预防XSS攻击,(参数/响应值)特殊字符过滤

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量208 收藏
点赞数
文章标签: javascript java web.xml ViewUI
原文链接:http://www.cnblogs.com/yangxiong/p/8204038.html
版权

一、什么是XSS攻击 
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。

二、XSS漏洞的危害 
(1)网络钓鱼,包括盗取各类用户账号; 
(2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; 
(3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; 
(4)强制弹出广告页面、刷流量等; 
(5)网页挂马; 
(6)进行恶意操作,例如任意篡改页面信息、删除文章等; 
(7)进行大量的客户端攻击,如DDoS攻击; 
(8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; 
(9)控制受害者机器向其他网站发起攻击; 
(10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; 
(11)提升用户权限,包括进一步渗透网站; 
(12)传播跨站脚本蠕虫等; 
……

三、如何编写代码来避免 
如下代码可以避免XSS注入,但是作者因知识面有限,故不能保证100%能完全将XSS攻击者拒之门外,还需大家根据实际情况进行优化和改进。 
既然我们通过代码来解决问题,就尽可能的不涉及开发人员的对原有代码修改,所以我们增加过滤器来拦截处理,本文原有框架使用springmvc。 
1、IllegalCharacterFilter.java

package com.lenovo.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; /** * 非法字符过滤器,用来处理request.getParamater中的非法字符。如<script>alert('123');</script> * * @author 单红宇(365384722) * @myblog http://blog.csdn.net/catoop/ * @create 2015年9月18日 */ public class IllegalCharacterFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest)req; request = new MHttpServletRequest(request); chain.doFilter(request, res); } @Override public void destroy() { } }

 

2、MHttpServletRequest.java

package com.lenovo.common.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.lenovo.common.utils.XssShieldUtil;

/** * 参数特殊字符过滤 * * @author 单红宇(365384722) * @myblog http://blog.csdn.net/catoop/ * @create 2015年9月18日 */ public class MHttpServletRequest extends HttpServletRequestWrapper { public MHttpServletRequest(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { // 返回值之前 先进行过滤 return XssShieldUtil.stripXss(super.getParameter(XssShieldUtil.stripXss(name))); } @Override public String[] getParameterValues(String name) { // 返回值之前 先进行过滤 String[] values = super.getParameterValues(XssShieldUtil.stripXss(name)); if(values != null){ for (int i = 0; i < values.length; i++) { values[i] = XssShieldUtil.stripXss(values[i]); } } return values; } }

 

3、XssShieldUtil.java

package com.lenovo.common.utils;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * 处理非法字符
 *
 * @author   单红宇(365384722)
 * @myblog  http://blog.csdn.net/catoop/
 * @create    2015年9月18日
 */
public class XssShieldUtil {

    private static List<Pattern> patterns = null; private static List<Object[]> getXssPatternList() { List<Object[]> ret = new ArrayList<Object[]>(); ret.add(new Object[]{"<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE}); ret.add(new Object[]{"eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL}); ret.add(new Object[]{"expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL}); ret.add(new Object[]{"(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE}); ret.add(new Object[]{"<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL}); ret.add(new Object[]{"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL}); ret.add(new Object[]{"<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL}); return ret; } private static List<Pattern> getPatterns() { if (patterns == null) { List<Pattern> list = new ArrayList<Pattern>(); String regex = null; Integer flag = null; int arrLength = 0; for(Object[] arr : getXssPatternList()) { arrLength = arr.length; for(int i = 0; i < arrLength; i++) { regex = (String)arr[0]; flag = (Integer)arr[1]; list.add(Pattern.compile(regex, flag)); } } patterns = list; } return patterns; } public static String stripXss(String value) { if(StringUtils.isNotBlank(value)) { Matcher matcher = null; for(Pattern pattern : getPatterns()) { matcher = pattern.matcher(value); // 匹配 if(matcher.find()) { // 删除相关字符串 value = matcher.replaceAll(""); } } value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;"); } // if (LOG.isDebugEnabled()) // LOG.debug("strip value: " + value); return value; } public static void main(String[] args) { String value = null; value = XssShieldUtil.stripXss("<script language=text/javascript>alert(document.cookie);</script>"); System.out.println("type-1: '" + value + "'"); value = XssShieldUtil.stripXss("<script src='' onerror='alert(document.cookie)'></script>"); System.out.println("type-2: '" + value + "'"); value = XssShieldUtil.stripXss("</script>"); System.out.println("type-3: '" + value + "'"); value = XssShieldUtil.stripXss(" eval(abc);"); System.out.println("type-4: '" + value + "'"); value = XssShieldUtil.stripXss(" expression(abc);"); System.out.println("type-5: '" + value + "'"); value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'></img>"); System.out.println("type-6: '" + value + "'"); value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'/>"); System.out.println("type-7: '" + value + "'"); value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'>"); System.out.println("type-8: '" + value + "'"); value = XssShieldUtil.stripXss("<script language=text/javascript>alert(document.cookie);"); System.out.println("type-9: '" + value + "'"); value = XssShieldUtil.stripXss("<script>window.location='url'"); System.out.println("type-10: '" + value + "'"); value = XssShieldUtil.stripXss(" onload='alert(\"abc\");"); System.out.println("type-11: '" + value + "'"); value = XssShieldUtil.stripXss("<img src=x<!--'<\"-->>"); System.out.println("type-12: '" + value + "'"); value = XssShieldUtil.stripXss("<=img onstop="); System.out.println("type-13: '" + value + "'"); } }

