JavaWeb XSS攻击防御

最新推荐文章于 2024-09-12 17:21:06 发布
最新推荐文章于 2024-09-12 17:21:06 发布
阅读量732 收藏
点赞数
文章标签: java 开发工具 python
原文链接:https://my.oschina.net/LucasZhu/blog/1805805
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

XSS概述

      跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

实现Filter,实现XSS过滤器

package com.bj58.qf.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Created with IntelliJ IDEA.
 *
 * @author: zhubo
 * @description: 防止XSS注入攻击Filter过滤器
 * @time: 2018年05月02日
 * @modifytime:
 */
public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
//对请求进行拦截,防xss处理
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request),response);
    }

    @Override
    public void destroy() {

    }
}

继承HttpServletRequestWrapper,实现对请求参数的过滤

package com.bj58.qf.filter;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;
import java.util.regex.Pattern;

/**
 * Created with IntelliJ IDEA.
 *
 * @author: zhubo
 * @description:
 * @time: 2018年05月02日
 * @modifytime:
 */
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    boolean isUpData = false;//判断是否是上传 上传忽略

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
        String contentType = request.getContentType();
        if (null != contentType){
            isUpData =contentType.startsWith ("multipart");
        }
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return stripXSS(value);
    }


    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 获取request的属性时,做xss过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (null != value && value instanceof String) {
            value = stripXSS((String) value);
        }
        return value;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return value;
    }

    private String stripXSS(String value) {
        if (value != null) {

            // Avoid anything in a <script>alert(a);</script>" type of e­xpression
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的 </script> 标签
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // 删除单个的<script ...> 标签
            scriptPattern = Pattern.compile("<script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }




    @Override
    public ServletInputStream getInputStream () throws IOException {
        if (isUpData){
            return super.getInputStream ();
        }else{

            final ByteArrayInputStream bais = new ByteArrayInputStream(inputHandlers(super.getInputStream()).getBytes(Charset.forName("UTF-8")));

            return new ServletInputStream() {

                @Override
                public int read() throws IOException {
                    return bais.read();
                }
            };
        }

    }
    public String inputHandlers(ServletInputStream servletInputStream){
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        return  stripXSS(sb.toString());
    }
}

3、注入XSS过滤器,两种方式 
第一种方式:配置web.xml

<!-- xss过滤器 -->
<filter>
    <filter-name>XssSqlFilter</filter-name>
    <filter-class>cn.aric.xss.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XssSqlFilter</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>

第二种方式:注解

/**
 * 注入Xss过滤器(注解方式)
 */
public class WebInitializer implements WebApplicationInitializer{

    @Override
    public void onStartup(ServletContext servletContext) throws ServletException {
        //添加监听器
        servletContext.addListener(RequestContextListener.class);
        //添加过滤器
        Dynamic xssFilterRegistration = servletContext.addFilter("XssFilter", XssFilter.class);
        //添加映射规则
        xssFilterRegistration.addMappingForUrlPatterns(
                EnumSet.of(DispatcherType.REQUEST,DispatcherType.FORWARD,DispatcherType.INCLUDE), 
                false, 
                "/*");

    }

}

 

 

