Xss解决方案

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量1k 收藏 2
点赞数
分类专栏: java开发 文章标签: java xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghui200920061988/article/details/104844156
版权

本文介绍解决Xss跨站脚本漏洞的方法,本方法解决思路为对request请求进行包装,重写request相关方法,对参数进行转义及过滤。注意此方案只适用于通过request获取普通参数,对于传输的json方式的参数无效,如需解决json方式参数,需要在json序列化或者反序列化时对内容进行转义,解决思路一致。
需要的类主要包括:

  1. XssFiter.java
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
public class XssFiter implements Filter {

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        XssAndHttpServletRequestWrapper xssRequestWrapper = new XssAndHttpServletRequestWrapper(req);
        chain.doFilter(xssRequestWrapper, response);
    }

    public void destroy() {

    }

}
  1. XssAndHttpServletRequestWrapper
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssAndHttpServletRequestWrapper extends HttpServletRequestWrapper {
	HttpServletRequest request;

	public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}

	@Override
	public String getParameter(String name) {
		String value = super.getParameter(name);
		// System.out.println("name:" + name + "," + value);
		if (value != null) {
			// 转换Html
			value = XssUtil.cleanXss(value);
		}
		return value;
	}

	@Override
	public String getHeader(String name) {
		return XssUtil.cleanXss(super.getHeader(name));
	}

	@Override
	public String getQueryString() {
		return XssUtil.cleanXss(super.getQueryString());
	}

	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = XssUtil.cleanXss(values[i]);
		}
		return encodedValues;
	}

}
  1. XssUtil.java
 import java.util.regex.Matcher;
import java.util.regex.Pattern;


public class XssUtil {

	private static final String REGEX_SCRIPT = "<script[^>]*?>[\\s\\S]*?<\\/script>"; // 定义script的正则表达式
	private static final String REGEX_STYLE = "<style[^>]*?>[\\s\\S]*?<\\/style>"; // 定义style的正则表达式
	private static final String REGEX_HTML = "<[^>]+>"; // 定义HTML标签的正则表达式
	// private static final String REGEX_SPACE = "\\s*|\t|\r|\n";// 定义空格回车换行符

	/**
	 * 过滤掉script标签
	 * 
	 * @param htmlStr
	 * @return
	 */
	public static String delScriptTag(String htmlStr) {
		if (htmlStr == null)
			return null;
		Pattern p_script = Pattern.compile(REGEX_SCRIPT, Pattern.CASE_INSENSITIVE);
		Matcher m_script = p_script.matcher(htmlStr);
		htmlStr = m_script.replaceAll(""); // 过滤script标签
		return htmlStr;
	}

	/**
	 * 过滤掉style标签
	 * 
	 * @param htmlStr
	 * @return
	 */
	public static String delStyleTag(String htmlStr) {
		if (htmlStr == null)
			return null;
		Pattern p_style = Pattern.compile(REGEX_STYLE, Pattern.CASE_INSENSITIVE);
		Matcher m_style = p_style.matcher(htmlStr);
		htmlStr = m_style.replaceAll(""); // 过滤style标签*/
		return htmlStr;
	}

	/**
	 * @param htmlStr
	 * @return 删除Html标签
	 */
	public static String delHTMLTag(String htmlStr) {
		if (htmlStr == null)
			return null;
		Pattern p_html = Pattern.compile(REGEX_HTML, Pattern.CASE_INSENSITIVE);
		Matcher m_html = p_html.matcher(htmlStr);
		htmlStr = m_html.replaceAll(""); // 过滤html标签
		return htmlStr; // 返回文本字符串
	}

	/**
	 * 将html标签中的<>进行转义,如只有"<"或者">"则不进行转义
	 */
	public static String escapeHtml(String htmlStr) {
		if (htmlStr == null)
			return null;
		Pattern p_script = Pattern.compile(REGEX_HTML, Pattern.CASE_INSENSITIVE);
		Matcher m_script = p_script.matcher(htmlStr);
		while (m_script.find()) {
			String str = m_script.group();
			String str_target = str.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
			htmlStr = htmlStr.replaceAll(str, str_target);
		}
		return htmlStr;
	}

