防止链接注入( XSS跨站脚本攻击)、跨站点脚本编制

最新推荐文章于 2023-11-05 09:46:58 发布
最新推荐文章于 2023-11-05 09:46:58 发布
阅读量2.5k 收藏 1
点赞数 1
分类专栏: JAVA 文章标签: XSS 防止链接注入 跨站点脚本编制 XSS跨站脚本攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zou493451860/article/details/73808237
版权 
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.ArrayUtils;

/**
 * 防止链接注入( XSS跨站脚本攻击)、跨站点脚本编制、
 * 
 * @author admini
 * 
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;

	public XssHttpServletRequestWrapper(HttpServletRequest request) {
		super(request);
		orgRequest = request;
	}

	/**
	 * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
	 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
	 */
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}
	@Override
	public Map<String, String[]> getParameterMap() {
		// change values to value
		Map<String, String[]> parameterMap = super.getParameterMap();
		Map<String, String[]> parameters = new HashMap<String, String[]>(parameterMap.size());
		for (Iterator it = parameterMap.keySet().iterator(); it.hasNext();) {
			Object key = it.next();
			String[] values = (String[]) parameterMap.get(key);
			if (values != null && values.length > 0) {
				  	int count = values.length;
			        String[] encodedValues =new String[count];
			        for(int i =0; i < count; i++){
			            encodedValues[i]= xssEncode(values[i]);
			        }
			        parameters.put((String)key, encodedValues);	
			}
			
		}
		return parameters;
	}
	@Override
	public String[] getParameterValues(String name) {
		String[] values =super.getParameterValues(name);
        if(values ==null){
            return null;
        }
        int count = values.length;
        String[] encodedValues =new String[count];
        for(int i =0; i < count; i++){
            encodedValues[i]= xssEncode(values[i]);
        }
        return encodedValues;
	}

	/**
	 * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
	 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
	 * getHeaderNames 也可能需要覆盖
	 */
	@Override
	public String getHeader(String name) {

		String value = super.getHeader(xssEncode(name));
		if (value != null) {
			value = xssEncode(value);
		}
		return value;
	}

	/**
	 * 将容易引起xss漏洞的半角字符直接替换成全角字符
	 * 
	 * @param s
	 * @return
	 */
	public String xssEncode(String s) {
		if (s == null || s.isEmpty()) {
			return s;
		}

		String result = stripXSS(s);
		if (null != result) {
			result = escape(result);
		}

		return result;
	}

	/**
	 * 获取最原始的request
	 * 
	 * @return
	 */
	public HttpServletRequest getOrgRequest() {
		return orgRequest;
	}

	/**
	 * 获取最原始的request的静态方法
	 * 
	 * @return
	 */
	public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
		if (req instanceof XssHttpServletRequestWrapper) {
			return ((XssHttpServletRequestWrapper) req).getOrgRequest();
		}

		return req;
	}

	public String escape(String s) {
		StringBuilder sb = new StringBuilder(s.length() + 16);
		for (int i = 0; i < s.length(); i++) {
			char c = s.charAt(i);
			switch (c) {
			case '>':
				sb.append('>');// 全角大于号
				break;
			case '<':
				sb.append('<');// 全角小于号
				break;
			case '\'':
				sb.append('‘');// 全角单引号
				break;
			case '\"':
				sb.append('“');// 全角双引号
				break;
			case '\\':
				sb.append('\');// 全角斜线
				break;
			case '%':
				sb.append('%'); // 全角冒号
				break;
			default:
				sb.append(c);
				break;
			}

		}
		return sb.toString();
	}

	private String stripXSS(String value) {
		if (value != null) {
			// NOTE: It's highly recommended to use the ESAPI library and
			// uncomment the following line to
			// avoid encoded attacks.
			// value = ESAPI.encoder().canonicalize(value);
			// Avoid null characters
			value = value.replaceAll("", "");
			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid anything in a src='...' type of expression
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</script>",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<script(.*?)>",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid eval(...) expressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid expression(...) expressions
			scriptPattern = Pattern.compile("expression\\((.*?)\\)",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid javascript:... expressions
			scriptPattern = Pattern.compile("javascript:",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid vbscript:... expressions
			scriptPattern = Pattern.compile("vbscript:",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Avoid οnlοad= expressions
			scriptPattern = Pattern.compile("onload(.*?)=",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");

			scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");

			scriptPattern = Pattern.compile("</iframe>",
					Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<iframe(.*?)>",
					Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
							| Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
		}
		return value;
	}

}

调用

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

public class XssFilter implements Filter {

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}

	@Override
	public void doFilter(ServletRequest req,
			ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		// TODO Auto-generated method stub
		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest)req);  
    	chain.doFilter(xssRequest, res); 
	}

	@Override
	public void init(FilterConfig filterconfig) throws ServletException {
		// TODO Auto-generated method stub
		
