web抵御XSS攻击

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量720 收藏
点赞数
文章标签: 前端 xss java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46549023/article/details/125691972
版权

目录

1.概念

2.解决办法

3.覆盖Http请求方法

1.概念

XSS:Cross Site Script ,为了区分css改写成xss,通过注入“HTML注入”,篡改了网页,插入了恶意脚本。

等到用户加载的时候就会自动执行恶意脚本,如果在浏览器上执行javacript就可以盗取Cookie或者Token

2.解决办法

1).设置过滤器

编写过滤器,拦截请求,把请求里面的数据进行转义

2).覆盖Http请求方法

在请求里面获取数据的时候,调用HttpServletRequest类中getParameter()方法和getParameterValues()方法,如果我们把这两个方法覆盖,返回数据的时候进行转译再返回

但是HttpServletRequest是接口,采用包装类的方式增加请求功能HttpServletRequestWrapper

3).HttpServletRequestWrapper

HttpServletRequestWrapper使用了装饰器模式

使用了装饰器模式,装饰器封装了厂家的Request的实现类,只要覆盖wrapper类的方法,就能做到覆盖厂商请求对象的方法 

步骤;创建过滤器,把Request对象传入Wrapper对象

3.覆盖Http请求方法

导入依赖

<!--        导入hutool工具包-->
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.4.0</version>
        </dependency>

编写配置类

主要编写连个配置类

XssHttpServletRequestWrapper

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
//进行转义
    @Override
    public String getParameter(String name) {
//        从请求中获取原始数据
        String value = super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
//            把标签变成文本
            value= HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values!=null){
            for (int i = 0; i < values.length; i++) {
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value= HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> paramters = super.getParameterMap();
//        使用hashMap插入的是乱序的,使用LinkdHasMap
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(paramters!=null){
            for (String key:paramters.keySet()){
                String[] values=paramters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value=values[i];
                    if(!StrUtil.hasEmpty(value)){
                        value= HtmlUtil.filter(value);
                    }
                    values[i]=value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if(!StrUtil.hasEmpty(value)){
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        StringBuffer body = new StringBuffer();
        String line=buffer.readLine();
        while (line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
//        把json格式转换成字符串
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty( val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }else {
                result.put(key,val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }
//            方法用来读数据
            @Override
            public int read() throws IOException {
                return bain.read();
            }
        };
    }
}

 XssFilter类

补充:Filter能再request到达servlet的服务方法前拦截HttpServletRequest对象,而在方法转移后又能拦截HttpServletResponse对象

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.logging.LogRecord;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request=(HttpServletRequest)servletRequest;
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