	/**
	 * 转义html标签
	 * 
	 * @param input
	 * @return
	 */
	public static String cleanXss(String input) {
		if (input == null)
			return null;
		return escapeHtml(delStyleTag(delScriptTag(input)));
	}

	
	public static void main(String[] args) {

		System.out.println(cleanXss("<'script>"));
		// escapeStr("<是打发第三方>1212<sdf>《dd》<dd");
	}
}
  1. web.xml配置示例
 <filter>
	<filter-name>xssFilterChain</filter-name>
	<filter-class>xxxxxxx.xxxxxx.XssFiter</filter-class>
</filter>
<filter-mapping>
	<filter-name>xssFilterChain</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>
  1. XssUtil类中主要给出了过滤掉script标签、style标签的内容,以及将html标签中的<>转义为<>,在使用中可根据实际情况,重写cleanXss方法
篮球风云
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS 存储漏洞解决
qq_33391644的博客
07-21 1340
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
xss解决方案.zip
03-13
综上所述,此解决方案通过包装请求、过滤器和工具类的组合,构建了一个防御XSS攻击的系统。它强调了在处理用户输入时的安全意识,并提供了一套标准化的防御策略。在部署和维护web应用程序时,理解和应用这样的安全...
xss解决方案
u013029883的博客
08-10 1151
XSS介绍 跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻击原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,
XSS 安全漏洞介绍及修复方案
墨鸦的博客
06-25 6535
XSS 安全漏洞介绍及修复方案
java xss解决方案_XSS攻击解决方案
weixin_39632467的博客
02-28 1246
以下介绍两种防御实现方式。1-XssFilter的实现方式1.1在web.xml加一个filterXssEscapeXssFilterXssEscape/*REQUEST1.2XssFilter 的实现方式是实现servlet的Filter接口importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet....
xss攻击解决方案
M1275601161的博客
03-09 3901
参考博客: https://blog.csdn.net/qwe86314/article/details/83827588 一、什么是xss攻击 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Req
关于xss攻击解决方案
susanliy的博客
01-11 2888
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击。
XSS攻击及解决方案
冰夜翎博客
11-03 1856
什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
Xss问题解决方案
qq_38472535的博客
07-15 643
Xss问题解决方案
XSS攻击原理与解决方法
weixin_68266812的博客
02-21 358
一旦攻击成功,它可以获取到用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库,Click劫持,相对链接劫持等实施钓鱼,他带来的危害是巨大的,是Web安全的头号大敌。
XSS 简述及解决
一只不知疲倦的学习猿
03-29 431
简述xss
「移动安全」互联网公司通用XSS解决方案探讨.pptx - 数据治理.zip
11-24
本讲座主要探讨的是互联网公司通用的XSS解决方案,旨在提升数据治理的安全水平,防止勒索病毒和数据泄露的发生,强化网络安全,并优化访问管理。 首先,我们需要理解XSS攻击的基本类型:存储型、反射型和DOM型。...
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 本资源为百度内部通用XSS攻击解决方案探讨培训ppt,主要介绍了百度内部通用XSS攻击解决方案的探讨培训内容。下面是从该资源中提取的知识点: 1. 问题现状:XSS攻击的数量...
枚举工具类
qq_43049583的博客
08-04 212
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 205
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 608
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
"百度高级安全工程师分享XSS解决方案ppt
为了应对XSS攻击,百度公司举办了一场内部培训,探讨通用的XSS解决方案,并将培训内容总结为本文。 培训主要由百度的高级安全工程师暗夜潜风(d4rkwind)主讲。d4rkwind在领域内具有丰富的经验和知识,在网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值