防止XSS攻击相关问题

最新推荐文章于 2023-10-12 15:10:50 发布
最新推荐文章于 2023-10-12 15:10:50 发布
阅读量633 收藏
点赞数
分类专栏: 前端 文章标签: xss java js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43198403/article/details/107512087
版权

防止XSS 攻击相关问题

XSS

XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。(摘自百度百科)

举一个简单的例子:
在网页的输入框中输入
<script>alert(“Hellow! XSS”)</script>
问题来了,浏览器解析到以上代码时就会弹出信息框。
简而言之,XSS攻击就是让浏览器去执行网页中原本不存在的前端代码。
在实际应用中,XSS攻击可以通过脚本盗取网页登录的cookie值、实现网页恶意跳转等等…

XSS 分类

主要分为两类:

反射型XSS,又称非持久型XSS
存储型XSS,也称为持久型XSS

反射型XSS

攻击对于访问者而言是一次性的,发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。

存储型XSS

存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),意味着每次访问对应的页面就会执行XSS脚本。

防范手段

  • 过滤,对<script>、<img>、<a>等标签进行过滤
  • 编码,对输入的 <> 进行转换编码,转换后浏览器不会对该标签进行解释执行
  • 限制,要达成XSS攻击往往需要较长的字符串,因此对于一些输入可以做长度预检

防止XSS攻击的具体实现

这里主要使用过滤手段对存储型XSS攻击进行防范:
思路

  • 自定义一个Http请求的修饰类
  • 自定义一个过滤器
  • 注册过滤器
1. 自定义一个Http请求的修饰类

继承 ServletRequest 的http实现类 HttpServletRequestWrapper

  • 问题: 这个修饰类为何重写 getReader() 和 getInputStream() ?
  • 原因: 因为每个 request body 中的内容都是通过流的方式读取的,也就是说每个请求中body的内容只会被获取一次,我们使用过滤手段就是希望在过滤器中就将body中的数据读取并处理,然而servlet在处理请求的时候发现获取到的body为null,这明显不是我们想要的。
  • 解决: 所以我们要将请求中的body数据保存一份,以便后续处理请求的时候能正常读取body中的数据。具体的方法就是,在构造这个修饰类的时候将当前请求对象中的body数据读取并保存一份,并重写 getReader() 和 getInputStream() 方法,以便在后续获取body数据时直接获取保存好的body数据。(具体看以下代码)
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;
    private Map<String, String[]> parameterMap;
    // 将body保存以便后续进行 参数校验(原因是 getReader()和 getInputStream() 只能读取一次)
    private final byte[] body; 
    
    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) throws IOException {
        super(request);  
        orgRequest = request;
        parameterMap = request.getParameterMap();
        StringBuilder sb = new StringBuilder();
        String line;
        while ((line = request.getReader().readLine()) != null) {
            sb.append(line);
        }
        this.body = sb.toString().getBytes(StandardCharsets.UTF_8);
    }  
    
    @Override  
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(getInputStream()));  
    }  
  
    @Override  
    public ServletInputStream getInputStream() throws IOException {  
        final ByteArrayInputStream bais = new ByteArrayInputStream(body);  
        return new ServletInputStream() {  
  
            @Override  
            public int read() throws IOException {  
                return bais.read();  
            }

			@Override
			public boolean isFinished() {
				// TODO Auto-generated method stub
				return false;
			}

			@Override
			public boolean isReady() {
				// TODO Auto-generated method stub
				return false;
			}

			@Override
			public void setReadListener(ReadListener listener) {
				// TODO Auto-generated method stub
				
			}  
        };  
    } 
  
    /** 
    * 获取最原始的request 
    * 
    * @return 
    */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
    * 获取最原始的request的静态方法 
    * 
    * @return 
    */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
    
    /**
     * 检查请求参数是否含有非法字符
     * @return
     */
    public final boolean checkParameter() {
        Map<String, String[]> submitParams = new HashMap<String, String[]>(parameterMap);
        Set<String> submitNames = submitParams.keySet();
        for (String submitName : submitNames) {
            Object submitValues = submitParams.get(submitName);
            if ((submitValues instanceof String)) {
                if (checkXSSAndSql((String) submitValues)) {
                    return true;
                }
            } else if ((submitValues instanceof String[])) {
                for (String submitValue : (String[])submitValues){
                    if (checkXSSAndSql(submitValue)) {
                        return true;
                    }
                }
            }
        }
        return false;
    }
    
    public static boolean checkXSSAndSql(String value) {
        boolean flag = false;
        if (value != null) {

            Pattern scriptPattern = Pattern.compile(
                    "<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }

            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Avoid e-xpression(...) expressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            flag = scriptPattern.matcher(value).find();
            if (flag) {
                return flag;
            }
        }
        return flag;
    }
  
