xss和csrf其实就是一个过滤器和一个拦截器而已:放屁

最新推荐文章于 2024-05-24 12:41:37 发布
最新推荐文章于 2024-05-24 12:41:37 发布
阅读量2.6k 收藏 7
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010287873/article/details/80769762
版权

CSRF攻击原理及防御https://www.cnblogs.com/shytong/p/5308667.html 

CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/

 

拦截器可以获取IOC容器中的各个bean,而过滤器就不行,这点很重要,在拦截器里注入一个service,可以调用业务逻辑。

 

 

XSS

一个目标资源可以指定多个过滤器,过滤器的执行顺序是在web.xml文件中的部署顺序:

1.web.xml配置filter

  1.1配置要拦截的url的格式

  1.2配置拦截后的处理类

 

<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.jd.ihotel.pc.webapp.filters.NewXssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

一个filter可被多个mapping使用:

  1. <filter>  
  2.     <filter-name>authority</filter-name>  
  3.     <filter-class>com.util.AuthorityFilter</filter-class>  
  4. </filter>  
  5. <filter-mapping>  
  6.     <filter-name>authority</filter-name>  
  7.        <url-pattern>/pages/genbill/*</url-pattern>  
  8. </filter-mapping>  
  9. <filter-mapping>  
  10.     <filter-name>authority</filter-name>  
  11.     <url-pattern>/pages/cmm/*</url-pattern>  
  12. </filter-mapping>

2.配置依赖:

<dependency>
    <groupId>javax.servlet</groupId>
    <artifactId>javax.servlet-api</artifactId>
    <version>3.0.1</version>
    <scope>provided</scope>
</dependency>

新建:实现Filter类是初始化,过滤,销毁三个方法必须都实现(初始化和销毁可以是空方法,过滤方法中chain.doFilter的参数是装饰者模式的http请求对象和普通的http响应对象)

NewXssFilter类

过滤方法中新建一个request过滤对象(装饰者模式),以便可以对request的参数进行更改(过滤)

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class NewXssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new NewXssHttpServletRequestWraper(
                (HttpServletRequest)request), response);//对request和response进行过滤
    }

    @Override
    public void destroy() {

    }
}
 
新建NewXssHttpServletRequestWraper类
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class NewXssHttpServletRequestWraper extends HttpServletRequestWrapper {

    public NewXssHttpServletRequestWraper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        return clearXss(super.getParameter(name));
    }

    @Override
    public String getHeader(String name) {
        return clearXss(super.getHeader(name));
    }
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        String[] newValues = new String[values.length];

        for (int i = 0; i < values.length; i++) {
            newValues[i] = clearXss(values[i]);
        }

        return newValues;
    }

    /**
     * 处理字符转义
     *
     * @param value
     * @return
     */
    private String clearXss(String value) {
        if (value == null || "".equals(value)) {
            return value;
        }
        value = value
                .replaceAll("'","")
                .replaceAll("\'","")
                .replaceAll("`","")
                //.replaceAll("\"","“")
                .replaceAll("<","")
                .replaceAll(">","")
                .replaceAll("\\(","(")
                .replaceAll("\\)",")")
                //.replaceAll("&","&")
                .replaceAll("eval","")
                .replaceAll("java","")
                .replaceAll("script","")
                .replaceAll("alert","")
                .replaceAll("prompt","");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']",
                "\"\"");
        return value;
    }



}
下面的代码配置的过滤器必须有吗?作用是?
<filter>
    <filter-name>XssEscape</filter-name>
    <filter-class>com.jd.ihotel.pc.webapp.filters.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XssEscape</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
</filter-mapping>

 

也可以简答粗暴不用过滤器这么写:

 

private String stripXSS(String value) {
    if (value != null) {
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        value = value.replaceAll("%", "");
        value = value.replaceAll(";", "");
    }
    return value;
}

 

 

 

如果项目中使用了Spring框架,那么,很多过滤器都不用自己来写了,Spring为我们写好了一些常用的过滤器。下面我们就以字符编码的
过滤器CharacterEncodingFilter为例,来看一下Spring框架下,如果配置过滤器。

 

  1. <filter>

  2. <filter-name>encodingFilter</filter-name>

  3. <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>

  4. <init-param>

  5. <param-name>encoding</param-name>

  6. <param-value>UTF-8</param-value>

  7. </init-param>

  8. <init-param>

  9. <param-name>forceEncoding</param-name>

  10. <param-value>true</param-value>

  11. </init-param>

  12. </filter>

  13.  

