XSS跨站攻击解决办法--AntiSamy的配置及使用

最新推荐文章于 2024-05-22 10:49:06 发布
最新推荐文章于 2024-05-22 10:49:06 发布
阅读量4.1k 收藏 2
点赞数 2
分类专栏: java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhujq_icode/article/details/79154063
版权
运维 同时被 2 个专栏收录
10 篇文章 0 订阅
订阅专栏
java
7 篇文章 0 订阅
订阅专栏

XSS跨站攻击

        跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

XSS分为:存储型和反射型
存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)。
反射型XSS:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。

AntiSamy介绍

   OWASP AntiSamy项目可以有好几种定义。从技术角度看,它是一个可确保用户输入的HTML/CSS符合应用规范的API。也可以这么说,它是个确保用户无法在HTML中提交恶意代码的API,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。在Web应用程序中,“恶意代码”通常是指 Javascript。同时层叠样式表(CSS)在调用Javascript引擎的时候也会被认为是恶意代码。当然在很多情况下,一些“正常”的HTML 和CSS也会被用于恶意的目的,所以我们也会对此予以处理。

使用AntiSamy防御XSS攻击

1. maven 工程引入AntiSamy

pom.xml中添加AntiSamy的依赖,直接导入到工程即可,其运行依赖的xercesImpl、batik、nekohtml默认会一起导入。 
	 <dependency>  
            <groupId>org.owasp.antisamy</groupId>  
            <artifactId>antisamy</artifactId>  
            <version>1.5.3</version>  
        </dependency>

2. 策略文件

antisamy-slashdot.xml 

 Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限的HTML格式的内容匿名回帖。
Slashdot不仅仅是目前同类中最酷的网站之一,而且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻击的原由是臭名昭着的goatse.cx 图片(请你不要刻意去看)。
Slashdot的安全策略非常严格:用户只能提交下列的html标签:<b>, <u>, <i>, <a>, <blockquote>,并且还不支持CSS.因此我们创建了这样的策略文件来实现类似的功能。它允许所有文本格式的标签来直接修饰字体、颜色或者强调作用。


antisamy-ebay.xml

 众所周知,eBay (http://www.ebay.com/)是当下最流行的在线拍卖网站之一。它是一个面向公众的站点,因此它允许任何人发布一系列富HTML的内容。我们对eBay成为一些复杂XSS攻击的目标,并对攻击者充满吸引力丝毫不感到奇怪。由于eBay允许输入的内容列表包含了比Slashdot更多的富文本内容,所以它的受攻击面也要大得多。


antisamy-myspace.xml

 MySpace (http://www.myspace.com/)是最流行的一个社交网站之一。用户允许提交几乎所有的他们想用的HTML和CSS,只要不包含JavaScript。MySpace现在用一个黑名单来验证用户输入的HTML,这就是为什么它曾受到Samy蠕虫攻击(http://namb.la/)的原因。Samy蠕虫攻击利用了一个本应该列入黑名单的单词(eval)来进行组合碎片攻击的,其实这也是AntiSamy立项的原因。


antisamy-anythinggoes.xml

 如果你想允许所有有效的HTML和CSS元素输入(但能拒绝JavaScript或跟CSS相关的网络钓鱼攻击),你可以使用这个策略文件。其实即使MySpace也没有这么疯狂。然而,它确实提供了一个很好的参考,因为它包含了对于每个元素的基本规则,所以你在裁剪其它策略文件的时候可以把它作为一个知识库。


antisamy-tinymce.xml

只允许文本格式通过,相对较安全


antisamy.xml

默认规则,允许大部分HTML通过

3. AntiSamy的使用

策略文件加载

策略文件只需要加载一次即可,避免每次使用时都加载一次,造成不必要的性能损失: 

private static Policy policy = null;
    static{
        if (policy == null) {
            try {
                policy =  Policy.getInstance("/WEB-INF/classes/antisamy-slashdot.xml");
            } catch (PolicyException e) {
                log.warn("XssFilter - static policy instance error. PolicyException=" , e);
            }
        } 
    }