}
2. 自定义一个过滤器

在自定义过滤器中分别对 get/put/post 请求参数进行处理,这里一旦检查到非法参数直接将错误响应前端(响应需要对跨域设置允许)。
具体处理方式可以自行定义

public class XssFilter implements Filter {  
	private static Logger logger = LoggerFactory.getLogger(XssFilter.class);
	
	private static boolean IS_INCLUDE_RICH_TEXT = false;//是否过滤富文本内容
	
	public List<String> excludes = new ArrayList<String>();
  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {  
    	if(logger.isDebugEnabled()){
  			logger.debug("xss filter is open");
  		}
  		
  		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
  		if(handleExcludeURL(req, resp)){
  			filterChain.doFilter(request, response);
			return;
		}
  		
  		String method = "GET";
        String param = "";
        XssHttpServletRequestWrapper xssRequest = null;
        if (request instanceof HttpServletRequest) {
            method = ((HttpServletRequest) request).getMethod();
            xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request, IS_INCLUDE_RICH_TEXT);
        }
        if ("POST".equalsIgnoreCase(method)||"PUT".equalsIgnoreCase(method)) {
            param = XssFilter.getBodyString(xssRequest.getReader());
            if(StringUtils.isNotBlank(param)){
                if(XssHttpServletRequestWrapper.checkXSSAndSql(param)){
                //检查到请求非法时的处理
                	resp.setHeader("Access-control-Allow-Origin", req.getHeader("Origin"));
                	resp.setHeader("Access-Control-Allow-Methods", req.getMethod());
                	resp.setHeader("Access-Control-Allow-Credentials", "true");
                	resp.setHeader("content-type", "text/html;charset=UTF-8");
                	resp.setStatus(HttpServletResponse.SC_OK);
                    PrintWriter out = resp.getWriter();
                    out.write(JSONObject.toJSONString(new ReturnValue<String>(ErrorCode.ERROR_UNKNOW, "您所访问的页面请求中有违反安全规则元素存在,拒绝访问!")));
                    return;
                }
            }
        }
        if (xssRequest.checkParameter()) {
        //检查到请求非法时的处理
        	resp.setHeader("Access-control-Allow-Origin", req.getHeader("Origin"));
        	resp.setHeader("Access-Control-Allow-Methods", req.getMethod());
        	resp.setHeader("Access-Control-Allow-Credentials", "true");
        	resp.setHeader("content-type", "text/html;charset=UTF-8");
        	resp.setStatus(HttpServletResponse.SC_OK);
            PrintWriter out = resp.getWriter();
            out.write(JSONObject.toJSONString(new ReturnValue<String>(ErrorCode.ERROR_UNKNOW, "您所访问的页面请求中有违反安全规则元素存在,拒绝访问!")));
            return;
        }
  		
  		filterChain.doFilter(xssRequest, response);
    }
    
    // 获取request请求body中参数
    public static String getBodyString(BufferedReader br) {
        String inputLine;
        String str = "";
        try {
            while ((inputLine = br.readLine()) != null) {
                str += inputLine;
            }
            br.close();
        } catch (IOException e) {
            System.out.println("IOException: " + e);
        }
        return str;
    }
    
    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
    	
		if (excludes == null || excludes.isEmpty()) {
			return false;
		}

		String url = request.getServletPath();
		for (String pattern : excludes) {
			Pattern p = Pattern.compile("^" + pattern);
			Matcher m = p.matcher(url);
			if (m.find()) {
				return true;
			}
		}

		return false;
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		if(logger.isDebugEnabled()){
			logger.debug("xss filter init......");
		}
		String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
		if(StringUtils.isNotBlank(isIncludeRichText)){
			IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
		}
		
		String temp = filterConfig.getInitParameter("excludes");
		if (temp != null) {
			String[] url = temp.split(",");
			for (int i = 0; url != null && i < url.length; i++) {
				excludes.add(url[i]);
			}
		}
	}

	@Override
	public void destroy() {}  
  
}
3. 注册过滤器
@Configuration
public class XssConfig {

	@Bean
	public FilterRegistrationBean<XssFilter> xssFilterRegistrationBean() {
		FilterRegistrationBean<XssFilter> filterRegistrationBean = new FilterRegistrationBean<XssFilter>();
		filterRegistrationBean.setFilter(new XssFilter());
		filterRegistrationBean.setOrder(1);
		filterRegistrationBean.setEnabled(true);
		filterRegistrationBean.addUrlPatterns("/*");
		Map<String, String> initParameters = Maps.newHashMap();
		initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
		//isIncludeRichText设置富文本内容是否需要过滤
		initParameters.put("isIncludeRichText", "true");
		filterRegistrationBean.setInitParameters(initParameters);
		return filterRegistrationBean;
	}
}

