java xssprotect使用_java 拦截器解决xss攻击

最新推荐文章于 2024-04-04 13:51:36 发布
最新推荐文章于 2024-04-04 13:51:36 发布
阅读量1k 收藏
点赞数
文章标签: java xssprotect使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_28788593/article/details/114115230
版权

一、xss攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

简单说就是说,通过在输入框输入一些js代码,如在账号密码输入框中输入

或者

这样点击提交的时候就会触发alert弹窗,分别弹出 xss  和 @@ 的内容,这里只是做个简单的演示,弹了个窗口,还能存储病毒下载地址到服务端,进入的时候自动下载,或者修改你的cookie啥的,这里感兴趣可以百度查查xss攻击。

二、如何防御

解决思路对用户提交表单的参数进行转移,如把< 转换为 <  把 > 转换为 &rt;

java有很多的过滤工具类

commons-lang

commons-lang

2.6

然后通过下面的代码即可过滤

StringEscapeUtils.escapeHtml(string);

底层也是将一切标签进行转移,达到js调用不生效的作用。

这里使用的是filter过请求进行拦截处理。

过滤的内容报过get请求的参数、对象, post形式body中的参数

1)添加xss过滤器

XssgFilter

com.train.web.filter.XssFilter

XssgFilter

/*

这里过滤了所有的请求,其中XssFilter是我们自己过滤器

2)添加自己的过滤器,

import javax.servlet.*;importjavax.servlet.http.HttpServletRequest;importjava.io.IOException;public class XssFilter implementsFilter {

@Overridepublic void init(FilterConfig filterConfig) throwsServletException {

}

@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throwsIOException, ServletException {

XssHttpServletRequestWrapper req=newXssHttpServletRequestWrapper((HttpServletRequest)servletRequest);

filterChain.doFilter(req,servletResponse);

}

@Overridepublic voiddestroy() {

}

}

3)定义自己的http包装类

public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {boolean isUpData = false;//判断是否是上传 上传忽略

publicXssHttpServletRequestWrapper(HttpServletRequest servletRequest) {super(servletRequest);

String contentType=servletRequest.getContentType ();if (null !=contentType)

isUpData=contentType.startsWith ("multipart");

}

@OverridepublicString[] getParameterValues(String parameter) {

String[] values= super.getParameterValues(parameter);if (values==null) {return null;

}int count =values.length;

String[] encodedValues= newString[count];for (int i = 0; i < count; i++) {

encodedValues[i]=cleanXSS(values[i]);

}returnencodedValues;

}

@OverridepublicString getParameter(String parameter) {

String value= super.getParameter(parameter);if (value == null) {return null;

}returncleanXSS(value);

}/*** 获取request的属性时,做xss过滤*/@OverridepublicObject getAttribute(String name) {

Object value= super.getAttribute(name);if (null != value && value instanceofString) {

value=cleanXSS((String) value);

}returnvalue;

}

@OverridepublicString getHeader(String name) {

String value= super.getHeader(name);if (value == null)return null;returncleanXSS(value);

}private staticString cleanXSS(String value) {

value= value.replaceAll("", ">");

value= value.replaceAll("%3C", "<").replaceAll("%3E", ">");

value= value.replaceAll("\\(", "(").replaceAll("\\)", ")");

value= value.replaceAll("%28", "(").replaceAll("%29", ")");

value= value.replaceAll("'", "'");

value= value.replaceAll("eval\\((.*)\\)", "");

value= value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value= value.replaceAll("script", "");returnvalue;

}

@Overridepublic ServletInputStream getInputStream () throwsIOException {if(isUpData){return super.getInputStream ();

}else{final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());return newServletInputStream() {

@Overridepublic int read() throwsIOException {returnbais.read();

}

@Overridepublic booleanisFinished() {return false;

}

@Overridepublic booleanisReady() {return false;

}

@Overridepublic voidsetReadListener(ReadListener readListener) { }

};

