xss漏洞攻击,Filter实现xss漏洞

最新推荐文章于 2023-09-01 16:03:00 发布
最新推荐文章于 2023-09-01 16:03:00 发布
阅读量2k 收藏 13
点赞数
分类专栏: spring boot java xss 文章标签: xss xss攻击 java xss java xss攻击 xss漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlxls/article/details/107432468
版权
java 同时被 3 个专栏收录
33 篇文章 3 订阅
订阅专栏
spring boot
25 篇文章 2 订阅
订阅专栏
xss
1 篇文章 0 订阅
订阅专栏

该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验

1,主要实现的是四大块功能:Xss攻击,sql注入,服务器白名单,以及csrf

2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善

3,服务器白名单为单独的一个工具包,在文章最后给出

4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发

5,文章会分享出整个Filter文件包,包含四个java文件:

5.1,public class CrosXssFilter implements Filter

5.2,public class CrosXssFilterConfig implements WebMvcConfigurer

5.3,public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter

5.4,public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

6,服务器白名单校验的java文件:

6.1,public class ServerWhiteListUtil

7,如果不要需要使用服务器白名单功能,那么,注释CrosXssFilter.java 文件的36-39行文件代码即可

CrosXssFilter文件:

package com.fc.test.common.filter;

import com.fc.test.util.ServerWhiteListUtil;
import com.qiniu.util.Json;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 *跨域:由于浏览器的安全性限制,不允许AJAX访问 协议不同、域名不同、端口号不同的 数据接口;
 * 前后端都需要设置允许跨域
 * @author zlxls
 * @date 2020年05月18日
 */
public class CrosXssFilter implements Filter {
    private static final Logger logger = LoggerFactory.getLogger(CrosXssFilter.class);
    private FilterConfig filterConfig = null;
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
        logger.info("CrosXssFilter.......init");
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
        request.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset=utf-8");
        // 头攻击检测
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;
        String requestHost = httpRequest.getServerName();
        System.out.println("requestHost:"+requestHost);
        if (requestHost != null && !ServerWhiteListUtil.isWhite(requestHost)) {
            httpResponse.setStatus(403);
            return;
        }
        //跨域设置
        if(response instanceof HttpServletResponse){
            HttpServletResponse httpServletResponse=(HttpServletResponse)response;
            //通过在响应 header 中设置 ‘*’ 来允许来自所有域的跨域请求访问。
            httpServletResponse.setHeader("Access-Control-Allow-Origin", "*");
            //通过对 Credentials 参数的设置,就可以保持跨域 Ajax 时的 Cookie
            //设置了Allow-Credentials,Allow-Origin就不能为*,需要指明具体的url域
            //httpServletResponse.setHeader("Access-Control-Allow-Credentials", "true");
            //请求方式
            httpServletResponse.setHeader("Access-Control-Allow-Methods", "*");
            // 解决IFrame拒绝的问题
            //httpServletResponse.setHeader("X-Frame-Options", "SAMEORIGIN");
            //(预检请求)的返回结果(即 Access-Control-Allow-Methods 和Access-Control-Allow-Headers 提供的信息) 可以被缓存多久
            //httpServletResponse.setHeader("Access-Control-Max-Age", "86400");
            //首部字段用于预检请求的响应。其指明了实际请求中允许携带的首部字段
            httpServletResponse.setHeader("Access-Control-Allow-Headers", "*");
        }
        //sql,xss过滤
        HttpServletRequest httpServletRequest=(HttpServletRequest)request;
        //logger.info("CrosXssFilter.......orignal url:{},ParameterMap:{}",httpServletRequest.getRequestURI(), Json.encode(httpServletRequest.getParameterMap()));
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper=new XssHttpServletRequestWrapper(httpServletRequest);
        chain.doFilter(xssHttpServletRequestWrapper, response);
        //logger.info("CrosXssFilter..........doFilter url:{},ParameterMap:{}",xssHttpServletRequestWrapper.getRequestURI(),Json.encode(xssHttpServletRequestWrapper.getParameterMap()));
    }
    @Override
    public void destroy() {
        this.filterConfig = null;
    }

}

CrosXssFilterConfig 文件:

package com.fc.test.common.filter;

