java安全(二) --自编写字符串过滤-(防XSS攻击)

最新推荐文章于 2024-07-26 16:43:29 发布
最新推荐文章于 2024-07-26 16:43:29 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: java安全系列
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41622183/article/details/84033722
版权

前言:

       最近项目中遇到很无语的XSS攻击问题,网上也有很多解决方案,一般也有用httponly来防止XSS拿到cookie的。

没办法,前端输入的数据都是不可信的数据,需要对传入后端的数据做处理,针对数据过滤,本着造轮子的原则,我写了一套过滤规则。可以过滤常见的XSS脚本。当然,如果想要完善的,可以使用springboot提供的XSS过滤。

 

简单一点上代码:

package com.information.student.utils;

import com.information.student.form.StudentInfoForm;


import java.lang.reflect.Field;

import java.lang.reflect.Method;
import java.util.*;

/**
 * @date 2018/11/13 
 * @author Gentle
 */
public class XssHandler {


    public static void main(String[] args) throws Exception {
        StudentInfoForm studentInfoForm = new StudentInfoForm();
        studentInfoForm.setSiIdcard("使用javascript脚本:" + "<scrpit>123</script>");
        studentInfoForm.setSiName("使用非法sql注入类字符:" + "#   %  <>");
        System.out.println(studentInfoForm.getSiIdcard());
        Object o = checkString(studentInfoForm);
        System.out.println(o);
        String[] a = new String[1];
        a[0]="<script>";
        checkString(a);
        System.out.println(a[0]);
    }

    /**
     * 校验数组,并且进行过滤
     * @param strings
     * @return
     */

    public static String[] checkString(String[] strings) {

        if (strings == null || strings.length <= 0) {
            throw new NullPointerException("传入数组不能为空");
        }
        for (int i = 0; i < strings.length; i++) {
            strings[i]=xssEncode(strings[i]);
        }
        return strings;
    }

    /**
     *  校验对象中String类型的字段。并且进行过滤
     * @param o
     * @return
     * @throws Exception
     */

    public static Object checkString(Object o) throws Exception {

        if (o instanceof Collection) {
            throw new RuntimeException("传入的类型有误,不能为集合类型");
        }

        Class<?> aClass = o.getClass();

        Field[] field = aClass.getDeclaredFields();
        List<String> list = new ArrayList();
        //找出所有String类型的字段
        for (Field field1 : field) {
            if (field1.getType().equals(String.class)) {
                list.add(field1.getName());
            }
        }
        for (int i = 0; i < list.size(); i++) {
            //获取get方法
            Method declaredMethod = aClass.getDeclaredMethod(getGetMethod(list.get(i)));
            //用get方法拿到属性值
            Object o1 = declaredMethod.invoke(o);
            //获得set方法。注入一般是字符串类型。所以写死String了
            Method declaredMethod1 = aClass.getDeclaredMethod(getSetMethod(list.get(i)), String.class);
            //用set方法将拿到的属性值进行过滤后放回
            declaredMethod1.invoke(o, new String[]{xssEncode(String.valueOf(o1))});
        }

        return o;
    }

    /**
     *  获得set方法。
     * @param key
     * @return
     * @throws Exception
     */
    private static String getSetMethod(String key) throws Exception {

        return "set" + Character.toUpperCase(key.charAt(0)) + key.substring(1);
    }

    private static String getGetMethod(String key) throws Exception {

        return "get" + Character.toUpperCase(key.charAt(0)) + key.substring(1);
    }


    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append('>');// 全角大于号
                    break;
                case '<':
                    sb.append('<');// 全角小于号
                    break;
                case '\'':
                    sb.append('‘');// 全角单引号
                    break;
                case '\"':
                    sb.append('“');// 全角双引号
                    break;
                case '&':
                    sb.append('&');// 全角
                    break;
                case '\\':
                    sb.append('\');// 全角斜线
                    break;
                case '#':
                    sb.append('#');// 全角井号
                    break;
                case '%':    // < 字符的 URL 编码形式表示的 ASCII 字符(十六进制格式) 是: %3c
                    processUrlEncoder(sb, s, i);
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }

    public static void processUrlEncoder(StringBuilder sb, String s, int index) {
        if (s.length() >= index + 2) {
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'c' || s.charAt(index + 2) == 'C')) {    // %3c, %3C
                sb.append('<');
                return;
            }
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '0') {    // %3c (0x3c=60)
                sb.append('<');
                return;
            }
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'e' || s.charAt(index + 2) == 'E')) {    // %3e, %3E
                sb.append('>');
                return;
            }
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '2') {    // %3e (0x3e=62)
                sb.append('>');
                return;
            }
        }
        sb.append(s.charAt(index));
    }

