xss跨站攻击解决方法

最新推荐文章于 2024-04-14 22:38:53 发布
最新推荐文章于 2024-04-14 22:38:53 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: Web开发 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zxmsdyz/article/details/50350795
版权

需要编写一个xssFilter过滤器,对request对象进行包装后提供给程序使用。

XssFilter过滤器源码

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * <code>{@link CharLimitFilter}</code>
 * 
 * 拦截防止sql注入
 * 
 * @author Administrator
 */
public class XssFilter implements Filter {


    private static final String INIT_PARAM_EXCUDEURLS="excludeUrls";    
    /**
     * 不过滤的url
     */
    protected  String excludeUrls;
    private boolean excluded=false;
    /*
     * (non-Javadoc)
     * 
     * @see javax.servlet.Filter#doFilter(javax.servlet.ServletRequest,
     * javax.servlet.ServletResponse, javax.servlet.FilterChain)
     */
    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest  servletRequest=(HttpServletRequest) request;
        String url=servletRequest.getRequestURI();
        if (url.indexOf("?")>-1)
        url=url.substring(0, url.indexOf("?"));
        for (String tempUrl:excludeUrls.split(",")){
            if (url.indexOf(tempUrl)>-1){
                excluded=true;
                break;
            }
        }
        if (!excluded){
          XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
                (HttpServletRequest) request);
          filterChain.doFilter(xssRequest, response);
        }
        else
         filterChain.doFilter(servletRequest, response);


    }

    @Override
    public void destroy() {
        // TODO Auto-generated method stub

    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        excludeUrls=filterConfig.getInitParameter(INIT_PARAM_EXCUDEURLS);
    }

}

XssHttpServletRequestWrapper request包装器源码

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * <code>{@link XssHttpServletRequestWrapper}</code>
 * 
 * TODO : document me
 * 
 * @author Administrator
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }

    /**
     * 使用struts2必须重写该方法
     *
     * @return
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameterMap = super.getParameterMap();
        Set<Map.Entry<String, String[]>> entrySet = parameterMap.entrySet();
        for (Map.Entry<String, String[]> entry : entrySet) {
            if (Validator.isNotNull(entry.getValue()) && entry.getValue().length > 0) {
                String[] encodeVals = new String[entry.getValue().length];
                int i = 0;
                for (String value : entry.getValue()) {
                    String encodeVal = xssEncode(value);
                    encodeVals[i++] = encodeVal;
                }
                entry.setValue(encodeVals);
            }
        }
        return parameterMap;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        String[] escapeValues = new String[values.length];
        for (int i=0; i<values.length; i++) {
            escapeValues[i] = xssEncode(values[i]);
        }
        return escapeValues;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     * 
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || "".equals(s)) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case '>':
                sb.append("&#62;");// 全角大于号
                break;
            case '<':
                sb.append("&#60;");// 全角小于号
                break;
            case '\'':
                sb.append("&#39;");// 全角单引号
                break;
            case '\"':
                sb.append("&#34;");// 全角双引号
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }

    /**
     * 获取最原始的request
     * 
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     * 
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }

        return req;
    }

}

特殊字符替代方式

显示结果描述 实体名称实体编号
空格  
< 小于号& lt;& #60;
> 大于号& gt;& #62;
& 和号& amp;& #38;
” 引号& quot;& #34;
’ 撇号& apos; (IE不支持)& #39;

(由于编辑器限制,上述对应的转换字符&号后面都有加空格,正式使用时要去掉。)