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.filter.DelegatingFilterProxy;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import javax.servlet.Filter;

@Configuration
public class CrosXssFilterConfig implements WebMvcConfigurer {
    @Bean
    public Filter generalFilter() {
        return new CrosXssFilter();
    }
    @Bean
    public FilterRegistrationBean uploadFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new DelegatingFilterProxy("generalFilter"));
        registration.addUrlPatterns("/*");
        registration.setName("generalFilter");
        registration.setOrder(1);
        return registration;
    }
}

WebSecurityConfiguration 文件:

package com.fc.test.common.filter;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.csrf.CookieCsrfTokenRepository;

@Configuration
public class WebSecurityConfiguration  extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers().frameOptions().disable();
        http.csrf().csrfTokenRepository(new CookieCsrfTokenRepository()).requireCsrfProtectionMatcher(
            /**
             * 拦截“/login”开头的访问路径,不让访问
             * 拦截所有“POST”请求,不让访问
             */
            httpServletRequest -> ( httpServletRequest.getRequestURI().indexOf("edit")>-1 ||
                                    httpServletRequest.getRequestURI().indexOf("list")>-1 ||
                                    httpServletRequest.getRequestURI().indexOf("add")>-1) &&
                                    httpServletRequest.getMethod().equals("POST")
            //httpServletRequest -> httpServletRequest.getMethod().equals("POST")
        );
    }
}

XssHttpServletRequestWrapper 文件:

package com.fc.test.common.filter;
import com.fc.test.common.exception.LllegalStringExtension;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.HashSet;
import java.util.Map;
import java.util.Set;

/**
 * 防止sql注入,xss攻击
 * 前端可以对输入信息做预处理,后端也可以做处理。
 * @author zlxls
 * @date 2020年05月18日
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private final Logger log = LoggerFactory.getLogger(getClass());
    //private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or|>|<|eval|javascript:|script|union|</";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    private static String replacedString="INVALID";
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }
    private String currentUrl;

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
        currentUrl = servletRequest.getRequestURI();
    }

    /**覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public Map<String, String[]> getParameterMap(){
        Map<String, String[]> values=super.getParameterMap();
        if (values == null) {
            return null;
        }
        Map<String, String[]> result=new HashMap<>();
        for(String key:values.keySet()){
            //System.out.println("这是getParameterMap的Key:"+key);
            //String encodedKey=cleanXSS(key);//这个是前端传来的键值,不建议进行cleanXSS
            String encodedKey=key;
            int count=values.get(key).length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++){
                encodedValues[i]=cleanXSS(values.get(key)[i]);
            }
            result.put(encodedKey,encodedValues);
        }
        return result;
    }
    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    private String cleanXSS(String valueP) {
        // You'll need to remove the spaces from the html entities below
        /*String value = valueP.replaceAll("<", "&lt;");
        value = value.replaceAll("", "&gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");
        value = value.replaceAll("", "");*/
        return cleanSqlKeyWords(valueP);
    }

    private String cleanSqlKeyWords(String value) {
        if("password".equals(value)){
            return value;
        }
        String paramValue = value;
        for (String keyword : notAllowedKeyWords) {
            String v= value.toLowerCase();
            if(value.toLowerCase().indexOf(keyword)>=0){
            //if (v.length() > keyword.length() + 4 && (v.contains(" "+keyword)||v.contains(keyword+" ")||v.contains(" "+keyword+" "))) {
                //paramValue = StringUtils.replace(paramValue, keyword, replacedString);
                paramValue = "";
                log.error("sql注入:"+this.currentUrl + "已被过滤,因为参数中包含不允许sql的关键词(" + keyword+ ")"+";参数:"+value+";过滤后的参数:"+paramValue);
                throw new LllegalStringExtension();
            }
        }
        return paramValue;
    }

}

ServerWhiteListUtil文件:

package com.fc.test.util;

import java.util.List;
import java.io.InputStreamReader;
import com.google.gson.Gson;
import com.google.gson.reflect.TypeToken;
import org.apache.shiro.io.ResourceUtils;

