基于jfinal的XssHandler,统一处理xss脚本攻击

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量402 收藏
点赞数
文章标签: python 测试 java
原文链接:https://my.oschina.net/ydsakyclguozi/blog/490077
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

 前天公司的网站在《360安全检测》上发现了大量xss漏洞。好吧,我立马懂了,除了我做得有几个模块过滤了之外,别的几乎100%存在!

10111709_uWsW.gif

    对于这个东西怎么解决呢?狠是纠结了一番,一个个去改controller吗?好吧这不是我的风格,我没这么勤快!使用拦截器么?(公司使用的是Spring MVC)貌似也解决不了问题?最后使用Filter将问题统一处理OK,其原理是重写掉Request中的getParameter、getParameterValues和getParameterMap方法,使用jsoup清理掉消除不受信任的HTML

    废话不多说,贴代码!下面是我在JFinal中使用handler的实现!

//XssHandler.java
 
/**
 * 统一XSS处理
 * @author L.cm
 * email: 596392912@qq.com
 * site:  http://www.dreamlu.net
 * @date 2014-5-5 上午9:11:10
 */
public class XssHandler extends Handler {
     
    // 排除的url,使用的target.startsWith匹配的
    private String exclude;
     
    public XssHandler(String exclude) {
        this.exclude = exclude;
    }
 
    @Override
    public void handle(String target, HttpServletRequest request,
            HttpServletResponse response, boolean[] isHandled) {
        // 对于非静态文件,和非指定排除的url实现过滤
        if (target.indexOf(".") == -1 && !target.startsWith(exclude)){
            request = new HttpServletRequestWrapper(request);
        }
        nextHandler.handle(target, request, response, isHandled);
    }
}

在jfinal中我添加了一个exclude参数来排除后台Admin中的参数的清理工作!

//HttpServletRequestWrapper.java
 
/**
 * 对HttpServletRequestWrapper重写,为了统一XSS处理加上懒写成这样了
 * @author L.cm
 * email: 596392912@qq.com
 * site:  http://www.dreamlu.net
 * @date 2014-5-5 上午9:10:18
 */
public class HttpServletRequestWrapper extends javax.servlet.http.HttpServletRequestWrapper{
 
    public HttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    /**
     * 重写并过滤getParameter方法
     */
    @Override
    public String getParameter(String name) {
        return HtmlFilter.getBasicHtmlandimage(super.getParameter(name));
    }
     
    /**
     * 重写并过滤getParameterValues方法
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (null == values){
            return null;
        }
        for (int i = 0; i < values.length; i++) {
            values[i] = HtmlFilter.getBasicHtmlandimage(values[i]);
        }
        return values;
    }
     
    /**
     * 重写并过滤getParameterMap方法
     */
    @Override
    public Map getParameterMap() {
        Map paraMap = super.getParameterMap();
        // 对于paraMap为空的直接return
        if (null == paraMap || paraMap.isEmpty()) {
            return paraMap;
        }
        for (Entry entry : paraMap.entrySet()) {
            String key = entry.getKey();
            String[] values     = entry.getValue();
            if (null == values) {
                continue;
            }
            String[] newValues  = new String[values.length];
            for (int i = 0; i < values.length; i++) {
                newValues[i] = HtmlFilter.getBasicHtmlandimage(values[i]);
            }
            paraMap.put(key, newValues);
        }
        return paraMap;
    }
}

Jsoup中会对HTML的attr同样过滤,因为部分attr也是不安全的!

// HtmlFilter.java
//在basic基础上  增加图片通过
public static String getBasicHtmlandimage(String html) {
    if (html == null)
        return null;
    return Jsoup.clean(html, Whitelist.basicWithImages());
}

OK,到此大功告成!