	}

}


zou493451860
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
项目防止脚本攻击sxx存储性漏洞
kang1011的博客
10-21 2283
项目防止脚本攻击sxx存储性漏洞 <a 标签跳转,等等 现象: 如上页面一些更新修改添加操作,输入js一些可执行脚本,对网站进行攻击。 解决: 可引入以下的工具类,对保存的字段做过滤拦截,防止js脚本攻击。 package com.xx; import java.util.regex.Pattern; public class XSSUtils { public static String striptXSS(String value) { if (va
Java Web应用程序的反站点脚本XSS)过滤器
最佳 Java 编程
05-09 299
这是为Java Web应用程序编写的一个好简单的反站点脚本XSS)过滤器。 它的主要作用是从请求参数中删除所有可疑字符串,然后将其返回给应用程序。 这是我以前关于该主题的帖子的改进。 您应该将其配置为链(web.xml)中的第一个过滤器,通常最好让它捕获对您站点的所有请求。 实际的实现包括两个类,实际的过滤器非常简单,它将HTTP请求对象包装在一个专门的HttpServle...
XSS漏洞 解决
even随手
03-28 885
转译参数      将容易引起xss漏洞的半角字符直接替换成全角字符      public String xssEncode(String s)       {           if (s == null || s.isEmpty())           {               return s;           }               
XSS】Springboot结合ESAPI——配置XSS防御过滤
qgnczmnmn的博客
09-01 3371
本文来源与几篇优秀文章的整合,但整合后真实可用, 在此记录以便往后使用 文章地址: https://blog.csdn.net/frog4/article/details/81876462https://blog.csdn.net/julycaka/article/details/78467291       https://blog.csdn.net/fengyao1...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击-运维安全详细笔记
XSS跨站脚本攻击
01-27
脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
XSS跨站脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
在spring boot中防止xss攻击的实现方案
程序员记事本
02-22 1936
【代码】在spring boot中防止xss攻击的实现方案。
站点脚本编制
ilsld的博客
10-11 1551
项目安全检测出现 “站点脚本编制” 的问题,以下解决方法是网上搜索整理。 用过滤器过滤所有url 1.过滤器 @Slf4j @WebFilter(filterName = "urlFilter", urlPatterns = "/*") public class webFilter implements Filter { /** * * @param filterConfig The configuration information associated with the
站点脚本编制 解决方案( IBM)
收集盒 Book box
11-21 3959
站点脚本编制 修订建议 一般 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符
站点脚本编写综合教程
aboutmn的博客
08-28 963
第一部分:概述 什么是XSS站点脚本XSS)是一种代码注入攻击,它使攻击者可以在用户的浏览器中执行恶意JavaScript。 攻击者不会直接针对其受害者。 相反,他利用受害者访问的网站中的漏洞来使网站为他提供恶意JavaScript。 对于受害者的浏览器而言,恶意JavaScript似乎是网站的合法部分,因此该网站充当了攻击者的无意帮凶。 如何注入恶意JavaScript 攻击者在受害者的浏览器中运行其恶意JavaScript的唯一方法是将其注入受害者打开的网站页面。 如果如果网站部队用户输入进行过
WEB漏洞之XSS注入解析
最新发布
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
11-05 664
因此,不建议在URL中使用锚点注入来执行JavaScript代码,而应该使用更安全的方法,如在HTML文档中嵌入JavaScript代码或在外部JavaScript文件中编写代码。所以:document.location.href.indexOf("default=") 的作用就是检索:default= 第一次出现的位置,如果检索的字符串值没有出现,则该方法返回 -1 ,(没有是:=== -1;如果浏览器支持锚点注入,那么在URL的井号后面添加JavaScript脚本是可以运行的。
java 防止 XSS 攻击的常用方法总结.
hebeind100的博客
03-19 410
  java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻击呢,下面给出几种...
常见安全漏洞修复
w_t_y_y的博客
06-10 1002
一、存储型xss: 1、介绍:将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 2、危害: (1)、盗用cookie,获取敏感信息。 (2)、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 (3)、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)
url参数script注入攻击 防御
iteye_16661的博客
09-06 1997
package net.survey.util;import java.util.ArrayList;import java.util.List;import java.util.regex.Matcher;import java.util.regex.Pattern;import org.apache.commons.lang.StringUtils;/** * 处理非法字符 * * @auth...
通过正则过滤html标签
爱上狮子座的女孩
04-02 8907
public static String delHtml(String inputString) {        String htmlStr = inputString; // 含html标签的字符串        String textStr = "";        java.util.regex.Pattern p_script;        java.util.regex.Mat
jsp如何防止xss跨站脚本攻击
06-07
JSP 可以通过以下几种方式来防止 XSS 跨站脚本攻击: 1. 输入检查和过滤:在 JSP 页面中对用户输入的数据进行检查和过滤,例如过滤掉 HTML 标签和 JavaScript 代码等。 2. 输出编码:在 JSP 页面中输出变量时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值