}

用来被处理的对象:

package com.information.student.form;

import lombok.Data;

import java.util.Date;

/**
 * 学生信息表单
 * @author CCJ
 * @date 2018/11/10 17:38
 **/
@Data
public class StudentInfoForm {

    /** 学生姓名 **/
    private String siName;

    /** 学号 **/
    private String siNumber;

    /** 学生状态 **/
    private Integer siStatus;

    /** 学生身份证号码 **/
    private String siIdcard;

    /** 学生所属系别 **/
    private Integer siDept;

    /** 学生毕业时间 **/
    private Date siGraduationTime;


}

 

简单做一下测试:

 

      我们输入的<script> 字符串全部被转成圆角的。这样展示的就是就不会被浏览器认为是一个标签了。

 

总结:

       XSS攻击很烦,关键是还没有很好的防御方案。最好的也是给攻击者造成攻击麻烦,如果有毅力的攻击者一样可以攻击到,只不过是时间问题。我的技术有限,如果有好的方案,欢迎一起交流学习。

 

 

程序人生,与君共勉~!

 

 

 

LuckyToMeet-Dian叶
关注
专栏目录
Java代码审计】XSS篇
大河之犬的博客
12-16 2万+
XSS 漏洞是指攻击者在网页中嵌入客户端脚本(通常是 JavaScript 编写的恶意代码),进而执行其植入代码的漏洞。若 Web 应用未对用户可直接或间接控制的“输入”与“输出”参数进行关键字过滤或转义处理,则很可能存在跨站脚本漏洞。
java 特殊字符过滤器_利用简单的过滤过滤特殊字符实现 XSS攻击详解
weixin_36346970的博客
02-16 665
web.xml配置文件XSSFiltercom.neusoft.common.filter.XSSFilterXSSFilter/*package com.neusoft.common.filter;import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax...
利用HttpOnly来xss攻击
NiceGY
05-18 3056
xss的概念就不用多说了,它的危害是极大的,这就意味着一旦你的网站出现xss漏洞,就可以执行任意的js代码,最可怕的是攻击者利用js获取cookie或者session劫持,如果这里面包含了大量敏感信息(身份信息,管理员信息)等,那完了。。。 如下js获取cookie信息:  url=document.top.location.href;  cookie=document.cookie;  c=new Image();  c.src=’http://www.******.c
Java处理xss漏洞
最新发布
qq_30563727的博客
07-26 292
使用一些专门的安全库来处理用户输入,例如OWASP Java Encoder Project,可以帮助你安全地处理用户输入(shiro框架内置了OWASP)。在显示用户输入内容时,对其进行HTML转义,以止HTML注入攻击。可以使用框架或库提供的工具来实现这一点。对用户输入进行验证和过滤,确保只允许合法、安全的输入。例如,可以使用正则表达式来检查输入内容是否符合预期格式。对输入的长度进行限制,止用户输入过长的内容。在服务器端对用户输入进行再次检查和过滤,不要依赖客户端的验证,因为客户端验证可以被绕过。
javaxss攻击 过滤_Java Web使用过滤Xss攻击,解决Xss漏洞
weixin_42322782的博客
02-17 811
web.xml添加过滤器xssFiltercom.quickly.exception.common.filter.XssFilterxssFilter*过滤器代码package com.quickly.exception.common.filter;import javax.servlet.*;import javax.servlet.http.HttpServletRequest;import ...
javaxss攻击_java xss攻击
weixin_29053695的博客
02-12 411
关于xss的概念和解决方案网上很多,可以参考这个:http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen这里说下最近项目中我们的解决方案,主要用到commons-lang3-3.1.jar这个包的org.apache.commons.lang3.StringEscapeUtils.escapeHtml4()...