XSS过滤核心代码

/**
         * 过滤xss攻击违规输入, 2017, zhujq
         * @param value 待过滤字符串
         * @return
         */
        public String xssClean(String value){
            log.info("xssClean() - value=" + value + ", start. ");
            AntiSamy antiSamy = new AntiSamy();
            try {
                //Policy policy = Policy.getInstance(APIGlobal.XSS_ANTISAMY_FILE_PATH);
                final CleanResults cr = antiSamy.scan(value, policy);
                String cleanValue = cr.getCleanHTML();
                log.info("xssClean() - value=" + value + ", cleanValue=" + cleanValue);
                return cleanValue;
            } catch (PolicyException e) {
                log.warn("xssClean() - value=" + value + ", PolicyException=", e);
            } catch (ScanException e) {
                log.warn("xssClean() - value=" + value + ", ScanException=", e);
            } catch (Exception e) {
                log.warn("xssClean() - value=" + value + ", Exception=", e);
            } 
            return value;
        }
WEB过滤器
自定义过滤器XssFilter.java, 过滤接口请求参数, 代码r
    
/**
 * Copyright (c) 2017 21CN.COM . All rights reserved.
 *
 * Description: edrive-api-3.0
 * 
 * Modified log:
 * ------------------------------------------------------
 * Ver.		Date		Author			Description
 * ------------------------------------------------------
 * 1.0		2017-11-29	jinQiang.zhu	        created.
 */
package com.cn21.edrive.product.api.rest.test;

import java.io.IOException;
import java.net.URLDecoder;
import java.net.URLEncoder;
import java.util.Iterator;
import java.util.Map;
import java.util.Properties;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringEscapeUtils;
import org.apache.commons.lang.StringUtils;
import org.apache.log4j.Logger;
import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

import com.cn21.edrive.adaptor.weibo.util.ReadPropertiesFile;
import com.cn21.edrive.product.api.rest.APIGlobal;

/**
 * @author jinQiang.zhu
 *
 */
public class XssFilter implements Filter{


    
    private static final Logger log = Logger.getLogger(XssFilter.class);
    private FilterConfig filterConfig; 
    private static Policy policy = null;
   
    static{
        if (policy == null) {
            try {
                policy =  Policy.getInstance("/WEB-INF/classes/antisamy-slashdot.xml");
            } catch (PolicyException e) {
                log.warn("XssFilter - static policy instance error. PolicyException=" , e);
            }
        } 
       
    }

    /* (non-Javadoc)
     * @see javax.servlet.Filter#init(javax.servlet.FilterConfig)
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    /* (non-Javadoc)
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest, javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
                                                                                             ServletException {
        log.debug("doFilter() - start. ");
        chain.doFilter(new XssRequestWapper((HttpServletRequest) request), response);    
        
        
    }

    /* (non-Javadoc)
     * @see javax.servlet.Filter#destroy()
     */
    @Override
    public void destroy() {
        this.filterConfig = null;
        
    }
    
    
    class XssRequestWapper extends HttpServletRequestWrapper{
        /**
         * @param request
         */
        public XssRequestWapper(HttpServletRequest request){
            super(request);
        }
        
        
        /* (non-Javadoc)
         * @see javax.servlet.ServletRequestWrapper#getParameterMap()
         * 覆盖父类方法
         */
        @SuppressWarnings({ "rawtypes", "unchecked" })  
        public Map<String,String[]> getParameterMap(){  
            log.debug("getParameterMap() - start. ");
            Map<String,String[]> request_map = super.getParameterMap();  
            Iterator iterator = request_map.entrySet().iterator();  
            while(iterator.hasNext()){  
                Map.Entry me = (Map.Entry)iterator.next();  
                String[] values = (String[])me.getValue();  
                 for(int i = 0 ; i < values.length ; i++){  
                     //System.out.println(values[i]);  
                      values[i] = xssClean(values[i]);  
                 }  
            }  
            return request_map;  
        }
        