转载于:https://my.oschina.net/ydsakyclguozi/blog/490077

weixin_34227447
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JfinalXSS攻击
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 296
public class XssHandler extends BaseHandler { @Override public void handle(String target, HttpServletRequest request, HttpServletResponse response, boolean[] isHandled) { if (!isFilter(target)) {...
XSS-Handler:节点包管理器模块
05-29
XSS 处理程序 节点包管理器 (NPM) 模块。 由几个用于转义和取消转义 HTML 实体的实用程序方法组成 - 通常需要的实用程序在呈现用户生成的内容时防止 XSS 攻击。 安装 如果已发布,您可以使用: npm install xss-handler --save 但我不发布,所以,您应该使用: npm install --保存 请注意,--save 会将包作为依赖项添加到安装此包的项目的 package.json 文件中。 用法 var xss-handler = require('xss-handler') escape = xss-handler.escape, unescape = xss-handler.unescape; var html = '< h1>Hello World', 转义 = 转义 (html), 未转义 = unescape(转义); consol
xss攻击原理与解决方法
热门推荐
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
jfinal框架 事务配置 及 异常统一拦截处理
点滴空迹的博客
05-09 1770
jfinal框架 事务配置 及 统一异常拦截处理 新接手的项目用了jfinal框架,发现系统有很多地方没有完善,例如事务配置方面,表单提交失败后,脏数据保存到数据库里;controller层返回json数据每个方法都加入try catch,有很多重复性代码,为了使得代码更加的简洁,着手优化一下系统代码,jfinal官方文档场景应用例子太少了。 ...
JFinal实战项目sitesCMS源码详解
06-24
课程说明    这是一套详细介绍sitesCMS源码的视频课程,共计35节,约577分钟。完整、详细的讲解sitesCMS源码,并借此讲解JFinal进行实战项目开发的实现方案。    视频课程是基于JFinal 4.9.8,sitesCMS 2.0.6的,后续JFinal和sitesCMS都会不断升级,我们将同步更新视频教程,可以放心购买。课程亮点:完整的备课笔记;课程逻辑清晰,由面到点,逐步深入;基于开源框架JFinal和sitesCMS,可以看到全部课程源码;免费更新;课程收获:掌握sitesCMS全部源码知识;掌握sitesCMS灵活使用技巧;掌握sitesCMS二次开发技巧;掌握JFinal开发实战项目的基本逻辑和方法(可以直接复用);了解JFinal项目开发的全程知识;赠送一套价值49.9的网站模板,可直接复用;课程要求:    要求有JFinal基础知识,最好是学习过 JFinal从入门到实战【60集】视频教程 。 课程介绍    整套课程分6个章节进行解释,由面到点逐步深入,网站详细的介绍sitesCMS源码以及JFinal实战项目的开发方案。    第一章是基本介绍,对框架进行全局的、必要的说明,可免费观看。    第二章至第五章都是系统源码介绍,其中第二章是全局文件基本说明,了解有哪些东西,第三章至第五章是具体功能点源码说明。    第六章则是介绍二次开发的,讲解怎样高效便捷的使用sitesCMS进行二次开发。课程目录一、基本介绍101.系统简介:介绍系统的基本情况、功能演示102.运行部署:源码获取、本地部署、打包发布、常见问题103.数据库表说明:数据表关联关系、表结构详细说明104.源码简介:文件结构说明、重点文件说明二、源码详解-全局文件201.启动类和undertow.txt:系统启动和undertow的配置202.配置类:全局配置类CMSConfig.java详解203.配置类-数据库配置:单独介绍数据库配置、SQL监控、model生成204.系统参数类:参数类的意义目的、使用三、源码详解-管理端301.登录与退出302.管理端UI介绍:页面的组织、pjax局部刷新、全局拦截器303.权限管控方案:权限介绍、展现形式、市面上常用的设计方案、sitesCMS选用的方案、方案逻辑304.权限管理源码详解:一键同步权限、权限管理、权限限定305.角色管理源码详解:以此为例,完整讲解数据管理功能306.用户管理源码详解:重点介绍分页查询逻辑及源码307.权限自定义指令和权限限定:详细介绍权限自定义指令和权限限定308.系统设计的基本原则:命名原则、数据校验309.栏目文章设计方案:功能设计逻辑310.栏目管理源码详解:父子栏目数据处理,layui使用介绍311.文章管理源码详解:图文和图集的新增保存312.wangEditor使用详解:基本使用,样式保存等常见问题313.文件上传源码详解:文件上传的基本流程、JFinal上传文件实现、富文本编辑器、Layui上传文件实现314.XSS防御详解:XSS简介、sitesCMS防御方案315.CSRF防御详解:CSRF简介、三种防御策略、sitesCMS防御策略316.访问日志源码详解:设计方案、分类、优化升级317.站点管理源码详解:新增站点、站点管理、系统设置、初始化站点数据318.多站点设计方案:多站点需要解决的两个问题,以及问题答案四、源码详解-用户端401.cds站点详细说明:站点资源包详细说明、页面分类、自带页面跳转方法402.自定义指令:9个数据获取处理指令403.cds页面设计:位置、名称、布局五、源码详解-其他源码501.统一异常处理、IP工具类、缓存配置、浏览器图标、逻辑架构六、二次开发601.文章功能的灵活使用:对文章内容的灵活使用解决新增需求602.增强现有功能:实现文章增加一个标签属性的功能603.开发新的功能:实现文件管理功能604.开发新的站点:实现一个新站点开发,介绍新站点开发流程