/**
 * 服务器白名单列表
 */
public class ServerWhiteListUtil {
    private static List<String> whiteList = null;;

    static {
        try {
            // 读取白名单列表
            whiteList = new Gson().fromJson(
                    new InputStreamReader(ResourceUtils.getInputStreamForPath("classpath:serverWhiteList.json")),
                    new TypeToken<List<String>>() {
                    }.getType());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    /**
     * 判断当前host是否在白名单内
     * @param host 待查host
     * @return boolean 是否在白名单内
     */
    public static boolean isWhite(String host) {
        if (whiteList == null || whiteList.size() == 0) {
            return true;
        }
        System.out.println("**********************************************************");
        for (String str : whiteList) {
            if (str != null && str.equals(host)) {
                return true;
            }
        }
        return false;
    }
}

外附上resources/serverWhiteList.json文件

[
  "10.181.1.54",
  "10.181.1.54:80",
  "10.181.1.54:8080",
  "10.181.1.54:443",
  "10.181.1.54:8443",
  "192.168.43.12",
  "127.0.0.1:9091",
  "127.0.0.1",
  "localhost:9091",
  "localhost:9091",
  "192.168.43.12:9091"
]

 

以上纯属经验分享,不足之处还望多多包涵,不喜勿喷

 

生命无须向死而生
关注
专栏目录
预防XSS攻击和SQL注入XssFilter
07-23
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是...
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
最新发布
qq_35320491的博客
07-11 1077
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4935
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
XSS攻击防御
ssslq的博客
03-08 2315
XSS攻击防御
XSS漏洞攻击
qq_57307348的博客
02-17 4332
1、在掌握xss之前,首先要了解什么是html、css、JavaScript。 1)Html:超文本标记语言,是一种用于创建网页的标准标记语言。HTML是一种基础技术,常与CSS、JavaScript一起被众多网站用于设计网页、网页应用程序以及移动应用程序的用户界面。 2)Css:是一种用来为结构化文档(如HTML文档或XML应用)添加样式(字体、间距和颜色等)的计算机语言。 3)JavaScript:相当于更好的实现和用户的交 互,是信息传递实现双向化。 2、同源策略 同源策略是一个重要的安..
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4171
Springboot配置XSS过滤器XssFilter
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1535
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
JSP使用过滤器防止Xss漏洞
10-17
在Web开发中,XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页中,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...
gnuboard xss漏洞1
08-03
XSS漏洞详解】 XSS(Cross-site scripting)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。XSS攻击通常发生在Web应用程序未能充分验证或转义用户输入的数据时,使得这些数据可以被当作...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2632
java防止XSS攻击
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5507
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加入重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取参数时都会经过XSS处理。 主要实...
XSS攻击,使用Filter转义
熊浪的博客
09-09 861
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
过滤器防止xss攻击
yizhousai0662的博客
09-01 1237
将参数中有关xss攻击的非法字符全部处理掉。
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 381
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
js实现XSS漏洞的防护 的具体实现代码
05-27
以下是一些具体实现代码示例: 1. 对输入数据进行过滤和验证: ```javascript function filterInput(input) { // 过滤特殊字符 input = input.replace(/[^a-zA-Z0-9]/g, ''); // 进行验证处理 if (input.length > 10) { input = input.slice(0, 10); } return input; } ``` 2. 对输出的数据进行过滤和验证: ```javascript function filterOutput(output) { // 转义特殊字符 output = output.replace(/&/g, '&'); output = output.replace(/</g, '<'); output = output.replace(/>/g, '>'); output = output.replace(/"/g, '"'); output = output.replace(/'/g, '''); // 进行验证处理 if (output.length > 100) { output = output.slice(0, 100); } return output; } ``` 3. 对Cookie进行安全设置: ```javascript document.cookie = "name=value; path=/; domain=example.com; secure; HttpOnly"; ``` 4. 使用CSP策略: ```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' 'unsafe-inline';"> ``` 5. 使用HTTPS协议: ```html <script src="https://example.com/script.js"></script> ``` 6. 网站漏洞扫描和安全测试: 使用一些常见的漏洞扫描工具,如Nmap、Nessus等,对网站进行扫描和测试,发现漏洞及时修复。同时也可以使用一些第三方的安全测试服务,如HackerOne、Bugcrowd等。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

生命无须向死而生

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值