPathInfo();
		String url = req.getServletPath() + pathInfo;

		// 获取请求所有参数,校验防止SQL注入,防止XSS漏洞
		Enumeration<?> params = req.getParameterNames();
		String paramName = null;
		String paramVale = null;
		while (params.hasMoreElements()) {
			paramName = (String) params.nextElement();
			paramVale = xssEncode(req.getParameter(paramName));
			// 校验是否存在SQL注入信息
			if (checkSQLInject(paramVale, url)) {
				res.setContentType("text/html; charset=UTF-8");
				res.setStatus(200);
				IOUtils.write("{\"retcode\": \"0\",\"retmsg\": \"参数不能包含非法字符\"}", res.getWriter());
				return;
			}
		}
		// 获取请求头参数,校验防止SQL注入,防止XSS漏洞
		Enumeration<?> headers = req.getHeaderNames();
		while (headers.hasMoreElements()) {
			paramName = (String) headers.nextElement();
			paramVale = xssEncode(req.getParameter(paramName));
			// 校验是否存在SQL注入信息
			if (checkSQLInject(paramVale, url)) {
				res.setContentType("text/html; charset=UTF-8");
				res.setStatus(200);
				IOUtils.write("{\"retcode\": \"0\",\"retmsg\": \"参数不能包含非法字符\"}", res.getWriter());
				return;
			}
		}

		filter.doFilter(req, res);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}

	@Override
	public void destroy() {
	}

	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 * @param str
	 * @return
	 */
	private String xssEncode(String str) {
		if (StringUtils.isEmpty(str)) {
			return str;
		}
		StringBuilder sb = new StringBuilder(str.length() + 16);
		for (int i = 0; i < str.length(); i++) {
			char c = str.charAt(i);
			switch (c) {
			case '>':
				sb.append('>');// 全角大于号
				break;
			case '<':
				sb.append('<');// 全角小于号
				break;
			case '\'':
				sb.append('‘');// 全角单引号
				break;
			case '\"':
				sb.append('“');// 全角双引号
				break;
			case '&':
				sb.append('&');// 全角
				break;
			case '\\':
				sb.append('\');// 全角斜线
				break;
			case '#':
				sb.append('#');// 全角井号
				break;
			case '(':
				sb.append('(');//
				break;
			case ')':
				sb.append(')');//
				break;
			default:
				sb.append(c);
				break;
			}
		}
		return sb.toString();
	}

	/**
	 * 
	 * 检查是否存在非法字符,防止SQL注入
	 * @param str 被检查的字符串
	 * @return ture-字符串中存在非法字符,false-不存在非法字符
	 */
	public static boolean checkSQLInject(String str, String url) {
		if (StringUtils.isEmpty(str)) {
			return false;// 如果传入空串则认为不存在非法字符
		}

		// 判断黑名单
		String[] inj_stra = { "script", "mid", "master", "truncate", "insert", "select", "delete", "update", "declare",
				"iframe", "'", "onreadystatechange", "alert", "atestu", "xss", ";", "'", "\"", "<", ">", "(", ")", ",",
				"\\", "svg", "confirm", "prompt", "onload", "onmouseover", "onfocus", "onerror" };

		str = str.toLowerCase(); // sql不区分大小写

		for (int i = 0; i < inj_stra.length; i++) {
			if (str.indexOf(inj_stra[i]) >= 0) {
				logger.info("xss防攻击拦截url:" + url + ",原因:特殊字符,传入str=" + str + ",包含特殊字符:" + inj_stra[i]);
				return true;
			}
		}
		return false;
	}
}

 

youngerTree
关注
专栏目录
什么是 XSS 攻击,如何避免
黑马程序员广州中心的专栏
05-18 450
XSS 攻击,即跨站脚本攻击(Cross Site Scripting),它是 web 程序中常见的漏洞。 原理 攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的。如盗取用户 cookie 执行一系列操作,破坏页面结构、重定向到其他网站等。 种类 1、DOM Based XSS:基于网页 DOM 结构的攻击 例如: input 标签 value 属性赋值 //jsp &..
如何防止XSS攻击
m0_49521873的博客
05-23 6695
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
五分钟带你了解XSS攻击
最新发布
ORANGE_3iING的博客
07-31 957
跨站脚本攻击XSS) 是一种,它允许攻击者。此代码由用户执行,让攻击者并冒充用户。如果 Web 应用程序没有采用足够的,则这些攻击会成功。用户的浏览器无法检测到恶意脚本是不可信的,因此允许其访问任何 Cookie、会话令牌或其他特定于站点的敏感信息,或者让恶意脚本重写 HTML 内容。
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 911
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端安全系列(一):如何防止XSS攻击
qkh1234567的博客
05-14 2311
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSS攻击常识及常见的XSS攻击脚本汇总.pdf
12-26
XSS攻击常识及常见的XSS攻击脚本汇总
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
【PDF-XSS攻击】Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
.net core xss攻击防御的方法
10-18
.NET Core XSS攻击防御方法的知识点可以详细阐述如下: 首先,XSS攻击全称跨站脚本攻击,它是一种常见的网络安全漏洞。攻击者利用这一漏洞,在Web页面中植入恶意脚本代码,当其他用户浏览这些页面时,嵌入的恶意...
XSS攻击的预防措施
qq_45335911的博客
09-07 6491
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
你知道什么是 XSS 攻击,如何避免??
每天进步一点点
08-29 7172
一.概述: xss(Cross Site Scripting),即跨站脚本攻击,也就是代码注入攻击, 是一种常见于web应用程序中的计算机安全漏洞。 攻击者往 web 页面里插入恶意的 HTML 代码(Javascript、css、html 标签等),当用户浏览该页面时,嵌入其中的 HTML 代码会被执行,从而达到恶意攻击用户的目的,导致用户安全信息泄露(获取用户的敏感信息),危害数据安全 例如盗取各类用户帐号、网站挂马、盗窃企业重要信息等。 它与SQL注入攻击类似,SQL注入攻击中以S.
XSS攻击
qq_45228255的博客
04-10 1020
xss攻击
如何预防 XSS 攻击
春风化雨
12-17 5501
1、XSS 攻击 XSS 攻击,即跨站脚本攻击,它是 Web 程序中常见的漏洞。 原理:攻击者在Web 页面里植入恶意的脚本代码(css 代码、Javascript 代码等);当其他用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的。比如:盗取用户 cookie、破坏页面结构、重定向到其他网站等。 2、预防策略 预防 XSS 的核心:对输入的数据做必要的过滤处理。 ...
什么是XSS攻击,如何避免
03-29
避免XSS攻击,可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,禁止特殊字符和脚本注入。 2. 将用户输入内容进行转义,将特殊字符转为HTML实体编码。 3. 设置HTTP响应头的Content-Security-Policy,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值