JFinal如何进行XSS攻击过滤
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
12-16 234
JFinal如何进行XSS攻击过滤
jfinal框架中防跨站脚本XSS攻击
志全的博客
07-27 904
跨站脚本攻击XSS) Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 问题解决: 对于Jfinal轻量级框架解决方式从框架根本从特殊字符转义入手。 1、处理器配置初始化 public void configHandler(Handlers me) { XssHandler xssHan...
基于JFinal的微信公众号极速开发SDK设计源码
04-08
JFinal Weixin - 基于JFinal的微信公众号极速开发SDK,包含698个文件,如HTML、JAVA、JS、TXT、JSP、XML、MD、PROPERTIES和JSON等。该SDK提供了一站式的微信公众号开发解决方案,支持多公众号管理,开发者可以通过...
基于JFinal的国产微服务框架Jboot设计源码
最新发布
05-22
Jboot微服务框架:基于JFinal的国产微服务框架,提供超过992个文件,涵盖Java、HTML、JavaScript、Shell和CSS等多种语言。该框架被用于用户量过亿的商业产品,并已被超过1000家公司采用,用于极速开发。
基于JFinal和Vue的悟空CRM前后端分离设计源码
04-10
本项目是一个基于JFinal和Vue的悟空CRM前后端分离设计源码,共包含2911个文件,其中包括1958个PNG文件、274个Java源文件等。系统采用了jfinal、Vue和ElementUI等技术,为用户提供了一个功能丰富的CRM系统。系统设计...
基于Jfinal的多人博客或社区网站MB设计源码
04-11
本源码提供了一个基于Jfinal的多人博客或社区网站MB设计。项目包含1937个文件,其中包括592个JavaScript文件、305个HTML文件、260个PNG图片、215个CSS样式文件、146个Java源文件、129个GIF图片、83个Less样式文件、...
jfinal中拦截器(Interceptor)的参数注入
02-26
jfinal中拦截器(Interceptor)的参数注入jfinal中拦截器(Interceptor)的参数注入
基于jfinal的报名系统
10-13
【基于JFinal的报名系统详解】 JFinal 是一个基于Java的轻量级Web开发框架,它的设计理念是简单、高效,让开发者可以更专注于业务逻辑的实现,而不是被繁琐的配置和复杂的框架结构所困扰。本项目是一个基于JFinal的...
jfinalxss漏洞的处理
huangbaokang的博客
12-11 765
在我们的jfinal配置类当中,配置自定义Handler public void configHandler(Handlers handler) { //handler.add(我们自定义handler的实例) handler.add(new XssHandler()); } 新建XssHandler类,继承com.jfinal.handler.Handler public class XssHandler extends Handler{ @Overr
jfinal xss过滤以及url注入漏洞的问题
qq_41182238的博客
04-29 1261
这里参考jfinal社区的xss处理方式这里简单记录一下。 1.首先:创建XssHandler 代码如下: package com.gdszgl.common.handler; import com.jfinal.handler.Handler; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.Http...
代码审计.jfinal.XSS
qq_34012951的博客
03-03 144
detail 查看没有对xss特征进行过滤。1、搜索关键特征,查看是否有xss过滤器。更新修改功能没有对前端参数进行XSS过滤。2、没有全局过滤器,梳理所API.
JFinal 如何进行XSS过滤(JFinal 的简单介绍到利用JFinalhandler实现)
Oneask的博客
12-21 5644
JFinal 如何进行XSS过滤(JFinal 的简单介绍到利用JFinalhandler实现)
jfinal cms文档1
08-08
这篇文档主要介绍了基于Java开发的内容管理系统——JFinalCMS。JFinalCMS是一个使用JFinal框架构建的轻量级CMS系统,它结合了Beetl模板引擎、MySQL数据库以及前端Bootstrap框架,提供了一系列功能丰富的后台管理模块...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值