使用AntiSamy防止XSS攻击

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量153 收藏
点赞数
文章标签: java python web.xml
原文链接:https://my.oschina.net/u/2472104/blog/710411
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

参考文档:

http://www.2cto.com/Article/201410/342040.html

在web.xml中加上xml过滤器的配置

 <filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.cy.frame.filter.XssFilter</filter-class>
		<async-supported>true</async-supported>
		<init-param>
			<param-name>excludedPages</param-name>
			<param-value>
	          *.js,*.gif,*.jpg,*.png,*.css,*.ico,
	           /rest/*/saveOrUpdateRest,(这里过滤你对应接口,防止要提交的内容带有html元素。这里的接口不会被xss拦截)
			</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping> -->

XssFilter

package com.cy.frame.filter;

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

 
/**
 *
 * <ol>XSS注入拦截
 * <li>{@link  }</li>
 * </ol>
 * @see
 * @author wanghui 
 * @since 1.0
 * @2016年3月14日
 *
 */
public class XssFilter implements Filter {

	/**
	 * 需要排除的页面
	 */
	private String excludedPages;

	private String[] excludedPageArray;
	
	@SuppressWarnings("unused")
	private FilterConfig filterConfig;

	public void destroy() {
		this.filterConfig = null;
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		boolean isExcludedPage = false;

		HttpServletRequest request2 = (HttpServletRequest) request;
		//判断是否需要XSS攻击防护
		isExcludedPage = isMatchUrl(excludedPageArray,   request2) ;
		
		if (isExcludedPage) {
			chain.doFilter(request, response);
		} else {
			chain.doFilter(new XssRequestWrapper(request2), response);
		}

	}

	/**
	 * 自定义过滤规则
	 */
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
		excludedPages = filterConfig.getInitParameter("excludedPages");
		excludedPageArray = new String[] {};
		if (StringUtils.isNotEmpty(excludedPages)) {
			excludedPageArray = excludedPages.replaceAll("[\\s]", "")
					.split(",");
		}
	}
  /**
	 * URL是否符合规则列表
	 * @param patterns
	 * @param request
	 * @return
	 */
   public static boolean isMatchUrl(String[] patterns,	HttpServletRequest request) {
		String ctx_path = request.getContextPath();
		String request_uri = request.getRequestURI();
		String action = request_uri.substring(ctx_path.length()).replaceAll("//", "/");
		return PatternMatchUtils.simpleMatch(patterns, action);
	}

	/**
	 * 
	 * <ol>装饰器模式加强request处理
	 * <li>{@link  }</li>
	 * 
	 * </ol>
	 * @see
	 * @author wanghui 
	 * @since 1.0
	 * @2016年3月14日
	 *
	 */
	static class XssRequestWrapper extends HttpServletRequestWrapper {

		private static Policy policy = null;

		static {
			try {
				policy = Policy.getInstance( XssRequestWrapper.class.getClassLoader()
						.getResourceAsStream("antisamy-anythinggoes.xml"));
			} catch (PolicyException e) {
				 
			}
		}

		public XssRequestWrapper(HttpServletRequest request) {
			super(request);
		}

		@Override
		@SuppressWarnings("rawtypes")
		public Map<String, String[]> getParameterMap() {
			Map<String, String[]> request_map = super.getParameterMap();
			Iterator iterator = request_map.entrySet().iterator();
			while (iterator.hasNext()) {
				Map.Entry me = (Map.Entry) iterator.next();
				String[] values = (String[]) me.getValue();
				for (int i = 0; i < values.length; i++) {
					values[i] = xssClean(values[i]);
				}
			}
			return request_map;
		}

		@Override
		public String[] getParameterValues(String paramString) {
			String[] arrayOfString1 = super.getParameterValues(paramString);
			if (arrayOfString1 == null)
				return null;
			int i = arrayOfString1.length;
			String[] arrayOfString2 = new String[i];
			for (int j = 0; j < i; j++)
				arrayOfString2[j] = xssClean(arrayOfString1[j]);
			return arrayOfString2;
		}

		@Override
		public String getParameter(String paramString) {
			String str = super.getParameter(paramString);
			if (str == null)
				return null;
			return xssClean(str);
		}

