七、抵御即跨站脚本(XSS)攻击

最新推荐文章于 2023-05-17 08:30:00 发布
最新推荐文章于 2023-05-17 08:30:00 发布
阅读量1.7k 收藏 3
点赞数
分类专栏: SpringBoot在线协同办公小程序 文章标签: xss javascript 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39309918/article/details/127425037
版权

        XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实 际上也可以包括JavaVBScriptActiveXFlash 或者甚至是普通的HTML。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种 内容。

       例如用户在发帖或者注册的时候,在文本框中输入 <script>alert('xss')</script> ,这段代码
如果不经过转义处理,而直接保存到数据库。将来视图层渲染 HTML 的时候,把这段代码输出到
页面上,那么 <script> 标签的内容就会被执行。
      通常情况下,我们登陆到某个网站。如果网站使用 HttpSession 保存登陆凭证,那么
SessionId 会以 Cookie 的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的
JavaScript 代码是用来获取 Cookie 内容的,并且把 Cookie 内容通过 Ajax 发送给黑客自己的电
脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染 HTML 页面,就会执行注入
XSS 脚本,于是你的 Cookie 信息就泄露了。黑客在自己的电脑上构建出 Cookie ,就可以冒
充已经登陆的用户。
      即便很多网站使用了JWT ,登陆凭证( Token 令牌 )是存储在浏览器上面的。所以用 XSS 脚本可 以轻松的从Storage 中提取出 Token ,黑客依然可以轻松的冒充已经登陆的用户。
所以避免 XSS 攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到
视图层渲染 HTML 页面的时候。转义后的文字是不会被当做 JavaScript 执行的,这就可以抵御 XSS
攻击。
二、导入依赖库 
<dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.4.0</version>
        </dependency>

三、创建XssFilter跟XssHttpServletRequestWrapper文件

package com.example.emos.wx.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

package com.example.emos.wx.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}

四、 启动类增加@ServletComponentScan注解

五、测试调试 

 

 

成序原
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringBoot解决XSS脚本攻击
实战架构师
07-31 1016
文章目录一.思路二.实现2.1 定义XssHttpServletRequestWrapper2.2 定义XssFilter类实现Filter接口2.3 Filter配置2.4 yaml配置 一.思路 1.定义XssHttpServletRequestWrapper类继承HttpServletRequestWrapper覆写getParameterValues,getInputStream方法 request的inputStream只能被读取一次,多次读取将报错; 解决方案:通过构造方法先记录已读取的内容,然
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3375
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网或将用户重定向到恶意点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
【安全】XSS安全漏洞与CSRF攻击
藏经阁
02-08 903
XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
XSS脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
2-7 抵御脚本XSS攻击 - EMOS小程序1
08-04
一、XSS攻击的危害 二、导入依赖库 三、定义请求包装类
XSS脚本gj剖析与防御
05-18
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息、操纵用户界面或进行其他有害操作。这种攻击通常发生在Web应用程序中,因为它们未能...
18.XSS脚本攻击原理及代码攻防演示(一)1
08-03
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全问题,它发生在攻击者通过在网页中注入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而盗取用户数据或者控制用户浏览器的行为。XSS攻击主要分为...
基于PHP的修补脚本攻击漏洞php版源码.zip
最新发布
12-30
脚本(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在用户浏览器中注入恶意脚本,从而控制用户的会话、窃取敏感信息或者进行其他恶意行为。针对这种威胁,PHP开发者需要采取一系列...
HttpServletRequestWrapper 实现xss注入 脚本编制
neusoft-mengxiaoming的专栏
07-23 1096
主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法 web.xml配置filter &lt;filter&gt; &lt;filter-name&gt;XssEscape&lt;/filter-name&gt; ...
java 防XSS过滤处理过滤器
深望的博客
11-06 2999
防止XSS攻击的过滤器 import com.XX.utils.StringUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.u
j2ee安全问题(springmvc xss 文件上传类型限制 resin banner修改)
kingboy190的博客
07-27 845
安全问题很多,这里介绍三方面: 1.xss过虑 2.spring中文件类型上传限制 3.resin banner修改(服务器的信息修改) 第一、XSS过虑 web项目的xss过虑可以创建一个过虑器,解析request里面的参数,判断如果有特殊的就替换掉。那网上有一个贴子是这样实现的springmvc xss解决方案,很多人怕麻烦喜欢代码一贴问题就解决了。那有的时候总是会碰到问题的,那这里我
java防止xss攻击(过滤器)
meat_eating的博客
11-08 2974
java防止xss攻击
XSS(脚本攻击)漏洞解决方案
xulong5000的专栏
10-21 909
首先,简单介绍一下XSS定义: 一 、 XSS介绍 XSS脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。 二、...
【Java代码审计】XSS漏洞产生原理及其修复
m0_62783065的博客
05-17 5008
【Java代码审计】XSS漏洞产生原理及其修复
servlet过滤器防xss,sql注入.filter里修改parameter参数
凉粉
12-10 3192
这中间起到最关键作用的就是HttpServletRequestWrapper 首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。 public class OpRequestWrap extends HttpServletRequest
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1206
概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
【转】HttpServletRequestWrapper 实现xss注入
weixin_30888413的博客
09-15 176
  这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()这个方法。 解决过程主要在用户输入和显示输出两步:在输入时对特殊字符如<>" ' & 转义,在输出时用jstl的fn:excapeXml("fff")方法。 其中,输入...
CSP是如何抵御XSS攻击
05-23
具体地,CSP可以通过以下方式来抵御XSS攻击: 1. 限制可信来源:CSP可以限制页面中可以加载的资源来源,只允许从指定的域名加载资源。这样可以减少恶意脚本的注入和执行。 2. 禁止内联脚本:CSP可以禁止在HTML中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

成序原

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值