}

}publicString inputHandlers(ServletInputStream servletInputStream){

StringBuilder sb= newStringBuilder();

BufferedReader reader= null;try{

reader= new BufferedReader(new InputStreamReader (servletInputStream, Charset.forName("UTF-8")));

String line= "";while ((line = reader.readLine()) != null) {

sb.append(line);

}

}catch(IOException e) {

e.printStackTrace();

}finally{if (servletInputStream != null) {try{

servletInputStream.close();

}catch(IOException e) {

e.printStackTrace();

}

}if (reader != null) {try{

reader.close();

}catch(IOException e) {

e.printStackTrace();

}

}

}returncleanXSS(sb.toString ());

}

}

但是这里有个问题,假如这里还有一些特殊的需求,有些html标签是希望在前端能显示的,前端通过一些已经防止了xss攻击的富文本控件输入信息,后台不希望将这些信息转义

三、添加一些额外的内容

1)希望能动态的开关

2)期待部分接口的接口的参数是能存在标签的

添加一个xss开关的控制类, 这里使用了配置中心

importorg.springframework.beans.factory.annotation.Value;importorg.springframework.stereotype.Component;

@Componentpublic classXSSFilterConfigUtil {public staticBoolean openXssProtect;public staticBoolean getOpenXssProtect() {return openXssProtect == null ? false: openXssProtect;

}

@Value("${open.xss.protect}")public voidsetOpenXssProtect(Boolean openXssProtect) {

XSSFilterConfigUtil.openXssProtect=openXssProtect;

}

}

注意的是:

1. @Value无法为静态属性注入值,所以需要添加set方法为其注入值;

2. 工具类必须添加@Component或者@Service注解,否则@Value不起作用。

静态方法中注入了值以后,Filter中就可以直接使用了。

修改上面的http包装类,这里不对" 进行过滤,过滤的话,会把json的""个去除,使用@RequestBody没办法解析成为一个正常的对象

importcom.alibaba.fastjson.JSONObject;importcom.train.service.impl.XSSFilterConfigUtil;importorg.apache.commons.lang.StringUtils;importorg.slf4j.Logger;importorg.slf4j.LoggerFactory;importjavax.servlet.ServletInputStream;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importjava.io.BufferedReader;importjava.io.ByteArrayInputStream;importjava.io.IOException;importjava.io.InputStreamReader;importjava.nio.charset.Charset;importjava.util.HashMap;importjava.util.Map;importjava.util.regex.Matcher;importjava.util.regex.Pattern;/*** 防护http处理

* 1.过滤xss*/

public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {private static final Logger LOGGER = LoggerFactory.getLogger(XssHttpServletRequestWrapper.class);boolean isUpData = false;//判断是否是上传 上传忽略//不期待被过滤的的链接和字段(管理后台使用了富文本,希望有可编辑的内容)

HashMap doNotFilterURLAndParamMap = new HashMap() {

{

put("/api/v2/group/manage", "description");

put("/api/v1/sendNews", "content");

}

};/*** Constructs a request object wrapping the given request.

*

*@paramrequest The request to wrap

*@throwsIllegalArgumentException if the request is null*/

publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);

String contentType=request.getContentType ();if (null !=contentType)

isUpData=contentType.startsWith ("multipart");

}/*** 过滤单个参数

*@paramname

*@return

*/@OverridepublicString getParameter(String name) {

String parameter= super.getParameter(name);if(StringUtils.isNotBlank(parameter) &&XSSFilterConfigUtil.getOpenXssProtect()){//这里使用的阿帕奇的common-lang3中的转义html方法,也可以自己实现,

String escapeParameter = this.cleanXSS(parameter);returnescapeParameter;

}returnparameter;

}/*** 过滤实体的每个参数

*@paramname

*@return

*/@OverridepublicString[] getParameterValues(String name) {

String[] parameterValues= super.getParameterValues(name);if (parameterValues == null) {return null;

}if(XSSFilterConfigUtil.getOpenXssProtect()) {for (int i = 0; i < parameterValues.length; ++i) {