 

4、web.xml 配置

    <!-- 非法参数过滤器 -->
    <filter>
        <filter-name>IllegalCharacterFilter</filter-name> <filter-class>com.lenovo.common.filter.IllegalCharacterFilter</filter-class> </filter> <filter-mapping> <filter-name>IllegalCharacterFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping>

转载于:https://www.cnblogs.com/yangxiong/p/8204038.html

weixin_30897079
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xss攻击字符过滤Java_利用简单的过滤过滤特殊字符实现 防止XSS攻击
weixin_39838758的博客
02-24 282
web.xml配置文件XSSFiltercom.neusoft.common.filter.XSSFilterXSSFilter/*package com.neusoft.common.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax...
xss绕过字符过滤_WEB安全之XSS攻击方式与防御方式
weixin_33483567的博客
01-04 1091
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
xss过滤特殊字符
BusyMonkey
06-19 6004
xss过滤特殊字符
渗透测试XSS跨站漏洞input输入js特殊字符过滤
a1604914398的博客
05-09 5609
修复建议:建议对用户得输入与输出进行过滤过滤一些比较危险得标签和关键字,如<script></script>、alert等 代码如下:在input输入框加入onblur事件;定义onblur="checkText('id',this.value)";id为文本框DOMid属性 //验证文本框输入特殊字符 function checkText(id,text){/...
xss绕过方法有哪些?XSS攻击绕过过滤方法技巧分享(xss绕过宝塔)
白帽子佳奇的博客
12-12 4537
XSS(跨站脚本攻击)绕过方法是一系列技巧,用来绕过目标网站的安全措施和过滤器,执行恶意的脚本。
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1844
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
这通常包括对请求参数、响应内容的清洗,去除或转义可能引发XSS特殊字符。 4. 配置过滤规则:根据需求设置哪些URL需要应用XSS过滤,哪些不需要。可以使用`antMatchers`或`requestMatchers`来指定路径。 5. 测试...
Java防止xss攻击附相关文件下载
08-25
你可以创建一个自定义Filter,对所有请求参数进行遍历,并对特殊字符进行转义。 2. **覆盖Servlet的getParameter方法**: Servlet API允许覆盖`getParameter`方法,这样在获取请求参数时就可以添加额外的安全检查...
防止XSS攻击解决办法
01-20
4. 使用X-XSS-Protection响应头:开启浏览器内置的XSS过滤功能,虽然效果有限,但可以作为额外的防护层。 5. 框架和库的选择:使用已内置安全机制的开发框架,如Spring Security,它们提供了XSS防御的功能。 四、...
防止xss和sql注入:JS特殊字符过滤正则
10-27
防止xss和sql注入:JS特殊字符过滤正则,需要的朋友可以参考一下
XSS防攻击实现
05-09
1. **输入验证**:对用户提交的数据进行严格的验证和过滤,限制特殊字符的使用,例如`< > " ' &`等HTML标签和特殊字符。在Spring MVC中,我们可以通过`@Validated`注解和自定义校验器实现。 2. **输出编码**:对...
XSS攻击进阶篇.zip
09-27
**XSS(跨站脚本)攻击是一种常见的网络安全威胁,主要针对Web应用程序。它利用了网站的信任机制,通过注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而可能导致敏感信息泄露、账户劫持以及其他恶意行为。**...
web安全之XSS攻击及防御pdf
08-25
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不充分或者处理不当,导致恶意脚本被注入到网页中。当其他用户访问这些包含恶意...
java 请求参数过滤拦截
03-10
这里的“java请求参数过滤拦截”主要是指在接口接收到用户输入的数据时,通过过滤器(Filter)对参数进行检查,防止恶意攻击者利用特殊字符执行SQL注入、跨站脚本攻击(XSS)等危害。下面我们将详细探讨这一主题。 ...
XSS处理方法
qq_34821979的博客
12-04 444
package cn.com.klec.sgmysql.web.action.util; import java.lang.reflect.Field; import java.lang.reflect.Method; import java.util.Arrays; import java.util.regex.Matcher; import java.util.regex.P
Nginx过滤url
weixin_41804506的博客
04-13 7198
过滤链接中的? 在nginx的配置文件中写入 location / { # 当访问的url中含有/%#时返回404 if ($request_uri ~* "/%#") { return 404; } #当访问url的后面带有?的链接 返回404 if ($request_uri ~* ^/a/m/(.*)\.html\?(.*)$) { return 404;
Web-XSS漏洞
weixin_43916678的博客
05-01 1041
XSS攻击(跨站脚本攻击)是指攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 XSS攻击主要影响的是用户端的安全,包含用户信息安全、权限安全等。并且多数XSS攻击都依赖于JavaScript脚本开展。 核心要求是构造出能够让前端执行的JS代码,让攻击者的JS代码在受害者浏览器上执行,攻击系统用户而不是系统本身。 JS运行条件:代码位于< script >标签中、代
它都没有回显怎么知道是否过滤特殊字符
06-10
如果应用程序没有回显,那么你可能需要使用一些其他的技巧来确定应用程序是否过滤特殊字符。 以下是一些可能的方法: 1. 尝试使用一些常见的特殊字符,如单引号、双引号、反斜杠等。如果应用程序对这些字符进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值