Web安全之XSS攻击解决方案

最新推荐文章于 2024-08-15 18:01:27 发布
最新推荐文章于 2024-08-15 18:01:27 发布
阅读量633 收藏 1
点赞数 1
分类专栏: spring Boot 文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/thisIsDennis/article/details/104902754
版权

一.XSS介绍

网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。

二.攻击类型

  1. 持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据库)。
  2. 非持久型跨站:反射型跨站脚本漏洞,最普遍的类型。用户访问服务器-跨站链接-返回跨站代码。
  3. DOM跨站(DOM XSS):DOM(document object model文档对象模型),客户端脚本处理逻辑导致的安全问题。

关于XSS的更多信息,具体可以参考百度百科

三.解决方案

1.自定义HttpServletRequestWrapper

/**
 * XSS过滤处理类,用于HTTP请求中特殊字符的转换,解决跨站点等攻击
 *
 * @date 2020-03-16
 * @author DaiQi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	/**
	 * 请求
	 */
	private HttpServletRequest xssRequest = null;
	
	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		xssRequest = request;
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 * @param name 名称
	 * @return 返回字符串
	 */
	public String getParameter(String name) {
		String value = super.getParameter(XssUtil.xssEncode(name));
		if (value != null) {
			value = XssUtil.xssEncode(value);
		}
		
		return value;
	}

	/**
	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
	 * getHeaderNames 也可能需要覆盖
	 * @param name 名称
	 * @return 返回字符串
	 */
	public String getHeader(String name) {
		String value = super.getHeader(XssUtil.xssEncode(name));
		if (!StringUtils.isEmpty(value)) {
			//方法一:自定义XSS过滤工具类
			value = XssUtil.xssEncode(value);
			//方法二:转义为html格式
			//org.apache.commons.lang3下的StringEscapeUtils已经过时了
			//可以使用org.apache.commons.text.StringEscapeUtils 进行替换
			//value = org.apache.commons.lang3.StringEscapeUtils.escapeHtml4(value);
		}
		return value;
	}

	/**
	 * 获取最原始的request的静态方法
	 * @param req req`在这里插入代码片`
	 * @return HttpServletRequest
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssHttpServletRequestWrapper) {
			return ((XssHttpServletRequestWrapper) req).xssRequest;
		}
		return req;
	}
}

2.自定义过滤器

/**
 * XSS过滤器
 * 
 * @date 2020-03-16
 * @author DaiQi
 */
@Order(2)
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter extends OncePerRequestFilter {

	/**
	 * 内部过滤
	 * 
	 * @param request
	 * @param response
	 * @param filterChain
	 * @throws ServletException
	 * @throws IOException
	 */
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(request);

		filterChain.doFilter(xssRequest, response);
	}

}

3.XssUtil

/**
 * XSS工具类
 */
public class XssUtil {

	/**
	 * 常量16
	 */
	public static final int NUM_16 = 16;
	
