Xss问题解决方案

最新推荐文章于 2024-06-25 10:08:51 发布
最新推荐文章于 2024-06-25 10:08:51 发布
阅读量1k 收藏
点赞数
文章标签: javascript 移动开发 java ViewUI
原文链接:http://www.cnblogs.com/question-sky/p/8644915.html
版权

xss跨站脚本攻击问题最主要是呈现在html页面的脚本被执行导致的结果,可分为两个方便作屏蔽

后台屏蔽

在前端上传的各个参数后,对其进行转义后再保存至数据库,属于暴力式转义,一般不建议。下面是写的例子

1.创建HttpServletRequest新对象,覆盖其中的getParameterMap()方法,其会被ServletModelAttributeMethodProcessor处理方法参数时被调用,具体的读者可自行分析

package com.jing.springboot.test;

import java.util.Enumeration;
import java.util.HashSet;
import java.util.List;
import java.util.Map;
import java.util.Map.Entry;
import java.util.Set;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.springframework.util.MultiValueMap;

public class FormHttpRequestWrapper extends HttpServletRequestWrapper {

    // 采用spring的MultiValueMap集合
    private MultiValueMap<String, String> paramsMap;

    public FormHttpRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    public FormHttpRequestWrapper(HttpServletRequest request, MultiValueMap<String, String> paramMap) {
        super(request);
        this.paramsMap = paramMap;
    }

    @Override
    public String getParameter(String name) {
        String param = super.getParameter(name);
        return param == null ? paramsMap.getFirst(name) : param;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> paramterMap = super.getParameterMap();

        Set<Entry<String, List<String>>> mapSets = paramsMap.entrySet();
        for (Entry<String, List<String>> mapSet : mapSets) {
            String key = mapSet.getKey();
            List<String> values = mapSet.getValue();
            paramterMap.put(key, values.toArray(new String[values.size()]));
        }

        return paramterMap;
    }

    @Override
    public Enumeration<String> getParameterNames() {
        return super.getParameterNames();
    }

    @Override
    public String[] getParameterValues(String name) {
        List<String> multiValues = paramsMap.get(name);
        String[] oldValues = super.getParameterValues(name);

        Set<String> trueValues = new HashSet<String>(oldValues.length + multiValues.size());
        for (String multi : multiValues) {
            trueValues.add(multi);
        }

        for (String old : oldValues) {
            trueValues.add(old);
        }

        return trueValues.toArray(new String[trueValues.size()]);
    }
}

2.创建参数拦截filter类过滤器,对每次的POST请求或者PUT请求作下拦截

package com.jing.springboot.test;

import java.io.IOException;
import java.io.InputStream;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.Map.Entry;
import java.util.Set;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.MediaType;
import org.springframework.http.converter.FormHttpMessageConverter;
import org.springframework.http.converter.support.AllEncompassingFormHttpMessageConverter;
import org.springframework.util.MultiValueMap;
import org.springframework.web.filter.OncePerRequestFilter;
import org.springframework.web.util.HtmlUtils;

public class HttpContentFormFilter extends OncePerRequestFilter {

    private List<MediaType> supportMediaTypes = new ArrayList<MediaType>();

    private FormHttpMessageConverter messageConverter = new AllEncompassingFormHttpMessageConverter();

    public HttpContentFormFilter() {
        supportMediaTypes.add(MediaType.APPLICATION_FORM_URLENCODED);
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        String method = request.getMethod();
        String contentType = request.getContentType();

        if (methodEqual(method) && mediaEqual(contentType)) {
            HttpInputMessage httpInputMessage = new FormHttpInputMessage(request);

            // 采用FormHttpMessageConverter对象读取参数集合
            MultiValueMap<String, String> springMultiValueMap = messageConverter.read(null, httpInputMessage);

            // 使用spring自带的HtmlUtils工具类来转义html标签
            useSpringHtmlEscape(springMultiValueMap);

            // 重新构造request对象,将转义后的参数存进去
            FormHttpRequestWrapper httpRequestWrapper = new FormHttpRequestWrapper(request, springMultiValueMap);

            filterChain.doFilter(httpRequestWrapper, response);
        } else {
            filterChain.doFilter(request, response);
        }
    }

    private boolean methodEqual(String reqMethod) {
        if (reqMethod.equals("POST") || reqMethod.equals("PUT")) {
            return true;
        }

        return false;
    }

    private boolean mediaEqual(String mediaType) {
        boolean isSupport = false;
        for (MediaType type : supportMediaTypes) {
            isSupport = type.includes(new MediaType(mediaType));
            if (isSupport) {
                break;
            }
        }

        return isSupport;
    }

    private void useSpringHtmlEscape(MultiValueMap<String, String> map) {
        Set<Entry<String, List<String>>> mapEntrySet = map.entrySet();
        for (Entry<String, List<String>> mapEntry : mapEntrySet) {
            mapEntry.setValue(escapeHtml(mapEntry.getValue()));
        }
    }

    private List<String> escapeHtml(List<String> values) {
        List<String> escapeValues = new ArrayList<String>(values.size());
        for (String value : values) {
            escapeValues.add(HtmlUtils.htmlEscape(value));
        }

        return escapeValues;
    }

    private class FormHttpInputMessage implements HttpInputMessage {

        private HttpServletRequest request;

        public FormHttpInputMessage(HttpServletRequest request) {
            this.request = request;
        }

