java 对象xss_动手写个java快速开发框架-(6)XSS防护

最新推荐文章于 2024-07-31 15:36:49 发布
最新推荐文章于 2024-07-31 15:36:49 发布
阅读量213 收藏
点赞数
文章标签: java 对象xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42393272/article/details/114549095
版权
本文介绍了在MkFramework中如何实现XSS防护,通过创建XssFilter和XssHttpServletRequestWrapper,利用HTMLFilter进行XSS关键字过滤,覆盖关键方法处理请求输入,确保安全性。同时提到了防SQL注入等其他安全措施的实现思路。
摘要由CSDN通过智能技术生成

之前写的几篇文章已经把一个快速开发脚手架基本搭建起来了,但是之前一致没有考虑安全问题,今天就抛砖引玉在框架中加入XSS防护,其实类似的还有很多,例如防SQL注入、安全字符校验等这些,本篇文章里就都实现了,后续会在框架中逐渐完善。

XSS在百度百科里的解释是:

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.

在MkFramework中实现防XSS攻击主要是通过Filter来实现,这里我们需要实现XssFilter、XssHttpServletRequestWrapper,核心的Xss防护功能都在这个装饰器Wrapper中,因为涉及到对HttpRequest内容的处理,所以必须要在装饰器类中进行处理,下面我们来看下代码。

首先定义一个继承自Filter的XssFilter,在Filter中将Xss过滤核心处理类XssHttpServletRequestWrapper的对象传递给servlet或controller类进行处理。

public class XssFilter implements Filter {

@Override

public void init(FilterConfig config) throws ServletException {

}

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(

(HttpServletRequest) request);

chain.doFilter(xssRequest, response);

}

@Override

public void destroy() {

}

}

定义好了Filter后,当然还需要将这个Filter注册到IOC容器中,那么需要再定义个config,用来在容器启动的时候将FilterBean注册到IOC里。

@Configuration

public class FilterConfig {

@Bean

public FilterRegistrationBean xssFilterRegistration() {

FilterRegistrationBean registration = new FilterRegistrationBean();

registration.setDispatcherTypes(DispatcherType.REQUEST);

registration.setFilter(new XssFilter());

registration.addUrlPatterns("/*");

registration.setName("xssFilter");

registration.setOrder(Integer.MAX_VALUE);

return registration;

}

}

接下来就是核心装饰器类的实现了,在XSS过滤装饰器类中会用到一个HTMLFilter类,该类直接用了Joseph写HTMLFilter,可以对XSS常见的跨站攻击脚本进行过滤,具体源码直接看git。

在XssHttpServletRequestWrapper中我们重写了getInputStream()、getParameter()、getParameterValues()、getParameterMap()、getHeader()这些方法,在这些方法中分别调用了HtmlFilter中的XSS关键字过滤方法来进行处理。

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

HttpServletRequest orgRequest;

//html过滤

private final static HTMLFilter htmlFilter = new HTMLFilter();

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

orgRequest = request;

}

@Override

public ServletInputStream getInputStream() throws IOException {

//非json类型,直接返回

if(!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){

return super.getInputStream();

}

//为空,直接返回

String json = IOUtils.toString(super.getInputStream(), "utf-8");

if (StringUtils.isBlank(json)) {

return super.getInputStream();

}

//xss过滤

json = xssEncode(json);

final ByteArrayInputStream bis = new ByteArrayInputStream(json.getBytes("utf-8"));

return new ServletInputStream() {

@Override

public boolean isFinished() {

return true;

}

@Override

public boolean isReady() {

return true;

}

@Override

public void setReadListener(ReadListener readListener) {

}

@Override

public int read() throws IOException {

return bis.read();

}

};

}

@Override

public String getParameter(String name) {

String value = super.getParameter(xssEncode(name));

if (StringUtils.isNotBlank(value)) {

value = xssEncode(value);

}

return value;

}

@Override

public String[] getParameterValues(String name) {

String[] parameters = super.getParameterValues(name);

if (parameters == null || parameters.length == 0) {

return null;

}

for (int i = 0; i < parameters.length; i++) {

parameters[i] = xssEncode(parameters[i]);

}

return parameters;

}

@Override

public Map getParameterMap() {

Map map = new LinkedHashMap<>();

Map parameters = super.getParameterMap();

for (String key : parameters.keySet()) {

String[] values = parameters.get(key);

for (int i = 0; i < values.length; i++) {

values[i] = xssEncode(values[i]);

}

map.put(key, values);

}

return map;

}

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (StringUtils.isNotBlank(value)) {

value = xssEncode(value);

}

return value;

}

private String xssEncode(String input) {

return htmlFilter.filter(input);

}

/**

* 获取最原始的request

*/

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

/**

* 获取最原始的request

*/

public static HttpServletRequest getOrgRequest(HttpServletRequest request) {

if (request instanceof XssHttpServletRequestWrapper) {

return ((XssHttpServletRequestWrapper) request).getOrgRequest();

}

return request;

}

}

至此整个XSS过滤的模块就写完了,类似的大家还可以添加防SQL注入的模块,这里就不细描述了,思路也是一样的,都是通过Filter来实现。

本文对应的github tag为v0.6,可以通过连接下载https://github.com/feiweiwei/MkFramework4java/releases/tag/v0.6,也可以通过git clone -b v0.6 https://github.com/feiweiwei/MkFramework4java.git