		@Override
		public String getHeader(String paramString) {
			String str = super.getHeader(paramString);
			if (str == null)
				return null;
			return xssClean(str);
		}

		private String xssClean(String value) {
			AntiSamy antiSamy = new AntiSamy();
			try {
				// CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
				final CleanResults cr = antiSamy.scan(value, policy);
				// 安全的HTML输出
				return cr.getCleanHTML() ;
			} catch (ScanException e) {
			} catch (PolicyException e) {
			}
			return value;
		}

	}

}

 配置文件(antisamy-anythinggoes.xml下载地址)

https://yunpan.cn/cBk3ZhvSC8DJw  访问密码 1cb6

相关依赖jar

<dependency>
      <groupId>org.owasp.antisamy</groupId>
      <artifactId>antisamy</artifactId>
      <version>1.5.3</version>
      <scope>compile</scope>
    </dependency>
    <dependency>
      <groupId>org.owasp.antisamy</groupId>
      <artifactId>antisamy-sample-configs</artifactId>
      <version>1.5.3</version>
      <scope>compile</scope>
    </dependency>

 

转载于:https://my.oschina.net/u/2472104/blog/710411

weixin_33898876
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSS防御-使用AntiSamy
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS的防御中
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 405
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
AntiSamy防跨站脚本攻击(XSS)快速入门
我要记录学习博客
08-29 915
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。...
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1702
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1235
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1581
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
springMVC使用Antisamy防御XSS配置(包括请求黑白名单)
Abdulaziz的博客
01-07 1093
AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。 1、maven依赖 <dependency> <groupId>org.owasp.antisamy</groupId> <artifactId>antisamy</artifactId> <version
XSS攻击实例1
01-11
Asp.net是一个由Microsoft开发的开源Web应用程序框架,它提供了丰富的功能和安全性机制来防止XSS攻击。在VS2010环境下,开发者可以利用内置的安全特性来构建更安全的应用。 1. 防止反射型XSS:使用ASP.NET的...
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效防止xss攻击。它提供了用于验证用户输入的富文本以防御跨站脚本的API
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。antisamy通过提供一套详细的策略和规则,可以对HTML、...
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
antisamy的jar包
03-21
总的来说,【antisamy的jar包】是预防XSS攻击的关键组件,它通过强大的过滤机制保护了用户免受恶意脚本的危害。了解并正确使用antisamy,可以显著提高Web应用的安全性,是每个开发者的必备技能。
antisamy xml
09-29
总的来说,Antisamy XML配置是实现Web应用安全的关键部分,它通过定义和实施安全策略,帮助开发者防止XSS攻击,保护用户和服务器不受恶意代码的影响。深入研究这些配置文件,以及XML的基础知识,将有助于构建更加...
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2580
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSS。XSS分为以下两种类型
使用antisamy防止xss注入
weixin_34148456的博客
06-10 441
2019独角兽企业重金招聘Python工程师标准>>> ...
【SpringBoot】:AntiSamy入门案例
源僧
04-30 422
文章目录前言第一步:创建maven工程antiSamy_demo并配置pom.xml文件第二步:创建application.yml第三步:创建策略文件/resources/antisamy-test.xml,文件内容可以从antisamy的jar包中获取第四步:创建User实体类和UserController第五步:创建/resources/static/index.html页面第六步:创建启动类第七步:测试没有进行参数过滤第八步:创建过滤器,用于过滤所有提交到服务器的请求参数第九步:创建XssReques
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3404
Antisamy(XSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻
antisamy java_XSS 简单理解之:AntiSamy
weixin_39611047的博客
02-16 175
AntiSamy介绍OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。我们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有140个分会近四万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。OWASP AntiSamy项目可以有好几种定义。从技术角度看,它是一个可确保用户输入的HTML/CSS符合应...
配置Java开发环境
最新发布
Broken_x的博客
07-10 1590
Java开发环境配置
AntiSamy防御XSS攻击
07-22
AntiSamy是一个用于防御跨站脚本攻击(XSS)的Java库。它的主要目标是防止恶意用户通过在网站上...使用AntiSamy可以有效地防御XSS攻击,但仍建议采取其他安全措施,如输入验证和输出编码,以提高应用程序的整体安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值