xss跨站攻击解决方法

最新推荐文章于 2024-05-31 10:52:23 发布
最新推荐文章于 2024-05-31 10:52:23 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: Web开发 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxmsdyz/article/details/50350795
版权

需要编写一个xssFilter过滤器,对request对象进行包装后提供给程序使用。

XssFilter过滤器源码

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * <code>{@link CharLimitFilter}</code>
 * 
 * 拦截防止sql注入
 * 
 * @author Administrator
 */
public class XssFilter implements Filter {


    private static final String INIT_PARAM_EXCUDEURLS="excludeUrls";    
    /**
     * 不过滤的url
     */
    protected  String excludeUrls;
    private boolean excluded=false;
    /*
     * (non-Javadoc)
     * 
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,
     * javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest  servletRequest=(HttpServletRequest) request;
        String url=servletRequest.getRequestURI();
        if (url.indexOf("?")>-1)
        url=url.substring(0, url.indexOf("?"));
        for (String tempUrl:excludeUrls.split(",")){
            if (url.indexOf(tempUrl)>-1){
                excluded=true;
                break;
            }
        }
        if (!excluded){
          XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
                (HttpServletRequest) request);
          filterChain.doFilter(xssRequest, response);
        }
        else
         filterChain.doFilter(servletRequest, response);


    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        excludeUrls=filterConfig.getInitParameter(INIT_PARAM_EXCUDEURLS);
    }

}

XssHttpServletRequestWrapper request包装器源码

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * <code>{@link XssHttpServletRequestWrapper}</code>
 * 
 * TODO : document me
 * 
 * @author Administrator
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 使用struts2必须重写该方法
     *
     * @return
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameterMap = super.getParameterMap();
        Set<Map.Entry<String, String[]>> entrySet = parameterMap.entrySet();
        for (Map.Entry<String, String[]> entry : entrySet) {
            if (Validator.isNotNull(entry.getValue()) && entry.getValue().length > 0) {
                String[] encodeVals = new String[entry.getValue().length];
                int i = 0;
                for (String value : entry.getValue()) {
                    String encodeVal = xssEncode(value);
                    encodeVals[i++] = encodeVal;
                }
                entry.setValue(encodeVals);
            }
        }
        return parameterMap;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        String[] escapeValues = new String[values.length];
        for (int i=0; i<values.length; i++) {
            escapeValues[i] = xssEncode(values[i]);
        }
        return escapeValues;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || "".equals(s)) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case '>':
                sb.append("&#62;");// 全角大于号
                break;
            case '<':
                sb.append("&#60;");// 全角小于号
                break;
            case '\'':
                sb.append("&#39;");// 全角单引号
                break;
            case '\"':
                sb.append("&#34;");// 全角双引号
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }

    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

}

特殊字符替代方式

显示结果描述 实体名称实体编号
空格  
< 小于号& lt;& #60;
> 大于号& gt;& #62;
& 和号& amp;& #38;
” 引号& quot;& #34;
’ 撇号& apos; (IE不支持)& #39;

(由于编辑器限制,上述对应的转换字符&号后面都有加空格,正式使用时要去掉。)