转载于:https://my.oschina.net/LucasZhu/blog/1805805

攻击JavaWeb应用[1-8]
09-19
### 攻击JavaWeb应用与JavaEE项目漏洞...总之,理解和掌握JavaEE的基础知识对于防御JavaWeb应用的攻击至关重要。通过对JavaEE架构的理解、正确配置数据库连接以及实施有效的安全措施,可以大大降低应用受到攻击的风险。
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 1万+
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7831
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
Java开发安全及防护
最新发布
Agazigi的博客
09-12 2012
开发安全 - XSS 详解 | Java 全栈知识体系 (pdai.tech)就是说其实我们的浏览器十分的愚蠢,它看见js脚本就想执行。好比我们在文本框或者其他什么给后端发送内容的地方写了这些,而不对其进行过滤,就十分的危险。那么如何防范?过滤!xss靶场练习(一)之xss.haozi.me_xss(haozimi)靶场地址-CSDN博客ruoyi的过滤:步骤一:查看FilterConfig类以及配置文件。步骤二:产看XssFilter:init、doFilter。
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5560
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击。
java实战:Java处理XSS漏洞的四种方法及代码示例
oandy0的博客
02-16 1万+
本文将介绍几种在Java中处理XSS(跨站脚本)漏洞的常用方法,并提供详细的代码示例。我们将探讨使用HTML实体编码、使用内容安全策略(CSP)、使用框架内置的XSS防护和自定义过滤器等方法。通过本文,可以了解到如何在Java应用程序中实施有效的安全措施,以防范XSS攻击
Java中的跨站脚本攻击(XSS)处理技术
Oaklkm的博客
12-18 1860
跨站脚本攻击(XSS)是网络攻击中非常常见的一种形式,对网站的安全性和用户的隐私构成了严重威胁。在Java开发中,我们应该采取一系列措施来防范和处理XSS攻击,包括输入验证、编码输出、使用安全的API、设置HTTP头、内容安全策略、输入过滤和使用安全的框架等。同时,我们还需要定期进行安全审计、更新和修补漏洞、监控和日志记录、定期培训、代码审查、测试和验证等措施来确保应用程序的安全性。
攻击JavaWeb应用1-9[JavaWeb安全系列]
04-02
这个系列涵盖了从基础到进阶的JavaWeb安全问题,主要关注的是攻击手段和防御策略。以下是对这些知识点的详细阐述: 1. SQL注入攻击:攻击者通过输入恶意SQL语句来获取、修改、删除数据库中的数据。防御措施包括使用...
网上书城(Javaweb
06-26
8. **安全机制**:在开发过程中,必须考虑安全问题,如防止SQL注入、XSS攻击等。可以使用预编译语句防止SQL注入,对用户输入进行过滤和转义以防御XSS。 9. **AJAX(Asynchronous JavaScript and XML)**:为了提升...
Javaweb书城项目_book.rar
01-11
9. **安全机制**:考虑到涉及用户登录和交易,项目可能实现了用户认证和授权机制,如session管理、CSRF(跨站请求伪造)防护、XSS(跨站脚本攻击)防御等,以保护用户信息安全。 10. **单元测试和集成测试**:为了...
javaWeb博客系统
04-15
7. **安全机制**:博客系统需要考虑的安全问题包括密码加密、SQL注入防护、XSS攻击防御等。通常会使用MD5或更安全的哈希算法对密码进行加密,防止明文传输。对于SQL注入,可以使用预编译语句或ORM框架如Hibernate来...
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 797
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
JAVA如何防御XSS和SQL 注入攻击
p13993233504的博客
04-06 788
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置防护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 5035
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5236
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
java 防止 XSS 攻击的常用方法
adobe1992
09-22 1万+
1. 自己写 filter 拦截来实现,但要注意的时,在WEB.XML 中配置 filter 的时候,请将这个 filter 放在第一位. 2. 采用开源的实现 ESAPI library ,参考网址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API 3. 可以采用spring 里面提供的工具类来
Java XSS:例子和预防
allway2的博客
07-24 5043
成熟的框架(例如Spring)通常具有安全功能,如果使用得当,可以保护您的应用免受最常见类型的攻击。对于我们的第一个示例,我们将展示可以通过查询参数完成的基本XSS攻击。在简要解释了XSS是什么以及为什么它会对您的应用程序的安全构成如此危险的威胁后,我们这样做了。对于某些类型的数据,使用“允许列表”方法可能是有意义的,其中您有一个可以接受的有效数据列表,而其他所有数据都被拒绝。我们示例中的视图有一个故意的错误,以允许未转义的内容按原样显示。他们只受攻击者的独创性和您的应用程序的漏洞的约束。...
java XSS攻击防护
热门推荐
酷毙了耶的博客
05-28 1万+
首先说一下什么是XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 白话解释 说白了xss攻击就是jq代码攻击,用户提交的数据是jq代码,前台拿到数据库中查出的jq代码,浏览器会...
Java防止XSS攻击
u010786200的博客
12-24 6065
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
JavaWeb安全开发规范:构建防御性应用程序
遵循这些Java Web安全开发规范,可以显著提高Web应用的防御能力,降低被攻击的风险,从而保护用户数据和系统的完整性。开发团队应将安全作为开发过程中的核心考虑因素,通过教育和实践,使每个成员都具备良好的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值