springMVC通过Filter实现防止xss注入

52人阅读 评论(0) 收藏 举报
分类:

跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。

原本是打算通过springMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。没办法就是要Filter来完成。简单来说就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防)。

    @WebFilter(filterName="xssMyfilter",urlPatterns="/*")   
    public class MyXssFilter implements Filter{  

        @Override  
        public void init(FilterConfig filterConfig) throws ServletException {  

        }  

        @Override  
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
                throws IOException, ServletException {  
            XsslHttpServletRequestWrapper xssRequest = new XsslHttpServletRequestWrapper((HttpServletRequest)request);  
            chain.doFilter(xssRequest , response);   
        }  

        @Override  
        public void destroy() {  

        }  

    }  

XSS代码的过滤是在XsslHttpServletRequestWrapper中实现的,主要是覆盖实现了getParameter,getParameterValues,getHeader这几个方法,然后对获取的value值进行XSS处理。

    public class XsslHttpServletRequestWrapper extends HttpServletRequestWrapper {  

         HttpServletRequest xssRequest = null;    

        public XsslHttpServletRequestWrapper(HttpServletRequest request) {  
            super(request);  
            xssRequest = request;  
        }  


         @Override    
         public String getParameter(String name) {    
              String value = super.getParameter(replaceXSS(name));    
                if (value != null) {    
                    value = replaceXSS(value);    
                }    
                return value;    
         }    

         @Override  
        public String[] getParameterValues(String name) {  
             String[] values = super.getParameterValues(replaceXSS(name));  
             if(values != null && values.length > 0){  
                 for(int i =0; i< values.length ;i++){  
                     values[i] = replaceXSS(values[i]);  
                 }  
             }  
            return values;  
         }  

         @Override    
         public String getHeader(String name) {    

                String value = super.getHeader(replaceXSS(name));    
                if (value != null) {    
                    value = replaceXSS(value);    
                }    
                return value;    
            }   
         /** 
          * 去除待带script、src的语句,转义替换后的value值 
          */  
        public static String replaceXSS(String value) {  
            if (value != null) {  
                try{  
                    value = value.replace("+","%2B");   //'+' replace to '%2B'  
                    value = URLDecoder.decode(value, "utf-8");  
                }catch(UnsupportedEncodingException e){  
                }catch(IllegalArgumentException e){  
            }  

                // Avoid null characters  
                value = value.replaceAll("\0", "");  

                // Avoid anything between script tags  
                Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid anything in a src='...' type of e­xpression  
                scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Remove any lonesome </script> tag  
                scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Remove any lonesome <script ...> tag  
                scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid eval(...) e­xpressions  
                scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid e­xpression(...) e­xpressions  
                scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  

                // Avoid javascript:... e­xpressions  
                scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  
                // Avoid alert:... e­xpressions  
                scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);  
                value = scriptPattern.matcher(value).replaceAll("");  
                // Avoid onload= e­xpressions  
                scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                value = scriptPattern.matcher(value).replaceAll("");  
                scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);    
                value = scriptPattern.matcher(value).replaceAll("");  
            }             
            return filter(value);  
        }  

            /** 
             * 过滤特殊字符 
             */  
            public static String filter(String value) {  
                if (value == null) {  
                    return null;  
                }          
                StringBuffer result = new StringBuffer(value.length());  
                for (int i=0; i<value.length(); ++i) {  
                    switch (value.charAt(i)) {  
                        case '<':  
                            result.append("<");  
                            break;  
                        case '>':   
                            result.append(">");  
                            break;  
                        case '"':   
                            result.append(""");  
                            break;  
                        case '\'':   
                            result.append("'");  
                            break;  
                        case '%':   
                            result.append("%");  
                            break;  
                        case ';':   
                            result.append(";");  
                            break;  
                        case '(':   
                            result.append("(");  
                            break;  
                        case ')':   
                            result.append(")");  
                            break;  
                        case '&':   
                            result.append("&");  
                            break;  
                        case '+':  
                            result.append("+");  
                            break;  
                        default:  
                            result.append(value.charAt(i));  
                            break;  
                    }    
                }  
                return result.toString();  
            }  

    }  

转载:https://blog.csdn.net/qq924862077/article/details/62053577

查看评论

浅析XSS和CSRF攻击及防御

XSS攻击CSRF攻击XSS和CSRF的关系XSS防御CSRF防御总结以上介绍的攻击和防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理...
  • koastal
  • koastal
  • 2016-10-23 22:41:31
  • 2708

Web攻击手段--XSS攻击及预防策略

XSS(Cross Site Scripting)攻击的全称是跨站脚本攻击,跨站脚本攻击的方式是恶意攻击者在网页中嵌入恶意脚本程序,当用户打开网页的时候脚本程序便在客户端执行,盗取客户的cookie及...
  • sunhuiliang85
  • sunhuiliang85
  • 2016-12-21 11:17:39
  • 211

XSS 攻击实验 & 防御方案

XSS 实验 不要觉得你的网站很安全,实际上每个网站或多或少都存在漏洞,其中xss/csrf是最常见的漏洞,也是最容易被开发者忽略的漏洞,一不小心就要被黑 下面以一个用户列表页面来演示...
  • is_zhoufeng
  • is_zhoufeng
  • 2016-05-22 16:52:29
  • 12893

网站xss攻击和防止

1.定义 •XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS...
  • Stitch77
  • Stitch77
  • 2016-05-28 16:19:44
  • 938

防止<em>XSS攻击</em>解决办法

防止<em>XSS攻击</em>简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现... 防止<em>XSS攻击</em>简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现 ...
  • 2018年04月08日 00:00

实用:防止SQL、XSS等注入攻击的Filter

本文主要原理是转换过滤或拦截请求中的非法字符 FILTER代码: XssFilter.java /** * {@link CharLimitFilter} * * 拦截防止XSS注入 *...
  • johennes
  • johennes
  • 2013-08-26 15:46:27
  • 3305

前端防止xss攻击的最直接方式,分享一下

xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往W...
  • Revival_Liang
  • Revival_Liang
  • 2017-08-07 09:29:17
  • 402

防止<em>XSS攻击</em>xssProtect

防止<em>XSS攻击</em>的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
  • 2018年04月11日 00:00

springMVC利用过滤器防止xss攻击

转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它...
  • zxq520131422222
  • zxq520131422222
  • 2016-01-22 15:26:43
  • 2222

XssFilter防止脚本注入,防止xss攻击

主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用...
  • javaloveiphone
  • javaloveiphone
  • 2015-12-10 13:38:27
  • 5171
    个人资料
    专栏达人 持之以恒
    等级:
    访问量: 2万+
    积分: 958
    排名: 5万+
    About Me
    博客专栏
    文章存档
    最新评论