String value=parameterValues[i];

parameterValues[i]= this.cleanXSS(value);

}

}returnparameterValues;

}/*** 处理@RequestBody的形式传入的json数据

*@return*@throwsIOException*/@Overridepublic ServletInputStream getInputStream () throwsIOException {if(!XSSFilterConfigUtil.getOpenXssProtect()) {return super.getInputStream ();

}if(isUpData){return super.getInputStream ();

}else{final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream ()).getBytes ());return newServletInputStream() {

@Overridepublic int read() throwsIOException {returnbais.read();

}

};

}

}publicString inputHandlers(ServletInputStream servletInputStream){

StringBuilder sb= newStringBuilder();

BufferedReader reader= null;try{

reader= new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));

String line= "";while ((line = reader.readLine()) != null) {

sb.append(line);

}

}catch(IOException e) {

e.printStackTrace();

}finally{if (servletInputStream != null) {try{

servletInputStream.close();

}catch(IOException e) {

e.printStackTrace();

}

}if (reader != null) {try{

reader.close();

}catch(IOException e) {

e.printStackTrace();

}

}

}

String requestUrl= StringUtils.replaceOnce(this.getRequestURI(), this.getContextPath(), StringUtils.EMPTY);boolean needFilter = false;

String key= "";

String param= "";for(Map.Entryentry : doNotFilterURLAndParamMap.entrySet()){

key=entry.getKey();int index = StringUtils.indexOf(key, "*");if (index > 0) {

String[] array= key.split("\\*");

StringBuffer stringBuffer= newStringBuffer();for(String s : array) {

stringBuffer.append(s).append("(.*)");

}

Pattern p=Pattern.compile(stringBuffer.toString());

Matcher m=p.matcher(requestUrl);if(m.find()) {

needFilter= true;

param=entry.getValue();break;

}

}else{if(requestUrl.equals(key)) {

needFilter= true;

param=entry.getValue();break;

}

}

}if(needFilter) { //有需要特殊处理的字段,不希望过滤标签

try{/*String param = doNotFilterURLAndParamMap.get(requestUrl);*/JSONObject jsonObject=JSONObject.parseObject(sb.toString());if(jsonObject.containsKey(param)) {

Object notFilterValue=jsonObject.get(param);

String cleanXSSParams=cleanXSS(sb.toString ());

JSONObject filteredJson=JSONObject.parseObject(cleanXSSParams);

filteredJson.put(param, notFilterValue);returnfilteredJson.toJSONString();

}else{returncleanXSS(sb.toString ());

}

}catch(Exception e) {

LOGGER.error("XssHttpServletRequestWrapper转换json数据失败",e);return cleanXSS(sb.toString ()); //异常时,就直接过滤,不管需要特殊处理的参数

}

}else{returncleanXSS(sb.toString ());

}

}/*** 过滤规则,这里不直接使用StringEscapeUtils.escapeHtml,因为获取的是一个json字符串,会将" 替换导致数据异常,没有""进行分割,无法正常注入到@RequestBody

*@paramvalue

*@return

*/

private staticString cleanXSS(String value) {

value= value.replaceAll("", ">");

value= value.replaceAll("%3C", "<").replaceAll("%3E", ">");//value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");

value = value.replaceAll("%28", "(").replaceAll("%29", ")");//value = value.replaceAll("'", "'");

/*value = value.replaceAll("eval\\((.*)\\)", "");

value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value = value.replaceAll("script", "");*/

returnvalue;