xss攻击字符过滤Java_使用Filter过滤器解决XSS跨脚本攻击和SQL注入问题
weixin_28839601的博客
02-24 1031
JAVA开发工程中难免会出现XSS和SQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
Javaxss攻击
VicCreator
03-29 3794
首先说一下思路,止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(止)Xss攻击 web.xml XssEscape www.ablanxue.com.filter.XssFilter XssEscape /*
开发代码安全规范-SQL注入和XSS跨站攻击代码编写规范.docx
07-14
开发代码安全规范旨在确保软件开发过程中对SQL注入和XSS跨站攻击的范,这是互联网应用开发中的两个重要安全问题。以下是对这两个安全威胁的详细解释以及对应的代码编写规范: **SQL注入** 是一种常见的攻击手段,...
Alibaba-Java-Coding-Guidelines-Fix-Some-Bug-1.6-2023.2-2.1
04-16
- 对用户输入进行校验和过滤,避免XSS攻击。 通过遵循这些规范,开发者能够编写出更加健壮、易于维护的Java代码。同时,持续更新的规范反映了技术的发展和最佳实践的演进,确保了开发团队始终与行业标准保持同步。...
简单模拟XSS攻击.zip
07-05
标题 "简单模拟XSS攻击.zip" 提到的主题是关于网络安全中的跨站脚本(XSS)攻击,这种攻击发生在Web应用程序中,攻击者通过注入恶意脚本,使用户在不知情的情况下执行。在这个示例中,它展示了如何利用前端用户输入...
java过滤器,止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
java的xxsProtect过滤xss
05-19
java过滤xss工具,xxsProtect. 根目录XSS/bin文件夹下有所有的jar包. 根目录XSS/com/start.java文件是例子. 过滤字符串中至少要有html显示标签.
20-1 XSS(跨站脚本攻击)漏洞介绍
weixin_43263566的博客
01-07 1160
XSS(跨站脚本攻击)是一种常见的计算机安全漏洞,也是Web应用中最主流的攻击方式之一。它利用网站接收用户提交数据时未进行足够的转义处理或过滤不足的缺点,将恶意代码嵌入到Web页面中。当其他用户访问该页面时,嵌入的代码会被执行,从而导致盗取用户资料、利用用户身份进行某种动作或对访问者进行病毒侵害等恶意行为。XSS攻击通常基于JavaScript完成,因为JavaScript能够灵活地操作HTML、CSS和浏览器,给了XSS攻击带来了很大的灵活性。
mysqlxss攻击_java 止 XSS 攻击的常用方法总结
weixin_32597695的博客
01-28 321
在前面的一篇文章中,讲到了java web应用程序止 csrf 攻击的方法,参考这里java网页程序采用 spring 止 csrf 攻击.,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去止这种攻击呢,...
XSS跨站脚本攻击在Java开发中范的方法
weixin_30914981的博客
02-26 176
1. 堵跨站漏洞,阻止攻击者利用在被攻击网站上发布跨站攻击语句不可以信任用户提交的任何内容,首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤;其次任何内容写到页面之前都必须加以encode,避免不小心把html tag 弄出来。这一个层面做好,至少可以堵住超过一半的XSS 攻击。 2. Cookie 盗 首先避免直接在cookie...
java web xss_JAVAWEB项目处理XSS漏洞攻击处理方案
weixin_35110758的博客
02-16 246
对页面传入的参数值进行过滤过滤方法如下/*** 将容易引起xss漏洞的半角字符直接替换成全角字符** @param s* @return*/public static String xssEncode(String s) {if (s == null || s.equals("")) {return s;}try {s = URLDecoder.decode(s, UTF8);} catch ...
Java编写Filter实现XSS攻击
Charygus的博客
08-23 1274
什么是XSS攻击 XSS攻击 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。(摘自百度百科) SQL注入: SQL注入指的是发生在Web应用对后台数据...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2518
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值