爪洼岛老土著
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot解决XSS跨站脚本攻击
实战架构师
07-31 1004
文章目录一.思路二.实现2.1 定义XssHttpServletRequestWrapper2.2 定义XssFilter类实现Filter接口2.3 Filter配置2.4 yaml配置 一.思路 1.定义XssHttpServletRequestWrapper类继承HttpServletRequestWrapper覆写getParameterValues,getInputStream方法 request的inputStream只能被读取一次,多次读取将报错; 解决方案:通过构造方法先记录已读取的内容,然
java 跨站脚本攻击_XSS(跨站脚本攻击)漏洞解决方案
weixin_33979216的博客
02-21 1951
首先,简单介绍一下XSS定义:一 、 XSS介绍XSS跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目...
xss攻击原理与解决方法
热门推荐
套路猿的博客
04-14 7万+
概述XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
XSS跨站脚本攻击及防护
weixin_62707591的博客
06-18 2848
XSS又叫CSS),即跨站脚本攻击,是最常见的 Web 应用程序安全漏洞之一。在绝大多数网络攻击中都是把XSS作为漏洞链中的第一环,通过XSS,黑客可以得到的最直接利益就是拿到用户浏览器的 cookie,从而变相盗取用户的账号密码,进而非授权的获取关键的隐私信息。XSS攻击是一种客户端访问嵌入有恶意脚本代码的Web页面,从而盗取信息、利用身份等的一种攻击行为。XSS属于客户端攻击受害者最终是用户。XSS的传播性极强,由于 web 的特点是轻量级灵活性高。
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞的解决
weixin_43947156的博客
05-31 6723
https://blog.csdn.net/qq_35393693/article/details/86597707 XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用
XSS跨站脚本攻击)及部分解决方案
Peacock__的博客
12-26 2657
最近做的部门内部用的一个小项目要上线,上线前安全测试测出了存储型XSS漏洞,自己也通过这个机会学习了一下,在此记录 1、什么是XSS XSS的中文含义是跨站脚本攻击,Cross Site Scripting,缩写为CSS,但容易与层叠样式表的缩写混淆,所以有人将其缩写为XSS 2、XSS原理 html是超文本标记语言,通过一些字符特殊对待来区分文本和标记,例如:<被看作h...
5.6 XSS跨站脚本攻击
qq_55202378的博客
08-05 672
XSS DVWA
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 920
漏洞描述:本页面存在跨站脚本攻击跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
XSS跨站脚本攻击漏洞
追求卓越
12-23 1103
XSS跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在网站中植入恶意的脚本代码,当其他用户访问该网站时,这些脚本代码会在用户的浏览器中执行。这可能会导致严重的安全后果,比如窃取用户的敏感信息,欺骗用户,或者在用户的浏览器中执行恶意操作。XSS漏洞通常出现在网站中输入数据未经过滤或者不当过滤的情况下,攻击者可以通过向网站发送带有恶意脚本的数据,使得脚本在用户的浏览器中执行。在反射型XSS中,攻击者向网站发送一个带有恶意脚本的URL,当其他用户点击该URL时,恶意脚本就会在用户的浏览器中执行。
XSS跨站脚本攻击漏洞修复方法
06-18
NULL 博文链接:https://gqsunrise.iteye.com/blog/2214704
XSS跨站脚本攻击在Java开发中防范的方法
01-09
XSS跨站脚本攻击在Java开发中防范的方法
xss跨站脚本攻击详解
06-08
该文档主要说明了一些简单的xxs(跨站脚本攻击)简介,分类,构造,以及解决办法
XSS 跨站脚本攻击 的防御解决方案
03-26
XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
解决XSS跨站脚本攻击
01-22
这篇文档是针对XSS漏洞的防范的简单解析。
【网络安全的神秘世界】docker搭建pikachu靶场
weixin_54750312的博客
05-31 203
再访问80端口,因为默认端口就是80,所以80可省略。可以通过下面命令进入pikachu网站根目录。虽然是404,但实际已经启动好了。点击红色部分,进行安装/初始化。复制命令后,去kali安装。访问本地地址8080端口。
【网络安全的神秘世界】VsCode直连虚拟机
最新发布
weixin_54750312的博客
05-31 403
连接成功,回到原始vscode界面,可以点击打开文件夹。右击VScode中左下角的绿色区域,勾选远程主机。通过VsCode连接虚拟机,可以进行远程操作。打开远程资源管理器,点击+号,配置连接服务器。再次输入密码后,进入Linux文件夹。hostname:主机名,随便起。host:打开kali,用。User:虚拟机的用户名。
网络安全行为可控定义以及表现内容简述
行云管家
05-28 326
在数字化快速发展的今天,网络安全已成为国家和企业不可或缺的防线。据统计,网络攻击事件频发,给全球经济带来了巨大损失。因此,确保网络安全行为可控显得尤为重要。今天我们来聊聊网络安全行为可控定义以及表现内容。
xss攻击 该如何解决
05-24
XSS跨站脚本攻击)是一种常见的网络安全漏洞,攻击者利用该漏洞注入恶意脚本代码到网页中,从而窃取用户的信息或者控制用户的浏览器。以下是一些可以解决XSS攻击方法: 1. 输入验证:对用户输入的数据进行验证,包括长度、格式、类型等等,以防止恶意脚本被注入到网页中。 2. 输出编码:对输出到网页上的数据进行HTML编码,以防止恶意脚本被执行。常用的编码方式包括转义字符和HTML实体编码。 3. CSP(内容安全策略):CSP是一种通过HTTP头来限制浏览器可以加载哪些资源的安全机制。开启CSP可以防止恶意脚本被加载到网页中。 4. HttpOnly Cookie:将Cookie设置为HttpOnly属性,可以防止浏览器通过JS脚本获取Cookie值。 5. 防止数据泄露:尽量减少敏感信息的传输,避免敏感信息泄露。 6. 使用框架和组件:使用已经经过安全测试和认证的框架和组件,可以减少XSS攻击的风险。 综合使用以上方法可以有效地预防XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值