  14. <filter-mapping>

  15. <filter-name>encodingFilter</filter-name>

  16. <url-pattern>/*</url-pattern>

  17. </filter-mapping>

 

 

 

CSRF:访问受信网站A并在本地产生cookie,不登出A的情况访问不受信网站B(即使浏览器关闭,A的cookie不一定立即过期或会话结束)

http://www.cnblogs.com/shanyou/p/5038794.html

1.web.xml中配置springMVC:

<servlet>
   <servlet-name>mvc</servlet-name>
   <servlet-class>
      org.springframework.web.servlet.DispatcherServlet
   </servlet-class>
   <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-web-config.xml</param-value>
   </init-param>
   <load-on-startup>1</load-on-startup>
</servlet>

2.springMVC配置中配置拦截器

 <mvc:interceptors>
        <mvc:interceptor>
            <mvc:mapping path="/submitOrder.html" />
            <mvc:mapping path="/ihtrade/unpaidCancel.html"/>
            <mvc:mapping path="/ihtrade/cancel.html"/>
            <bean class="com.jd.ihtrade.core.intercepter.CheckRefferIntercepter" />
        </mvc:interceptor>
    </mvc:interceptors>

</beans>
 

3.新建拦截器里配置的类:

 

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.net.URI;

public class CheckRefferIntercepter implements HandlerInterceptor{
    private Logger logger = LoggerFactory.getLogger(CheckRefferIntercepter.class);
    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws
            Exception {
        String referer = request.getHeader("referer");
        StringBuffer requestURL = request.getRequestURL();
        if(referer == null || referer.isEmpty()) {
            return false ;
        }
        try{
            if (referer.contains("?")){
                referer = referer.substring(0, referer.indexOf("?"));
            }
            URI referUri = new URI(referer);
            String domain = referUri.getHost();
            logger.info("请求目的地URL:{}来源URL:{}验证:{}",requestURL,referer,domain);
            if(domain != null){
                if(
                        domain.endsWith("360buy.com")
                        || domain.endsWith("jd.com")
                        || domain.endsWith("jd.net")
                        || domain.endsWith("jd.hk")
                        ) {
                    return true;
                }
            }
        } catch (Exception e){
            logger.error("--invalid uri--" + referer, e);
            return false ;
        }
        return false ;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler, ModelAndView modelAndView) throws Exception {

    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) throws Exception {

    }
}

可使用拦截器验证token来避免攻击:

http://www.360doc.com/content/18/0223/11/31784658_731672172.shtml

token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 token 给前端。前端可以在每次请求的时候带上 token 证明自己的合法地位。