        /* (non-Javadoc)
         * @see javax.servlet.ServletRequestWrapper#getParameter(java.lang.String)
         * 覆盖父类方法
         */
        @SuppressWarnings({ "rawtypes", "unchecked" })  
        public String getParameter(String name) { 
            log.debug("getParameter() - start. ");
            String v=super.getParameter(name);  
            if(v==null)  
                return null; 
            if (needXssFilter) {
               v = xssClean(v);
            }
            return v;  
        }  
          
        /* (non-Javadoc)
         * @see javax.servlet.ServletRequestWrapper#getParameterValues(java.lang.String)
         * 覆盖父类方法
         */
        @SuppressWarnings({ "rawtypes", "unchecked" })  
        public String[] getParameterValues(String name) {  
            log.debug("getParameterValues() - start. ");
            String[] v=super.getParameterValues(name);  
            if(v==null || v.length==0)  
                return v; 
            if (needXssFilter) {
                for(int i=0;i<v.length;i++){  
                    v[i]=xssClean(v[i]);  
                }  
            }
            return v;  
        }     
        
        /**
         * 过滤xss攻击违规输入, 2017, zhujq
         * @param value
         * @return
         */
        private String xssClean(String value){
            log.info("xssClean() - value=" + value + ", start. ");
            AntiSamy antiSamy = new AntiSamy();
            try {
                //antiSamy无法将编码后的字符进行过滤,所以统一进行decode
                value = URLDecoder.decode(value, "utf-8");
                final CleanResults cr = antiSamy.scan(value, policy);
                String cleanValue = cr.getCleanHTML();
                //antiSamy会将双引号转换成""所以对过滤后的字符进行处理
                cleanValue = StringEscapeUtils.unescapeHtml(cleanValue);
                log.info("xssClean() - value=" + value + ", cleanValue=" + cleanValue);
                return cleanValue;
            } catch (PolicyException e) {
                log.warn("xssClean() - value=" + value + ", PolicyException=", e);
            } catch (ScanException e) {
                log.warn("xssClean() - value=" + value + ", ScanException=", e);
            } catch (Exception e) {
                log.warn("xssClean() - value=" + value + ", Exception=", e);
            } 
            return value;
        }
        
    }

}

过滤器web.xml配置

 Filter对象将会在web应用启动时由服务器根据  web.xml  文件中的配置信息来创建,所以还需要在  web.xml  文件中配置注册自定义的  XssFilter,自定义filter必须放在默认过滤器之前。 
<!-- xss 过滤 -->
	<filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.cn21.edrive.product.api.rest.test.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	
	<filter>
		<filter-name>struts2</filter-name>
		<filter-class>
			org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter
		</filter-class>
	</filter>

	<filter-mapping>
		<filter-name>struts2</filter-name>
		<url-pattern>/*</url-pattern>   	<!-- 把*.action 改为 /* -->
		<dispatcher>REQUEST</dispatcher>    <!-- 别忘了添加这两个参数 -->
		<dispatcher>FORWARD</dispatcher>
	</filter-mapping>




        
 
         


