有效预防xss_XSS攻击及预防

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量247 收藏
点赞数
文章标签: 有效预防xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36204626/article/details/111971549
版权

XSS攻击 Web安全 过滤器 Struts框架 编码防御
关键词由CSDN通过智能技术生成

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

攻击实例

下面为一个Input标签:

当用输入值为" οnfοcus="alert(document.cookie)  时,input标签内容变为

当input中的可以执行的js脚本被存储到数据库中。用户再次取出显示时。就会取到用户的cookie。从而得到用户名和密码。

(1)添加用户

(2)数据库中存储可执行脚本

(3)编辑用户(XSS攻击发生)

攻击危害

以上获取用户名和密码只是个简单的xss攻击,还有跟多的XSS攻击实例。例如将用户导航到其他网站,后台挂马操作等

攻击预防

原理:主要采用过滤器对请求中的特殊字符进行编码转化。从而将可以执行的script代码变为不可以执行的script脚本存储到数据库中。

示例:开发环境采用的SSH框架。所以采用过滤器,注意这里采用装饰者模式对请求request对象进行了包装。

注:由于使用了struts2.所以要自定义的装饰者对象继承StrutsRequestWrapper类。但是这样对于上传文件获得不到参数。因为上传文件请求类型为MultiPart

所以包装对象为原始的请求HttpServletRequestWrapper

具体代码:

1 public class XssFilter implementsFilter {2

3 public voiddestroy() {4

5 }6

7 public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throwsIOException, ServletException {8 XssStrutsRequestWrapper xssRequest = newXssStrutsRequestWrapper((HttpServletRequest) servletRequest);9 HttpServletResponse response =(HttpServletResponse)servletResponse;10 filterChain.doFilter(xssRequest, response);11 }12

13 public void init(FilterConfig arg0) throwsServletException {14

15 }16

17 }

1 public class XssStrutsRequestWrapper extendsHttpServletRequestWrapper{2 privateHttpServletRequest orgRequest;3

4 publicXssStrutsRequestWrapper(HttpServletRequest request) {5 super(request);6 this.orgRequest =request;7 }8 /**

9 * 获取最原始的request10 *@return

11 */

12 publicHttpServletRequest getOrgRequest() {13 returnorgRequest;14 }15 /**

16 * 获取最原始的request的静态方法17 *@return

18 */

19 public staticHttpServletRequest getOrgRequest(HttpServletRequest req) {20 if (req instanceofXssStrutsRequestWrapper) {21 return((XssStrutsRequestWrapper) req).getOrgRequest();22 }23 returnreq;24 }25 /**

26 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
27 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
28 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖29 */

30 @Override31 publicString getParameter(String name) {32 String value = super.getParameter(xssEncode(name));33 if (value != null) {34 value =xssEncode(value);35 }36 returnvalue;37 }38

39 /**

40 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
41 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
42 * getHeaderNames 也可能需要覆盖43 */

44 @Override45 publicString getHeader(String name) {46 String value = super.getHeader(xssEncode(name));47 if (value != null) {48 value =xssEncode(value);49 }50 returnvalue;51 }52 /**

53 * 覆盖getParamterMap方法,54 */

55 @Override56 @SuppressWarnings("unchecked")57 public MapgetParameterMap() {58 Map paramMap = super.getParameterMap();59 Set keySet =paramMap.keySet();60 for (Iterator iterator =keySet.iterator(); iterator.hasNext();) {61 String key =(String) iterator.next();62 String[] str =paramMap.get(key);63 for(int i=0; i

65 str[i] =xssEncode(str[i]);66 }67 }68 returnparamMap ;69 }70 publicString xssEncode(String source){71 if (source == null) {72 return "";73 }74 String html = "";75 StringBuffer buffer = newStringBuffer();76 for (int i = 0; i < source.length(); i++) {77 char c =source.charAt(i);78 switch(c) {79 case '

81 buffer.append("<");82 break;83 case '>':84 //buffer.append(">");

85 buffer.append(">");86 break;87 case '&':88 //buffer.append("&");

89 buffer.append("&");90 break;91 case '"':92 //buffer.append(""");

93 buffer.append(""");94 break;95 default:96 buffer.append(c);97 }98 }99 html =buffer.toString();100 returnhtml;101 }102

103 }

这里编码实现主要是xssEncode(String source)方法。XssStrutsRequestWrapper必须重写getParameterMap()方法。并调用xssEncode(String source)编码。