}

}

感谢你的阅读,接外包、也找兼职

地精工效学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
mysql防止xss攻击_java 防止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 249
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里java网页程序采用 spring 防止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,...
Web 安全之 X-XSS-Protection 详解_request payload x-xss-protection
2401_84103072的博客
04-04 611
X-XSS-Protection 是一个旨在启用或配置某些版本的 Internet Explorer、Chrome 和 Safari 的内置跨站脚本 (XSS) 过滤器的 HTTP 响应头,这个过滤器的目的是通过检测响应中的反射性 XSS 攻击并阻止页面加载,从而保护用户免受攻击。X-XSS-Protection 响应头最早由 Microsoft 引入到 Internet Explorer 8 中,用于控制浏览器的 XSS 过滤器。随后其他浏览器厂商也在一定程度上实现了这一功能。
xssprotect防止XSS攻击源码
08-27
javaweb用过滤器,用装饰设计模式对request重新包装后对前台传到后台参数进行过滤,xssprotect防止XSS攻击
java xssprotect_XSSxssprotect(转)
weixin_32620265的博客
02-21 193
/***Copyright2008GerardToonstra**Asanexception,thisparticularfile*intheprojectispublicdomaintoallowtotally*freederivationsofthiscode.**/packagecom.blogspot.radialmind.xss;impo...
基于Java的高级XSS攻击过滤器设计源码
最新发布
04-08
高级XSS攻击过滤器 - 基于Java开发,包含33个文件,如XML、JAVA、GITIGNORE、NAME和IML等。该系统实现了一个有选择地过滤XSS攻击代码的功能,通过Java技术实现界面交互和功能模块,为用户提供了一个高效、安全的XSS...
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的中文学习文档,很好用的
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
防止XSS攻击xssProtect用到的jar包
11-04
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1,xssProtect-0.1)
xssProtect-0.1.jar
11-19
xssProtect-0.1.jar 谷歌开源代码工具 、 用于XSS攻击
xssProtect-0.1.zip
04-02
谷歌开源代码工具 , 用于XSS攻击 包括测试用例及jar包 A Java library for filtering XSS attacks from user input fields
Web 安全之 X-XSS-Protection 详解
路多辛的所思所想
11-27 1556
跨站脚本(XSS)是一种常见的网络攻击,攻击者通过在网站中插入恶意脚本,当用户访问被污染的页面时,恶意脚本会被执行,从而窃取用户的敏感信息、篡改页面内容或者执行其他恶意操作。XSS 攻击分为三种类型:持久型、DOM-based 型和反射型 XSS(非持久型)。持久型 XSS:攻击者在网页中插入恶意脚本,并将其保存到服务器或数据库中。当其他用户访问该页面时,恶意脚本会被执行,从而进行长期的网络攻击。这种类型的攻击比较危险,因为可以长期地影响用户。
java xssprotect_Java防止xss攻击
weixin_36227085的博客
02-21 188
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xmlXssEscapecn.wuzhuti.filter.XssFilterXssEscape/*REQUESTFilter类(XssFilter.java)package ...
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2244
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
XSSxssprotect
SalmonellaVaccine的专栏
10-26 2512
http://liuzidong.iteye.com/blog/1744023 参考资料  1 跨网站脚本 http://zh.wikipedia.org/wiki/XSS  2 http://code.google.com/p/xssprotect/  一 跨网站脚本介绍       跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是
java怎么设置 x-xss-protection_JAVA程序猿萌新起步
weixin_33547353的博客
11-30 1150
现在JAVA很火,需求量大,就业也很容易,如果技术过硬的话月薪上万也是可以的。由于我是朝8晚5的工作压力也不是很大,所以最近准备学习下JAVA。当然不是为了跳槽,只是想拓宽下知识面,提高自我价值。既然要学习JAVA,那么编程环境总是要有的。目前的常见的就是安装JDK+eclipse。今天主要来分享下怎么搭建JDK环境吧。1.下载安装包JDK网上有很多免费的安装包,根据自己电脑配置看是下载32位的还...
使用Java代码 实现springcloud gateway 拦截xss和sql注入
02-23
可以使用Spring Security这个开源框架来实现springcloud gateway拦截XSS和SQL注入:@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .addFilterBefore(new XssFilter(), CsrfFilter.class) .addFilterBefore(new SqlInjectionFilter(), CsrfFilter.class); } }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值