	/**
	 * 私有构造函数
	 */
	private XssUtil() {

	}

	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 *
	 * @param s 原字符串
	 * @return 替换后的字符串
	 */
	public static String xssEncode(String s) {
		if (s == null || "".equals(s)) {
			return s;
		}
		StringBuilder sb = new StringBuilder(s.length() + NUM_16);
		for (int i = 0; i < s.length(); i++) {
			char c = s.charAt(i);
			switch (c) {
				case '>':
					sb.append('>');// 全角大于号
					break;
				case '<':
					sb.append('<');// 全角小于号
					break;
				 case '\'':
				 sb.append('‘');// 全角单引号
				 break;
				 case '\"':
				 sb.append('“');// 全角双引号
				 break;
				 case '&':
				 sb.append('&');// 全角与逻辑符
				 break;
				 case '%':
				 sb.append('%');// 全角百分号
				 break;
				 case '+':
				 sb.append("+");// 全角加号
				 break;
				 case ';':
				 sb.append(";");// 全角分号
				 break;
				 case '\\':
				 sb.append('\');// 全角斜线
				 break;
				 case '/':
				 sb.append('/');// 全角斜线
				 break;
				 case '#':
				 sb.append('#');// 全角井号
				 break;
				 case ':':
				 sb.append(':');// 全角冒号
				 break;
				default:
					sb.append(c);
					break;
			}
		}
		return sb.toString();
	}
}
thisIsDennis
关注
专栏目录
xss.me自动攻击跨站搭建教材
05-01
搭建网站环境,我这里用的是APMServ 5.2.6。注意APMServ程序所在路径不能含有汉字和空格。
Web 安全 XSS
weixin_62319197的博客
06-30 919
XSS 又叫CSS (Cross Site Scripting) 跨站脚本攻击为了和网页开发中的css区分开来,一般叫作XSSXSS主要是前端的漏洞。 在存在XSS漏洞的网页中 几乎可以实现JavaScript能实现的一切。例如 盗取用户cookie,黑掉网页,跳转到某网站,蠕虫,黑客只需要在页面中写入js代码即可。xss就是攻击者在网页中写入恶意的脚本代码,以此达到攻击目的 一般为JavaScript 有少数是ActionScript VBScript 所以说要想学懂XSS漏洞,必须学会XSS。攻击者
XSS攻击原理和解决方法
2302_76672693的博客
08-07 1137
XSS攻击原理和解决方法
web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
热门推荐
star
04-16 1万+
web开发常见安全问题(SQL注入、XSS攻击、CSRF攻击)
web安全XSS浅析
LQ55
10-11 675
Web安全定义 随着web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取内部数据,更为严重的则是在网
渗透测试XSS环境配置
nielilijy的专栏
07-08 2638
1、下载xss源码 链接:https://pan.baidu.com/s/1f_MrjPZJsxKUt7pTgRBnnQ 提取码:3xck 下载完成之后,解压到C:\phpStudy\WWW(因为我的phpstudy是安装在这个路径下) 2、修改C:\phpStudy\WWW\xsser\config.php里面的数据库连接字段,包括数据库配置、URL配置以及显示设置; 注意将注...
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
Web系统常见安全漏洞介绍及解决方案-XSS攻击
web15286201346的博客
07-31 1786
跨站脚本攻击(CrossSiteScript),为了和众所周知的样式表CSS进行区分,它在安全领域简称XSSxss攻击是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害用户可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。在一开始,这种攻击的案例通常是跨域的,所以叫做跨站脚本攻击。之后得到的提示信息。在CSDN的搜索框随意输入了xss根据效果的不同可以分为以下几类反射型XSS。...
web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc
08-20
【跨站脚本攻击(XSS)概述】 ...总结来说,XSS攻击Web安全领域的重要议题,理解和防范这种攻击对于保护用户数据和维护网站安全至关重要。通过实际操作,我们能更好地掌握这些概念,并提高识别和应对XSS攻击的能力。
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
当其他用户浏览此留言时,浏览器将执行这段JavaScript代码弹出警告框,这仅是最简单的XSS攻击形式之一。 #### 解决方案XSS过滤机制 为了解决XSS问题,开发者需要采取多种策略来防止此类攻击的发生。具体措施包括...
【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击 )
本本本添哥
03-31 419
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
消灭 DOM 型 XSS 的终极杀招!
最新发布
奇舞周刊
08-15 134
大家好,我是 ConardLi。最近发现 Chrome 团队在博客更新了一篇文章,表示 YouTube 要实施 Trusted Types(可信类型)了,要求相关插件的开发者尽快完成改造,不然插件可能就用不了了。Trusted Types 要求第三方浏览器扩展程序在为 DOM API 赋值时使用类型化对象而不是字符串。自 2024 年 7 月 25 日起,不符合 Trusted Types 安全要...
XssUtils防止sql注入
u013008898的博客
10-26 544
package com.zy.platform.epidemic.monitor.utils; import com.zy.platform.epidemic.monitor.exception.CustomException; import java.util.Iterator; import java.util.Map; import java.util.regex.Pattern; public class XssUtils { static String reg = "(?:')|.
jeecms.common.util.XssUtil.containXss(Ljava/lang/String;)Z
Software As Business
05-27 387
依赖冲突,一次维持一天的bug排查。情景复现报错信息,省略无关内容排查思路依赖冲突排查解决问题 情景复现 公司使用Jeecms准备进行二次开发。本地环境(windows)和部署在测试服务器(centos)上都未出现问题。鄙人手欠,尝试放在正式服务器(Liunx)时,产生报错。 报错信息,省略无关内容 rg.springframework.web.util.NestedServletException: Handler dispatch failed; nested exception is java.lan
XSS攻击和跨站脚本安全漏洞防护
Zyw907155124的博客
09-05 3990
存储型XSS可以持续攻击用户,在用户提交了包含XSS代码的数据存储到数据库后,每当用户在浏览网页查询对应数据库中的数据时,那些包含XSS代码的数据就会在服务器解析并加载,当浏览器读到XSS代码后,会当做正常的HTML和JS解析并执行,于是发生存储型XSS攻击。**例如**:下面JSP代码片段的功能是根据一个已知用户雇员ID(id)从数据库中查询出该用户的地址,并显示在JSP页面上。如果address的值是由用户提供的,且存入数据库时没有进行合理的校验,那么攻击者就可以利用上面的代码进行存储型XSS攻击
XSS攻击
刘皇叔说Java的博客
04-15 1067
跨站脚本攻击(XSS,Cross-Site Scripting)是一种常见的安全漏洞,攻击者利用此漏洞向网页中插入恶意的客户端脚本,从而在用户的浏览器中执行恶意代码。攻击者通常利用 XSS 攻击来窃取用户的信息、会话令牌,或者篡改网页内容等。
xss漏洞java代码_Springboot实现XSS漏洞过滤的示例代码
weixin_42501463的博客
02-13 542
背景前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ​(什么!你竟然说我代码不安全???)然后测出了 Xss漏洞 安全的问题解决方案场景:可以在页面输入框输入JS脚本, 攻击者可以利用此漏洞执行恶意的代码 !问题演示 ​ ​所以我们要对于前端传输的参数做处理,做统一全局过滤处理既然要过滤处理,我们首先需要实现一个自定义过滤器总共包含以...
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1485
防止xss存储型攻击
关于xss攻击解决方案
susanliy的博客
01-11 2987
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值