flying_pig1989
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
antisamy的配置以及使用实现XSS防御
ru_li的专栏
07-07 9932
一、antisamy介绍: 二、所需的相关文件: 三、antisamy在eclipse的配置      maven的使用: 整体截图: pom.xml代码: 4.0.0 webTest webTest 0.0.1-SNAPSHOT war src src
springMVC使用Antisamy防御XSS配置(包括请求黑白名单)
Abdulaziz的博客
01-07 1096
AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。 1、maven依赖 <dependency> <groupId>org.owasp.antisamy</groupId> <artifactId>antisamy</artifactId> <version
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
什么是XSS攻击XSS脚本攻击及防护(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
05-22 2597
XSS(Cross-Site Scripting,脚本攻击)是一种代码注入攻击攻击者在目标网上注入恶意代码,当用户(被攻击者)登录网时就会执行这些恶意代码,通过这些脚本可以读取cookie,session tokens,或者网其他敏感的网信息,对用户进行钓鱼欺诈。XSS玫击原理XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript 编写的恶意代码,也有使用其他客户端脚本语言编写的。当用户使用浏览器浏览被嵌入恶意代码的网页时,恶意代码将会在用户的浏览器上执行。
antisamy-sample-configs-1.4.4.jar(antisamy策略文件)
12-20
官网下载,包括以下策略文件: antisamy.xml antisamy-anythinggoes.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot.xml antisamy-tinymce.xml 将jar包解压即可使用
XSS 防御:Antisamy
Sun
06-13 171
Antisamy 是OWASP(open web application security project)的一个开源项目,其能够对用户输入的html/css/javascript 脚本进行过滤,确保输入满足规范,无法提交恶意脚本。Antisamy被应用在web服务中对存储型和反射性的xss防御,尤其是在存在富文本输入的场景,antisamy能够很好的解决用户输入体验和安全要求之间的冲突。 参考...
antisamy java_AntiSamy解决XSS攻击
weixin_39901332的博客
02-16 188
1、下载jar包2、下载策略文件(里面有各个版本的策略文件)3、自定义过滤器import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;im...
XSS攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
AntiSamy Xss脚本攻击WebService War包下载
11-08
在.net环境里,一直没有好的Xss脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat...
XSS攻击在web项目中的防范,基于antisamy技术
07-10
XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全漏洞,它允许恶意用户在Web应用程序中注入可执行的脚本代码。这些注入的脚本可能在其他用户的浏览器中执行,导致敏感数据泄露、会话劫持、钓鱼攻击等...
antisamy-sandbox:修改 OWASP AntiSamy
07-13
在网络安全领域,XSS脚本攻击)是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页中,来操纵用户的行为或者窃取敏感信息。为了防御此类攻击,OWASP(开放网络应用安全项目)开发了一款名为AntiSamy的库,...
antisamy:一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库
03-09
反萨米 一个用于执行来自不受信任来源HTML的快速,可配置HTML清理的库。 支持Java 7+。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 1.导入依赖项 首先,添加来自Maven的依赖项: < dependency> < groupId>org.owasp.antisamy</ groupId> < artifactId>antisamy</ artifactId> < version>LATEST_VERSION</ version> </
antisamy策略文件及其使用说明.zip
08-24
压缩包包含:antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml,里面有使用场景,与官网保持一致。
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xml 、antisamy-ebay.xml、antisamy-myspace.xml、antisamy-anythinggoes.xml、antisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
XSS攻击实例1
01-11
7. 使用ASP.NET MVC的AntiForgeryToken特性:这可以防止CSRF(请求伪造)攻击,但同时也能防止某些XSS攻击。 8. 定期更新和打补丁:保持Asp.net框架和相关库的最新状态,修复已知的安全漏洞。 在"Web...
AntiSamy的使用总结
rqz__的博客
04-09 608
AntiSamy是一个Java库,用于防止脚本攻击XSS)和其他HTML / CSS注入攻击。它工作的方式是检查HTML代码并剥离其中的所有不安全内容,以防止攻击者向网注入恶意代码。AntiSamy提供了多种配置选项和规则,以确保你的网可以在安全的环境下运行。由于AntiSamy是用Java编写的,因此它可被用于任何Java技术堆栈,如Java Servlet,JavaServer Pages(JSP)和JavaServer Faces(JSF)等。
XSS防御-使用AntiSamy
热门推荐
张张张小胜的博客
07-11 1万+
AntiSamy是OWASP的一个开源项目,被广泛应用于Web服务对存储型和反射型XSS的防御中
Java中使用AntiSamy开源项目防御XSS攻击
Howinfun的博客
10-26 2613
背景:     之前公司有接了一个国土的项目,虽然是内部小项目,但是可能是zhengfu项目竟然找软件测试公司大概测了一下。。。然后出现了以下三种问题:sql注入,XSS攻击,接口访问频率。下面是解决XSS攻击。 研究:     一开始的想法是,弄个过滤器把那些关键字过滤掉不就好了,例如script、eval、document等等,确实网上也有这些例子。可参考此博客https://www.c...
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 2843
XSS脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4187
上传文件流防XSS

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值