        @Override
        public HttpHeaders getHeaders() {
            HttpHeaders headers = new HttpHeaders();
            Enumeration<String> headerNames = request.getHeaderNames();
            while (headerNames.hasMoreElements()) {
                String name = headerNames.nextElement();
                String headerValue = request.getHeader(name);
                headers.add(headerNames.nextElement(), headerValue);
            }

            return headers;
        }

        @Override
        public InputStream getBody() throws IOException {
            return request.getInputStream();
        }

    }

}

3.web.xml配置

<filter>
    <filter-name>httpFormFilter</filter-name>
    <filter-class>com.jing.springboot.test.HttpContentFormFilter</filter-class>
</filter>

<filter-mapping>
    <filter-name>httpFormFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
前端屏蔽

对上传的数据不作html过滤,对返回的数据呈现在页面上使用html标签过滤,建议采用,写一个专门的公用类即可

//html标签转义成自定义字符
function html2Escape(sHtml) { 
    return sHtml.replace(/[<>&"]/g,function(c){
        return {'<':'&lt;','>':'&gt;','&':'&amp;','"':'&quot;'}[c];
    }); 
}

总结

xss问题属于被动式攻击,一般很容易被忽略,在项目的安全检测中遇到此问题,在此作下笔记方便以后查阅

转载于:https://www.cnblogs.com/question-sky/p/8644915.html

weixin_30664539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS安全漏洞的几种修复方式
markbug的博客
03-26 2万+
什么是XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意的html,javaScript代码,当用户浏览该页之时,嵌入其中Web里面的html,javaScript代码会被执行,从而达到恶意的特殊目的,如,盗取用户Cook
XSS常见问题
oxygensss的博客
12-08 2924
XSS的原理分析与解剖常见问题 1.xss的本质是什么 我们的传参被拼接进HTML页面,并且被执行。 2.xss如何执行 通过拼接恶意的html代码,js语句来执行攻击,实际上为html代码注入 3.xss作用 盗用cookie,得到内网ip,获取保存的密码等 4.如何检测xss 通过一个经典语句弹窗检测 5.xss还可以通过什么来执行 通过事件,伪协议来执行 6.伪协议是什么 一种不同与真实协议的协议,只有关联应用才可以用(例如:javascript:alert(1)) 7.事件是什么 这里的事件就是指j
【校招VIP】校招考点之前端安全和注入
shuize123的博客
05-19 811
随着前端的快速发展,各种技术不断更新,前端的安全问题也越来越值得我们重视。千万不要等到项目上线之后才去重视安全问题,到时候被黑客攻击一切都太晚了。今天的专题将讲述前端几大常见安全问题,在校招面试中也是高频考点。
XSS 安全漏洞介绍及修复方案
最新发布
墨鸦的博客
06-25 6774
XSS 安全漏洞介绍及修复方案
XSS攻击及解决方案
冰夜翎博客
11-03 1859
什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
Xss解决方案
zhanghui200920061988的博客
03-13 1098
本文介绍解决Xss跨站脚本漏洞的方法,本方法解决思路为对request请求进行包装,重写request相关方法,对参数进行转义及过滤。注意此方案只适用于通过request获取普通参数,对于传输的json方式的参数无效,如需解决json方式参数,需要在json序列化或者反序列化时对内容进行转义,解决思路一致。 需要的类主要包括: XssFiter.java import java.io.IOEx...
XSS防注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4364
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
XSS
7hinkSource的博客
09-01 816
XSS漏洞学习(待更新) XSS简介 XSS攻击全称跨站脚本攻击(Cross Site Script),因和层叠样式表(Cascading Style Sheets,CSS)重名,被称为XSSXSS是一种在web应用中的计算机安全漏洞,本质上是客户端注入漏洞,通常注入的脚本为js脚本。攻击者利用XSS攻击避开浏览器的访问控制(例如同源策略)。 同源策略 同源 URL由协议、域名、端口和路径组成 ...
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
7. 解决方案:百度内部通用XSS攻击解决方案探讨培训ppt,总结了一些解决XSS攻击的方法和思路,帮助开发者和安全工程师更好地理解和防御XSS攻击。 8. 安全策略:统一登录分散认证,核心思想:BDUSS+STOKEN,BDUSS...
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击的解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
防止XSS攻击解决办法
01-20
XSS(Cross-site scripting)攻击是一种常见的网络安全威胁,它利用了网站对用户输入的不当处理,使得攻击者能够注入恶意脚本,进而控制或者窃取用户的浏览器数据。防止XSS攻击是保护Web应用安全的重要一环,对于...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
### Spring Boot XSS 攻击过滤插件使用及解决方案详解 #### XSS概述 XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见的Web安全漏洞。这种攻击方式利用了Web应用未能正确过滤用户提交的数据,导致恶意脚本...
xss解决方案
u013029883的博客
08-10 1153
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5122
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
xss漏洞的修复建议/方法
热门推荐
小雨的博客
05-10 1万+
1. html encoding 跨站点脚本漏洞最有效的解决方案是对用户受影响输出进行 HTML encoding。 应用程序应该对:直接源自用户输入的值、可能受用户影响的值、受用户影响的数据存储库值(数据库、日志、文件等)或可能具有的任何其他信息的任何输出进行编码。 在将这些值包含在发送给用户的输出中之前,应通过数据清理组件(编码器)处理此信息,该组件替换其 HTML 表示中的非字母数字字符。此操作确保每个脚本都将呈现给用户,而不是在用户的浏览器中执行。 这些信息在传输中应该执行净化:替换掉
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值