防止XSS Attack攻击的解决方案

最新推荐文章于 2023-02-22 08:59:40 发布
最新推荐文章于 2023-02-22 08:59:40 发布
阅读量2.3k 收藏
点赞数
分类专栏: Java Security 文章标签: XSS 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012874209/article/details/88720232
版权

需求:

1.防止用户RequestBody里面数据包含XSS Attack代码

2.防止用户RequestURL地址中包含XSS Attack代码

解决方案及思路:

1.写个拦截器拦截用户请求,之后正则表达式去过滤RequestBody和RequestURL部分包含恶意攻击的代码。

2.具体代码如下


/**
 * Project Name: 
 * File Name:SecurityFilter.java
 * Description: TODO
 * Copyright: Copyright (c) 2017 
 * Company:
 * 
 * @author 
 * @date Mar 19, 2019 4:01:44 PM
 * @version 
 * @see
 * @since 
 */

import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.Reader;
import java.nio.charset.Charset;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ReadListener;
import javax.servlet.ServletException;
import javax.servlet.ServletInputStream;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.io.IOUtils;
import org.springframework.boot.web.servlet.ServletComponentScan;
import org.springframework.stereotype.Component;


/**
 * ClassName: SecurityFilter Description: filter all request
 * 
 * @author 
 * @version
 * @see
 * @since
 */
@Component
@ServletComponentScan
public class SecurityFilter implements Filter
{

    /**
     * Title: init Description:
     * 
     * @param filterConfig
     * @throws ServletException
     *             (describe the param)
     * @see javax.servlet.Filter#init(javax.servlet.FilterConfig)
     */

    @Override
    public void init(FilterConfig filterConfig) throws ServletException
    {

    }

    /**
     * Title: doFilter Description:
     * 
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     *             (describe the param)
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse,
     *      javax.servlet.FilterChain)
     */

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException
    {
        HttpServletRequest req = new XSSRequestWrapper((HttpServletRequest) request);
        HttpServletResponse resp = (HttpServletResponse) response;
        //clean xss attack code in reqeuest body
        cleanRequestBody(req, resp);
        //clean xss attack code in request url
        cleanRequsetUrl(req, resp, chain);
    }

    /**
     * Title: destroy Description:(describe the param)
     * 
     * @see javax.servlet.Filter#destroy()
     */

    @Override
    public void destroy()
    {

    }

    public class XSSRequestWrapper extends HttpServletRequestWrapper
    {

        private final byte[] body;

        public XSSRequestWrapper(HttpServletRequest request) throws IOException
        {
            super(request);
            body = IOUtils.toString(request.getReader()).getBytes(Charset.forName("UTF-8"));
        }

        @Override
        public BufferedReader getReader() throws IOException
        {
            return new BufferedReader(new InputStreamReader(getInputStream()));
        }

        @Override
        public ServletInputStream getInputStream() throws IOException
        {
            final ByteArrayInputStream bais = new ByteArrayInputStream(body);
            return new ServletInputStream()
            {
                @Override
                public int read() throws IOException
                {
                    return bais.read();
                }

                @Override
                public boolean isFinished()
                {

                    return false;
                }

                @Override
                public boolean isReady()
                {

                    return false;
                }

                @Override
                public void setReadListener(ReadListener listener)
                {

                }
            };
        }

    }

    /**
     * 
     * Title: stripXSS Description: replace potential xss attack code with ""
     * 
     * @exception @see
     * @since {@inheritDoc}
     * @param value
     * @return
     */
    private String stripXSS(String value)
    {
        if (null != value && !value.isEmpty())
        {
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE | Pattern.UNICODE_CASE);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("alert\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.UNICODE_CASE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid expression(...) expressions
            /*
             * scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE |
             * Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll("");
             */

            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

    /**
     * 
     * Title: cleanRequsetUrl Description: clean xss attack code of request url.
     * 
     * @exception @see
     * @since {@inheritDoc}
     * @param req
     * @param resp
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    private void cleanRequsetUrl(HttpServletRequest req, HttpServletResponse resp, FilterChain chain)
        throws IOException, ServletException
    {
        StringBuffer sb = new StringBuffer();
        String uri = req.getRequestURI();
        String queryString = req.getQueryString();
        String url = uri;
        if (null != queryString && !queryString.isEmpty())
        {
            url = sb.append(uri).append(SecurityConstants.QUESTION_MARK).append(queryString).toString();
        }
        String cleanUrl = stripXSS(url);
        if (null != cleanUrl && !cleanUrl.equals(url))
        {
            req.getRequestDispatcher(cleanUrl).forward(req, resp);
        }
        else
        {
            chain.doFilter(req, resp);
        }
    }

    /**
     * 
     * Title: cleanRequestBody Description: clean XSS Attack code of request body
     * 
     * @exception @see
     * @since {@inheritDoc}
     * @param req
     * @param resp
     * @throws IOException
     */
    private String cleanRequestBody(HttpServletRequest req, HttpServletResponse resp) throws IOException
    {
        Reader reader = req.getReader();
        String payload = IOUtils.toString(reader);
        String body = stripXSS(payload);
        System.out.println("body is\n" + body);
        resp.getWriter().write(body);
        return body;
    }
}