点滴记录,是前进的脚步
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
csrf-filter:用于处理 csrf 令牌的过滤器
06-18
关于 跨站点请求伪造 (csrf) - 是一种对网站的恶意利用,由此从网站信任的用户传输未经授权的命令。 有几种类型的如何防止此类攻击: 检查 http。 使用令牌 代码要求 csrf-filter 使用令牌方法。 它会自动处理此类令牌的验证和设置。 它引入了以下限制: 它只验证 POST 请求。 仅应使用 POST 方法更改数据状态 它添加了属性,该属性应该添加到所有 POST 请求中(可以是 AJAX 或普通表单提交) 特征 在每个 GET 请求上生成并添加到 cookie 中的令牌 它是无国籍的 如果未找到 cookie 或未找到请求参数或值不匹配,则将发送 Http 400 状态 可以配置令牌名称。 此名称将用作参数名称、cookie 名称和属性名称 它将属性添加到每个 !HttpServletRequest 中。 与其他人相比 还有另一个 csrf 过滤器: : 这
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
业精于勤荒于嬉
08-19 1146
SpringSecurity - 启动流程分析(八)- CsrfFilter 过滤器
[Spring Cloud] (9)XSS拦截
最新发布
一个喜欢什么都研究一下的小小后端程序员
05-24 520
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览上被执行,然后造成重大损失,然后被领导叫去喝茶吧。身为一个后端程序员,本次终于不用再写前端代码了,难得难得。
【第八篇】SpringSecurity核心过滤器-CsrfFilter
波波烤鸭的博客
05-12 3231
SpringSecurity核心过滤器-CsrfFilter   Spring Security除了认证授权外功能外,还提供了安全防护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。 一、什么是CSRF攻击   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方
防止xss攻击拦截
heihei_100的博客
06-13 3045
web.xml &lt;filter&gt; &lt;filter-name&gt;XssSqlFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.cloudjet.izhuan.mobile.webapp.xss.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;filter-map...
Spring Security CsrfFilter过滤器用法实例
08-25
主要介绍了Spring Security CsrfFilter过滤器用法实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
router_xss_csrf:具有XSSCSRF的安全路由
03-05
具有XSSCSRF的安全路由 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
防sql注入和xss攻击, springmv拦截
07-24
防sql注入和xss攻击, springmv拦截,可自由调整需要拦截的字符
JSP使用过滤器防止Xss漏洞
10-17
我们可以利用这个特性,创建一个自定义的过滤器类,如`XssFilter`,它继承自`javax.servlet.Filter`接口,并实现其`doFilter()`方法。在这个方法里,我们将请求包装成一个特殊的`HttpServletRequest`子类,例如`...
使用HttpServletRequestWrapper在filter修改request参数
04-12
NULL 博文链接:https://rensanning.iteye.com/blog/1706208
java拦截csrf攻击,在SpringMVC中使用拦截(interceptor)拦截CSRF攻击
weixin_36039452的博客
03-22 634
(1)登录页面:从上面的代码可知,为了防止CSRF攻击,因此在form表单里添加了一个隐藏字段“_csrf”,其值是生成的一个随机小数(2)在SpringMVC的配置文件中添加拦截:从上面的代码知道,在这个文件中添加了一个mvc:interceptors 标签,表示一系列的拦截集合,然后下面定义了对登录时form表单提交地址“/check.html”进行拦截。下面一行的bean属性就是定义了...
Spring Security之默认的过滤器链的CsrfFilter(九)
欢谷悠扬
07-09 564
1.什么是Csrf CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 通俗的说,就是你用你浏览缓存的认证信息和用户信息,通过另外一个钓鱼网站去访问你现
Struts2 过滤CSRF攻击的一种解决方案
huplion的专栏
11-04 5988
CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站?的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF
防止CSRF攻击
大鹏
09-21 1745
攻击通过在授权用户访问的页面中包含链接或者脚本的方式工作。例 如:一个网站用户Bob可能正在浏览聊天论坛,而同时另一个用户Alice也在此论坛中,并且后者刚刚发布了一个具有Bob银行链接的图片消息。设想一下,Alice编写了一个在Bob的银行站点上进行取款的form提交的链接,并将此链接作为图片src。如果Bob的银行在cookie中保存他的授权信息,并且此cookie没有过期,那么当Bob的...
七、在拦截中进行XSS与SQL注入拦截
CN華少的博客
11-05 401
本次开发环境为: 系统:Windows 10 10.0 JDK:JRE: 1.8.0_152-release-1136-b43 amd64 JVM: OpenJDK 64-Bit Server VM by JetBrains s.r.o 开发工具:IntelliJ IDEA 2018.1.8 springboot框架:2.2.0 直接上干货,不多废话,相关问题欢迎在评论区指教。 1、首先准备本次会...
XSS和sql注入拦截+请求包装
weixin_38861291的博客
11-18 884
背景: 项目中经常遇到sql注入和XSS攻击,此时我们需要编写拦截来对前台上传参数进行合法性校验。下面为从请求中读取参数的一些规则: 1.application/x- www-form-urlencoded是post和form表单默认的类型。Servlet API规范中对该类型的请求内容提供了request.getParameter() 方法来获取请求参数值(其他类型的不可以调用此方法)。 2.当请求内容不是application/x- www-form-urlencoded类型时,需要调用reques
CSRF
A lazy programmer的博客
10-20 336
csrf是什么? 全称:Cross-site request forgery 中文名称:跨站请求伪造 危害:执行恶意操作(“被转账”,“被发垃圾评论”等) 制造蠕虫 … 概念:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。 csrf原理分析: 用户可以从自己账户转账, 黑客不能从其他人账户转账, 黑客构造恶意网页, 用户主动访问恶意网页,转账到黑客账户。 通常Cookit...
你作为一个Java领域的专家,请完成以下任务:拦截过滤器的区别
09-13
拦截过滤器都是Java Web开发中常用的组件,它们的作用是在请求到达目标资源之前或之后对请求进行拦截和处理。 拦截是Spring框架中的概念,通过实现HandlerInterceptor接口来实现。它可以拦截Controller的请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值