注意: XssHttpServletRequestWrapper 修饰类中的 checkXSSAndSql() 方法是对请求参数的具体检查,可自行定义正则条件。

AKA_Dif
关注
专栏目录
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 512
为什么80%的码农都做不了架构师?>>> ...
AntiXss攻击防止的C#代码文件
04-01
AntiXss攻击防止的C#代码文件,AntiXss攻击防止的C#代码文件
C# NHtmlFilter 帮你过滤Html危险脚本 防止XSS攻击
weixin_30279751的博客
10-17 341
转:http://www.oschina.net/code/snippet_222150_9776 与原文代码略有改动 /// <summary> /// Html 脚本过滤 /// </summary> public class NHtmlFilter { prot...
XSS攻击防御的filter实现
书生的博客
09-01 7937
XSS攻击的基本概念主要是:     恶意用户在网页的可输入的地方输入可执行的脚本(如javascript)代码,从而使网页解析执行该脚本代码来达到攻击的效果, 比如在网站上写一篇文章时包含这段代码: ,如果该字符串在后台没有进行XSS攻击防范,就导致导致其他人访问该文章时网页执行上面的脚本从而alert(1).防止XSS攻击最主要方式 :       把特殊标签符号转码,比如把”<”, “>
C#网站代码防止漏洞和攻击 增强网站安全性方法
一只没有感情的AI机械猿
09-15 1277
永远不要信任用户提供的输入数据。始终对用户提交的数据进行验证和过滤,以防止恶意输入。使用正则表达式、白名单过滤或内置的.NET验证来验证输入。使用参数化查询或存储过程来执行数据库查询,而不是将用户输入直接嵌入SQL语句中。这可以有效防止SQL注入攻击。始终对用户提交的数据进行HTML编码,以防止恶意脚本注入到你的网页中。使用或类似的编码函数。如果你的网站需要用户账户,确保实施强密码策略,并对用户密码进行适当的哈希和加盐处理。不要以明文存储密码。
Java防止xss攻击相关文件下载
08-25
Java防止XSS攻击的核心策略是确保用户输入的数据在显示到网页上之前被适当地编码、转义或过滤,以防止恶意脚本被执行。XSS(跨站脚本)攻击是由于网页应用程序未能正确处理用户输入的数据,使得攻击者能够注入恶意...
关于pdf文件xss攻击问题,配置xssFilter方法
最新发布
12-21
在SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不被浏览器解释为HTML代码。 要...
防止XSS攻击解决办法
01-20
防止XSS攻击是保护Web应用安全的重要一环,对于任何Web开发者来说都是必备的知识。 一、XSS攻击类型 XSS攻击主要分为三类:反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS攻击者通过构造恶意链接,诱使用户点击...
PHP如何防止XSS攻击XSS攻击原理的讲解
10-17
为有效防止XSS攻击,PHP开发者可以采取以下几种措施: 1. 输入过滤:在用户输入数据时,要对其进行验证和清理。可以使用PHP内置函数strip_tags()去除HTML标签,htmlspecialchars()函数将特殊字符转换为HTML实体,...
访问网站被拦截提示“该网站可能包含违法或违规内容”访问不了怎么办?设置一下360安全卫士即可解决
热门推荐
我驾驶汽车从不是为了从A点到达B点,我喜欢去感受汽车,与之交流,与之融为一体。
10-12 1万+
本来是一个正常的网站,结果被恶意举报后访问提示。
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 2716
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码被执行,从而达到恶意攻击用户的特殊目的
springboot 防止xss 和sql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1849
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
XSS 防御方法总结
weixin_33932129的博客
08-03 2783
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
XSS跨站点脚本攻击解决方案
attilax的专栏
06-05 4402
XSS跨站点脚本攻击解决方案 如果用户表单输入一些内容,……特别是一些内容比较多的表单项,且无固定格式 ,如地址,文章内容……此时用户可以输入JS代码等来执行 STEP1:在设计方案上,输入项要尽可能检测格式并限制长度。要有服务端检测,不能依赖客户端检测。在数据库设计上要限制字段长度…… 输出页面时需要进行HTML转码,如输出地址内容 td >convert.html(cus.getAdd
SpringBoot 安全漏洞之SQL注入和XSS攻击
zhouzhiwengang的专栏
11-09 648
1、自定义HttpServletRequestWrapper类,实现SQL和XSS 过滤 package com.zzg.sql.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.util.Enumeration; import java.util.Has
SpringBoot 防止XSS攻击和SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3499
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSS和SQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、CSDN这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都将HTML过滤的很彻底,比如将: 文字 过滤成 文字
前端安全:深度解析如何防止XSS攻击
"前端安全系列:如何防止XSS攻击?" 在前端安全领域,XSS(Cross-Site Scripting,跨站脚本)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中执行恶意脚本,从而获取敏感信息或者操纵用户界面。本文将深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值