遇到的问题:

1.The request was rejected because the URL was not normalized

原因:

1.1 是因为请求地址里面包含"//"

解决方案:

1.2 使用该方法获取请求地址:String uri = req.getRequestURI();而不用req.getRequestURL()。之后我们使用相对路径重新发一个请求即可:req.getRequestDispatcher(cleanUrl).forward(req, resp);

2.为什么不适用resp.sendRedirect(cleanUrl);

原因:

2.1 该方法一般情况下只能重新发一个GET请求,不能发POST或者PUT. 想用该方法发POST请求出去可以自己用JSP实现一个表格,较为麻烦。

解决方案:

用req.getRequestDispatcher(cleanUrl).forward(req, resp); 替换它。

PS:除了过滤用户输入的数据处理XSS以外,还可以 只要遇到XSS Code直接抛错出去,具体怎么处理需要根据需求来。

一个好人-leo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Java代码审计手册(English)
重新启程
10-14 1万+
Table of Contents Predictable pseudorandom number generator (PREDICTABLE_RANDOM) Predictable pseudorandom number generator (Scala) (PREDICTABLE_RANDOM_SCALA) Untrusted servlet parameter (SERVLET...
在spring boot中防止xss攻击的实现方案
程序员记事本
02-22 1903
【代码】在spring boot中防止xss攻击的实现方案。
Web安全问题:Xss攻击及解决方法
y_mk的博客
06-12 722
参考:蚂蚁课堂 什么是Xss攻击? 首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。 ——摘自百度百科https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc 其实就是使用Javascript脚本注入进...
基于Servlet的web应用如何防止XSS攻击
Cloud-Future的博客
07-31 957
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何防止XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1095
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
XXS常见攻击相关
weixin_34096182的博客
04-04 830
2019独角兽企业重金招聘Python工程师标准>>> ...
web渗透—xss攻击防御
dongxie_tk的博客
11-10 1295
1、基于特征的防御 XSS漏洞和著名的SQL注入漏洞一样,都是利用了Web页面的编写不完善,所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难:不可能以单一特征来概括所有XSS攻击。 传统XSS防御多采用特征匹配方式,在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击,采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索,一旦发现提交信息中包
Springboot项目XSS漏洞的解决方法
xiaopy_0508的博客
07-12 4892
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 。特点:XSS主要基于JavaScript完成恶意的攻击行为,由于JS可以非
xss攻击获取mysql数据,XSS漏洞攻击教程:
weixin_42316952的博客
03-27 894
XSS分类:1.反射型XSS(非持久型);2.存储型XSS((持久型);3.DOM XSS(文档对象型).图片发自简书App图片发自简书App反射型XSS:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程称为反射型XSS.反射型XSS简单例子:echo $_GET['x'];?>注:...
xss攻击类型与防止xss攻击解决方案
08-05
NULL 博文链接:https://unionhu.iteye.com/blog/1952581
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
Java-正则表达式:匹配特定字符开头,数字结尾的任一字符串
热门推荐
u012874209的博客
04-03 4万+
1.需求:通过正则表达式去匹配特定字符开头,数字结尾的字符串 我这里去匹配字符"+,-,@,="开头,数字结尾的字符串 2.代码 public class Test_Leo { public static void main(String[] args) { String data = "=calc|A!Z 666"; Pattern pa...
POSTMAN POST方式传入纯数组
u012874209的博客
11-24 2万+
主要关注其传入的参数格式: @PostMapping(value = "", consumes = MediaType.APPLICATION_JSON_UTF8_VALUE) @ApiOperation(value = "", notes = "", response = EntitlementRepositoryEditableColumnsDto.class) publ
mockito when void throw exception
u012874209的博客
03-15 4029
1、执行一个void的方法进行mock并抛异常: doThrow(new Exception()).when(mockedObject).methodReturningVoid(...);eg: doNothing().when(validateSaveOrUpdate).validatePartiallyUpdate(anyObject());         verify(validateSa...
Storm UI界面上出现的Spout Failed 问题解决方案!!!
u012874209的博客
08-03 3899
这个问题比较麻烦!定位了很久(至少花了我10天左右的时间)才解决此问题! 出现此问题的原因是: spout在默认超时时间(30s)内发射出去的Tuple没有被bolt处理就会出现spout failed。 尝试解决问题的过程: 1、调整bolt的worker、executor、task数目,希望能够解决问题。结果失败! 2、调整修改默认超时时间(topology.me
Java编程如何防止XSS漏洞攻击
最新发布
05-25
XSS(Cross Site Scripting)攻击是一种常见的网络安全漏洞,Java编程可以采取以下措施来防止XSS攻击: 1. 输入检查:对用户输入数据进行过滤和验证,防止特殊字符和脚本注入。 2. 输出过滤:在输出时,对用户输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值