结果:

数据中内容将英文的“变为全角" 。从而将可以执行的js脚本并未不可执行的脚本存储在数据库中。

gegey
关注
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3093
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
有效预防xss_4类防御XSS有效方法
weixin_42514002的博客
12-24 2704
最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。XSS的本质XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:test将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\,则以...
xss攻击和防范
qi_SJQ_的博客
08-18 326
A.PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数 B.PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤: 1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容 2.必须要用innerHTML等等函数,则需要做类似php的htmlspe.
防范xss的正确姿势
weixin_30832143的博客
04-20 186
防范xss的正确姿势 xss攻击是web攻击中非常常见的一种攻击手段。如果你还没有听说过xss攻击,可以先了解xss的相关知识和原理,例如:XSS)" target="_blank" rel="nofollow,noindex">https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)。 防范xss攻击的方式也十分简单...
手摸手带你进行XSS攻击与防御
最新发布
公众号:该用户快成仙了
07-31 1063
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击
xss攻击与防御
zhangzhangdan的博客
12-30 2098
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它 用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(sam
XSS如何防范
qq_45803050的博客
11-27 8264
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
预防xss攻击
KeepCoding
12-26 833
常见的xss攻击有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。另外一种是持久型,攻击者提交含有恶意脚本的请求并被应用保存在了数据库中。 虽然xss攻击相对来说是一种比较老的攻击手段,但是却又在不断的变化出新的攻击方式,因此对它的防范也是较复杂的,但是主要的防御手段有如下两种。 消毒 xss一般利用恶意脚本来攻击,所以输入的内容一般用户是较少使用的,所以
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
- **使用安全的编程框架和库**:许多现代Web框架和库都内置了防止XSS攻击的安全机制,如Ruby on Rails的`h()`函数和JavaScript的`textContent`属性。 XSS攻击常常与Java Web开发结合,因为Java是广泛用于构建Web...
如何预防xss攻击
yihanzhi的博客
03-08 1012
xss攻击 预防xss攻击的最简最常用方法是将一些特殊字符转为字符实体。 5个特殊字符:【&gt;】 、【&lt;】、【&amp;】、【"】、【 ’ 】 字符和字符实体对应关系见下表 常用字符实体 参考网址:http://www.w3school.com.cn/html/html_entities.asp ...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
防止XSS攻击xssProtect
01-09
防止XSS攻击的开源Java的三个jar包antlr-3.0.1.jar、antlr-runtime-3.0.1.jar、xssProtect-0.1.jar
XSS简单防御模块
weixin_39876634的博客
02-26 165
声明:以下仅为简单尝试模块,未经测试;如要使用,还请详细斟酌。需要结合jquery使用。 模块代码 // ### protect.js ### /** * @desc 防止XSS攻击 * @date 2020-02-25 * @author Chang-Jin */ function Protect() { var hex = new Array('0', '1', '2', ...
XSS攻击和防御
qq_45448359的博客
03-15 270
XSS攻击和防御 XSS:Cross Site Scripting 跨站脚本攻击 存储型XSS 恶意用户提交了恶意内容到服务器 服务器没有识别,保存了恶意内容到数据库 正常用户访问服务器 服务器在不知情的情况下,给予了之前的恶意内容,让正常用户遭到攻击 反射型 恶意用户分享了一个正常网站的链接,链接中带有恶意内容 正常用户点击了该链接 服务器在不知情的情况,把链接的恶意内容读取了出来,放进了页面中,让正常用户遭到攻击 DOM型 恶意用户通过任何方式,向服务器中注入了一些dom元素,
XSS攻击常识及常见的XSS攻击脚本汇总
撸小鱼&奥术猫
04-12 4035
一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 二、XSS分类 XSS有三类:反射型XSS(非持久型)、存储型XSS(持久型)和DOM XSS 1、反射型XSS 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内...
如何防止XSS攻击
m0_49521873的博客
05-23 6715
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
XSS攻击与防范方法
m0_58474008的博客
05-16 1322
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击者攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
uniapp预防 XSS 攻击
04-28
Uniapp预防XSS攻击的方法有以下几种: 1. 对用户输入数据进行过滤和转义,比如使用encodeURIComponent()函数对URL参数进行编码,使用innerHTML()函数对HTML标签进行过滤。 2. 对于需要用户输入HTML代码的场景,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值