577d074438aa

1040x100

星刊
关注
java -xss_Java线程与Xss
weixin_31302909的博客
02-12 3817
jvm系列Xss与线程个数Xss越大,每个线程的大小就越大,占用的内存越多,能容纳的线程就越少;Xss越小,则递归的深度越小,容易出现栈溢出 java.lang.StackOverflowError。减少局部变量的声明,可以节省栈帧大小,增加调用深度。/*** -Xss128K deep of calling = 675* -Xss256K deep of calling = 1686*...
Java防止xss攻击附相关文件下载
08-25
启用HTTP响应头部的`X-XSS-Protection`可以开启浏览器内置的XSS防护机制,不过这只能提供基本防护,不能替代服务器端的过滤。 5. **Content Security Policy (CSP)**: CSP是一种安全策略,允许服务器指定哪些源...
java 防止 XSS 攻击的常用方法总结.
每天积累一点,一年后你会发现,自己变化很大
02-13 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防
手摸手带你进行XSS攻击与防御
最新发布
公众号:该用户快成仙了
07-31 1009
简单来说,通过设置CSP来控制浏览器加载页面时允许执行的资源来源,这样来减少XSS攻击。
java XSS防护
长青树呀
12-13 898
1.什么是XSS攻击 xss表示Cross Site Scripting(跨站脚本攻击),xss攻击通过插入恶意脚本,实现对用户游览器的控制。比较常见的是利用xss攻击获取session id从而获取网站用户权限。 2.如何防护 这里介绍一种使用过滤器防护的方法。使用Filter对用户提交的数据进行过滤处理,去除恶意脚本。 配置过滤器: public class XSSFilte
XSS攻击防护
Oliver_web的博客
08-14 942
express -e ./ npm install npm start &lt;%- xx %&gt; &lt;%= xx %&gt; 反射性:存在url中 自动触发: img 中 onerror localhost:3000/?xss=&lt;img src="null" onerror="alert(111111)"/&gt; 引诱触发: localhost:3000/?xs...
XSS***防范
weixin_33920401的博客
03-06 296
背景今天突然接到公司安全部门发来的邮件。说:网站有XSS注入***漏洞,得修复一下。之前也只是对这个有个概念上的理解,知道XSS有反射型XSS、存储型XSS和DOM型XSS。对它到底会造成什么破坏还是没有什么理解。直到这次安全部门发来了我登录我们后台的cookie,我才明白了这个***好牛逼。他们用的是存储型的XSS,把它们的坏脚本直接植入到了我们的数据库里去了,后台审核他们...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS攻击常常与Java Web开发结合,因为Java是广泛用于构建Web应用的编程语言。在Java中,开发者需要特别注意在处理用户输入和输出内容时,正确使用`StringEscapeUtils`等工具进行转义,避免在JSP页面中直接插入未经...
xss_javaxss_XSS_
10-04
6. XssHttpServletRequestWrapper.java:这个文件可能定义了一个自定义的HttpServletRequestWrapper,该类扩展了标准的HttpServletRequest,提供额外的XSS防护功能。例如,它可能覆盖了`getParameter()`、`getHeader...
Ecshop-商城开发班-企业项目实战.rar_ecshop_java web 实战_java web项目_java项目_web
09-23
同时,安全性问题也不容忽视,如防止SQL注入、XSS攻击等,开发者需掌握相应的安全防护措施。 4. **支付接口集成**:ECSHOP可能需要集成第三方支付平台,如支付宝、微信支付等。这涉及到API调用、回调处理等技术,...
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 是 Java 开发中的一个强大且全面的安全框架,专为保护基于 Spring 的应用程序而设计。它提供了一整套的解决方案,包括身份验证、授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造...
Java实现XSS防御
dichengyan0013的博客
09-16 169
XSS概述 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 Servlet的方式 1、继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ ...
XSS如何防范
qq_45803050的博客
11-27 8246
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
java XSS攻击防护
热门推荐
酷毙了耶的博客
05-28 1万+
首先说一下什么是XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web 用户将代码植入到提供给其它用户使用的页面中。 白话解释 说白了xss攻击就是jq代码攻击,用户提交的数据是jq代码,前台拿到数据库中查出的jq代码,浏览器会...
xss攻击如何防护
dexunjiaqiang的博客
06-18 1043
XSS攻击全称跨站脚本攻击,利用网站漏洞从用户那里恶意盗取信息。
xss防护措施有哪些
dexunjiaqiang的博客
07-09 2290
XSS指利用网站漏洞从用户那里恶意盗取信息。
XSS攻击及防范
橘猫吃不胖的博客
02-06 1243
XSS攻击及防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
web安全防御xss
默翁的博客
04-09 614
一.定义 注入脚本,篡改页面内容,破坏页面完整结构 二.XSS的攻击方式 反射型存储型 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器,服务器解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码,这个过程像一次反射,所以叫做反射型。 存储型:存储型XSS和反射型XSS的差别仅仅在于,提交的代码会存储在服务器端(数据库,
xss原理与防范措施
Javachichi的博客
03-21 1284
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值