ps:在著启动类上要加@ServletComponentScan

景庆197
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javascript过滤XSS
05-06
javascript写的过滤XSS代码,危险代码被转义而不是被删除. 根目录下js-xss-master/dist/test.html是例子.
Web应用程序中XSS攻击的检测:一种机器学习方法-研究论文
05-20
Web应用程序安全风险抵御XSS攻击的传统方法包括基于硬件和软件的Web应用程序防火墙,其中大多数它们是基于规则和签名的。 通过模糊攻击负载,可以绕过基于规则和基于签名的Web应用程序防火墙。 因此,基于规则和基于...
前端xss攻击——规避innerHtml过滤标签节点及属性
热门推荐
编程知识分享,主打前端
04-01 1万+
大家好,我是yma16,本文分享xss攻击——规避innerHtml过滤script等动态js节点。xss攻击XSS(Cross-Site Scripting)攻击是一种常见的网络安全漏洞,它允许攻击者将恶意的脚本代码注入到网页中,当用户通过浏览器访问这个网页时,这些恶意代码就会被执行,从而使攻击者能够窃取用户的敏感信息,如登录凭据、个人信息等。存储型XSS:攻击者将恶意脚本代码存储到目标网站的数据库中,当用户访问含有恶意代码的页面时,代码会从数据库中被提取并执行。
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1711
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
java xss 参数_JAVA 重写HttpServletRequest的获取参数防止xss攻击
weixin_39618121的博客
02-16 358
java 过滤器import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequ...
前端过滤XSS攻击
gtlishujie的博客
12-21 1161
前端过滤XSS攻击, 我这里用的是开源工程 js-xss,官网地址:根据白名单过滤HTML(防止XSS攻击):https://raw.github.com/leizongmin/js-xss/master/dist/xss.js 使用js-xss,引入xss.js,<script type="text/javascript" src="js/xss.js"></script> 调用filterXSS()即可,如:var ipt1 = filterXSS(ipt1);或consol
前端XSS 过滤--亲测有效
qq_38203646的博客
01-08 1万+
// XSS 过滤         filterXSS: function (str) {             return str               .replace(/&amp;/g, '&amp;amp;')               .replace(/ /g, '&amp;nbsp;')               .replace(/&lt;/g, '&amp;lt;'...
php处理xss攻击过滤.rar
01-18
这个助手类方法可以有效地减少Web应用程序遭受XSS攻击的风险。 描述中提到,这个工具包含示例和封装方法。这意味着它不仅提供了实际的代码实现,还可能有演示如何使用这些方法的实例,这对于开发者理解和应用这些...
如何防御XSS攻击.zip
01-08
XSS(Cross-Site Scripting,跨站...了解并实施这些防御策略,可以帮助开发者构建更安全的Web应用,保护用户免受XSS攻击的威胁。同时,持续关注网络安全动态,及时学习新的防御手段也是抵御不断演化的攻击方式的关键。
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
针对XSS攻击的防范是Web开发中不可或缺的一环。 antisamy技术是一种专门用于防御XSS攻击的库,由OWASP(开放网络应用安全项目)开发。它的主要目标是清理或过滤用户输入的数据,防止恶意脚本在浏览器中执行。...
前端开源库-xss-filters
08-29
前端开源库-xss-filtersXSS过滤器,安全的XSS过滤器-足够的输出过滤来防止XSS
预防xss攻击过滤标签.js
04-01
预防xss攻击过滤标签.js
js 前端处理xss攻击,对危险的字符串进行过滤
PrimaryColor
04-01 6008
es6: npm install xss --save 这里测试使用的是es5,下载链接: https://download.csdn.net/download/qq_42740797/16291859 https://raw.githubusercontent.com/leizongmin/js-xss/master/dist/xss.js(过滤的比较严重,将html的所有属性都给过滤了) 调用函数: function filterXSS(string) html: <!.
关于XSS过滤
lanisa的专栏
10-30 1573
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
前端安全问题之CSRF和XSS
baocuan8515的博客
09-05 231
一、CSRF 1、什么是 CSRF CSRF(全称 Cross-site request forgery),即跨站请求伪造 2、攻击原理 用户登录A网站,并生成 Cookie,在不登出的情况下访问危险网站B 3、防御措施 ① 加 Token 验证,通过判断页面是否带有 Token 来进行验证 ② 加 Referer 验证,通过判断页面的来源进行验证 ③ 隐藏令...
前端防御XSS
weixin_34343689的博客
03-08 309
Black_Hole · 2016/03/02 16:370x00 前言我不否认前端在处理XSS的时候没有后端那样方便快捷,但是很多人都在说过滤XSS的事就交给后端来做吧。前端做没什么用。我个人是非常反感这句话的。虽然说前端防御XSS比较麻烦,但是,不是一定不行。他只是写的代码比后端多了而已。而且前端防御XSS比后端防御XSS功能多,虽说后端也可以完成这些功能,但是代码量会比前端代码多很多很多。其...
基于Servlet的web应用如何防止XSS攻击
Cloud-Future的博客
07-31 1060
Servlet 使用jsp作为视图模板,jsp本身存在XSS漏洞,如果Web应用是基于Servlet技术并且使用jsp作为视图模板,也没有引入任何安全框架,那么你的应用就存在XSS漏洞。 本文主要介绍了基于Servlet的web应用如何防止XSS攻击。 1. XSS漏洞的类型 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:<持久化> 代码是存储在服务
ASP.NET内置安全特性:抵御Web攻击策略
"利用ASP.NET的内置功能抵御Web攻击" ASP.NET作为一款强大的Web开发框架,提供了许多内置功能来帮助开发者增强应用程序的安全性。面对日益增长的Web攻击威胁,如跨站点脚本(XSS)、SQL注入、会话劫持等,开发人员...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值