java 跨站脚本攻击_XSS(跨站脚本攻击)漏洞解决方案

最新推荐文章于 2024-02-16 10:30:00 发布
最新推荐文章于 2024-02-16 10:30:00 发布
阅读量1.9k 收藏 1
点赞数 1
文章标签: java 跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33979216/article/details/114433168
版权

首先,简单介绍一下XSS定义:

一 、 XSS介绍

XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。

二、XSS攻击目的及原理

由于对XSS攻击了解不是很深入,暂时罗列两条危害:

1) 被恶意用户发现恶意提交表单。

2) 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

攻击原理图如下所示:

12d18f6c193e614472f7e6747f9be0cd.png

三、解决方案

1、简立HttpServletRequestWapper的包装类。

这个类的目的是对用户发送的请求进行包装,把request中包含XSS代码进行过滤

importjava.util.Map;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {

HttpServletRequest orgRequest= null;publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);

}/*** 覆盖getParameter方法,将参数名和参数值都做xss过滤。

* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取

* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖*/@OverridepublicString getParameter(String name) {

String value= super.getParameter(xssEncode(name));if (value != null) {

value=xssEncode(value);

}returnvalue;

}

@OverridepublicString[] getParameterValues(String name) {

String[] value= super.getParameterValues(name);if(value != null){for (int i = 0; i < value.length; i++) {

value[i]=xssEncode(value[i]);

}

}returnvalue;

}

@OverridepublicMap getParameterMap() {//TODO Auto-generated method stub

return super.getParameterMap();

}/*** 覆盖getHeader方法,将参数名和参数值都做xss过滤。

* 如果需要获得原始的值,则通过super.getHeaders(name)来获取

* getHeaderNames 也可能需要覆盖

* 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,

* 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。

*

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

**/

/*** 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存

*@params

*@return过滤后的值*/

private staticString xssEncode(String value) {if (value == null ||value.isEmpty()) {returnvalue;

}

value= value.replaceAll("eval\\((.*)\\)", "");

value= value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

value= value.replaceAll("(?i).*?", "");

value= value.replaceAll("(?i).*?", "");

value= value.replaceAll("(?i)<.>.*?", "");

value= value.replaceAll("(?i)<.>.*?", "");returnvalue;

}

}

2、Filter过滤器实现对Request的过滤

importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importcom.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;public class XssFilter implementsFilter {public voiddestroy() {//TODO Auto-generated method stub

}/*** 过滤器用来过滤的方法*/

public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throwsIOException, ServletException {//包装request

XssHttpServletRequestWrapper xssRequest = newXssHttpServletRequestWrapper((HttpServletRequest) request);

chain.doFilter(xssRequest, response);

}public void init(FilterConfig filterConfig) throwsServletException {//TODO Auto-generated method stub

}

}

3、在Web.xml中定义好Filter

XssFilter

包名.XssFilter

XssFilter

/*

4、由于Filter类需要引入javax.servlet.api的jar包,因此还得在pom.xml配置jar包

javax.servlet

servlet-api

${servlet.version}

provided

javax.servlet

jsp-api

2.0

provided

3.0-alpha-1

时光琉璃盏
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反射行跨站脚本攻击_Web安全之防止XSS跨站脚本攻击
weixin_32589453的博客
02-24 1025
XSS攻击全称跨站脚本攻击(Cross-site scripting),为和CSS区别,改为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意的web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本XSS攻击的产生原因是对外部输入的参数没有做严格过滤,导致输入参数直接参与页面源代码,相当于页面源代码可以被外部修改,因此可能被改变页面结构、植...
java反射行跨站脚本攻击_跨站脚本攻击之反射XSS漏洞【转载】
weixin_34734156的博客
02-24 935
如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息,就有可能会造成一种常见的XSS漏洞。一般情况下,这种页面使用一个包含消息文本的参数,并在页面加载时将文本返回给用户。对于开发者来说,使用这种方法非常方便,因为这样的解决方法可方便的将多种不同的消息返回状态,使用一个定制好的信息提示页面。例如,通过程序参数输出传递的参数到HTML页面,则打开下面的网址将会返回一个消息提示:http://f...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
XSS攻击(跨站脚本攻击)及应对方式
usernameID007的博客
07-23 342
XSS攻击及解决方法,浏览器安全措施
java实战:Java处理XSS漏洞的四种方法及代码示例
最新发布
oandy0的博客
02-16 2284
本文将介绍几种在Java中处理XSS跨站脚本漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击。
常用解决跨站脚本XSS) 和 代码注入思路
budongfengqing的博客
08-09 467
常用解决跨站脚本和代码注入思路
XSS攻击以及java应对措施
qq_43456605的博客
05-18 4730
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9019
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java 中处理跨站脚本 (XSS)
allway2的博客
07-24 1294
跨站脚本(XSS)是Web应用程序中的一种安全漏洞,攻击者通过某种用户输入(如输入框、URL参数、HTML标头等)注入恶意脚本。Web应用程序信息的机密性、完整性和可用性。来自用户请求的恶意内容显示给用户,或者在服务器响应后写入页面。例如,在下一个屏幕截图中,信用卡号字段很容易受到攻击。例如,在下一个屏幕截图中,您可以看到添加了一个脚本作为注释。加载页面时,脚本将作为代码的一部分执行并打印。...
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 5342
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2171
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击指攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据中发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 4151
Java代码审计】XSS漏洞产生原理及其修复
java防止XSS(跨站脚本攻击)攻击的常用方法总结
热门推荐
码在飞博客
07-13 1万+
一、什么是XSS攻击? XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
JAVA WEB之XSS漏洞详解及防御措施
洛阳泰山的博客
09-06 1799
pom文件依赖 <!--jsoup--> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 工具类代码
JAVA-WEB常见漏洞-XSS漏洞
Websec
11-23 1478
XSS漏洞 攻击者利用XSS(Cross-site scripting)漏洞攻击可以在用户的浏览器中执行JS恶意脚本XSS攻击可以实现用户会话劫持、钓鱼攻击、恶意重定向、点击劫持、挂马、XSS蠕虫等,XSS攻击类分为:反射存储、DOM。 1. 反射XSS攻击 示例 - 存在反射XSSxss.jsp代码: <%=request.getParameter("input")%> 攻击者通过传入恶意的input参数值可以在用户浏览器中注入一段JavaScript脚本.
JAVAWEB项目解决xss漏洞攻击
lllkkk0126的博客
05-22 5248
由于公司安全部门扫描公司上线网站发现了跨脚本传输漏洞,因此派我修复,特把修复心得记录下来 首先,什么是xss?xss攻击全称跨站脚本攻击,就比如<IMGSRC="javascript:alert('XSS');">;可以在参数中加入js代码。 解决方案: 1、采用esapi通过入参校验过滤,这种方案是最安全的,也是最麻烦的。 2、采用过滤器的方法在获取参数的时候对入参进...
跨站脚本:WikyBlog XSS漏洞攻击
05-23
跨站脚本(Cross-site scripting,XSS)是一种常见的Web攻击,攻击者通过在受害者的浏览器中执行恶意脚本来窃取用户的信息或控制用户的帐户。 WikyBlog是一个开源的博客系统,存在XSS漏洞。攻击者可以通过在评论或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值