爪洼岛老土著
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL查询安全性及性能优化
03-07
SQL注入的原理 什么SQL注入 将SQL代码插入到应用程序的输入参数中,之后,SQL代码被传递到数据库执行。从而达到对应用程序的攻击目的。 注入原理 常见攻击方法 检测是否可以注入【检测注入点】 示例:http://192.168.0.1/temp.aspx?id=a or 1=1-- 如果上面语句可以执行说明可以实现注入,则可以 利用系统过程、系统表注入数据库 示例【给系统添加一个用户,黑客可以实现远程登录控制服务器】:http://192.168.0.1/temp.aspx?id=1;exec xp_cmdshell 'net user admin 123456 /add' 绕过程序的限制 示例:程序中往往限制单引号的数据,但是黑客传入单引号的ASCII码 点注入 在Web页面挂某些恶意的HTML、JavaScript代码 防范SQL注入 限制错误信息的输出,避免错误信息的输出使得黑客知道网的技术实现采用什么数据库,采用什么平台 示例:在Web.config文件中设置 限制访问数据库账号的权限 在开发应用系统的时候就应该限制,给程序最小访问数据库的权限 使用参数命令传递参数 不要使用拼接字符串的方式构造SQL语句而采用参数命令 使用存储过程 存储过程在数据库中 只能执行存储过程中固定的代码 限制输入长度 防止黑客输入超大字符串,导致服务器瘫痪 防止黑客输入较长的恶意脚本等 实现方法:文本框的MaxLength属性 URL重写技术 示例: http://testWeb/news.aspx?id=111 重写成:http://testWeb/10101111.html 传递参数尽量不用字符串 http://testWeb/news.aspx?id=111 and 1=1【黑色部分给了SQL注入的机会】 SQL优化 为什么要优化 开发是对性能考虑不多【技术差、项目工期紧等原因没有考虑性能问题】 系统运行中,数据量扩大,访问量增多,蹩脚的SQL危害开始显露 低效SQL的危害 系统响应变慢,软件开发中的8秒定律,当打开一个软件或网页超过8秒时间还没有显示,则响应太慢。 死锁,当不同用户都访问某些资源的时候SQL语句不当导致死锁 客户失去信心,软件失败 低效SQL低效在哪里?  性能低下的根源  硬件原因,数据库的配置不合理,数据库的数据文件和日志文件没有分磁盘存放,会极大影响IO性能  没有建立索引,或者SQL没有走索引。在千万级数据的表上建索引是很有必要的。  SQL过于复杂,过长的SQL语句满足程序需求但是影响性能。子查询嵌套过多对性能有影响,查询关联的表特别多也影响性能  频繁访问数据等等 SQL如何被SQLServer执行的 SQL执行原理  解释:首先解释SQL语句【语法是否正确】  解析:检验语句的出现的对象是否有效【进行一个解析,要检查对象所有权的权限】  优化:【检查SQL语句是否能够使用索引,SQL语句如何执行效率高,制定一个执行计划】  编译:  执行SQL语句:【把编译过的查询要求提交并进行处理】 如何优化SQL 完善开发的管理 完善代码审核、测试机制,软件开发是艺术! 检测SQL查询的效率 语法【对IO和Time对SQL执行进行统计】: SET STATISTICS IO ON SET STATISTICS TIME ON ------------SQL代码--------- SET STATISTICS IO OFF SET STATISTICS TIME OFF 注意:在检测之前要清理缓存,因为当我们执行SQL语句的时候查出的数据会在数据库中进行缓存,重新查询会返回缓存中的信息。 DBCC DROPCLEANBUFFERS DBCC FREEPROCCACHE 经验:使用子查询嵌套不要过多,尽量使用表连接查询代替子查询,因为表连接查询效率稍高一点。 SQL优化工具 使用报表服务 通过Reporting Service查找低效SQL 选择 性能 - 批处理执行统计信息和性能相关的几个报表服务: 性能 - 对象执行统计信息 性能 - 按平均CPU时间排在前面的查询 性能 - 按平均IO次数排在前面的查询 性能 - 按总CPU时间排在前面的查询 性能 - 按IO总次数排在前面的查询 操作示范: 1. 数据引擎上点击右键—报表—标准报表—关心的
Java源码总结整理注意点
王洋的专栏
12-12 288
1. Throwable是异常的鼻祖,下设Error 和Exception两大类异常,Exception又分为了两大类检查型和非检查型的异常。2. Booleanboolean中存储true和false全是常量final staic的,相当于缓存 public int hashCode() { return value ? 1231 : 1237; } pub
记录java中两个可能导致安全问题的代码
weixin_42159686的博客
09-25 304
记录java中两个可能导致安全问题的代码
xss攻击原理与解决方法
最新发布
套路猿的博客
04-14 7万+
概述XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。攻击的条件实施
java 脚本攻击_XSS(脚本攻击)漏洞解决方案
weixin_33979216的博客
02-21 1988
首先,简单介绍一下XSS定义:一 、 XSS介绍XSS脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将脚本攻击缩写为XSSXSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目...
简单了解taint 污点追踪
Recar的博客
05-18 1862
php扩展流程 先 模块初始化阶段(MINIT)注册常量或者类等初始化操作 然后 模块激活阶段(RINIT)该过程发生在请求阶段, 例如通过url请求某个页面,则在每次请求之前都会进行模块激活(RINIT请求开始)。 例如PHP注册了一些扩展模块 taint taint主要由三部分构成,污点标记、污点传播、污点沉降 污点方法 //定义mark规则 #define TAINT_MARK(str) (GC_FLAGS((str)) |= IS_STR_TAINT_POSSIBLE) #define
PHP Taint 一个用来检测 XSS/SQL/Shell 注入漏洞的扩展
郎涯技术
03-21 1222
什么是Taint ? An extension used for detecting XSS codes(tainted string), And also can be used to spot sql injection vulnerabilities, shell inject, etc. 经过我实际测试, 能检测出实际的一些开源产品的(别问是什么)隐藏的 XSS code, SQL 注入...
JavaScript 性能优化之安全类型检测
wzg0817的博客
06-03 790
JavaScript内置的类型检测机制并非完全可靠。比如: var isArray = value instanceof Array; 以上代码要返回true,value必须是一个数组,而且还必须与Array构造函数在同个全局作用域中。(别忘了,Array是window的属性。)如果value是在另个frame中定义的数组,那么以上代码就会返回false。 解决方法: 众所周知,在任何值上调用Object原生的toString()方法,都会返回一个[obj ect NativeConstructorNam
springMVC之远离selectByPrimaryKey
一个人的博客
04-07 934
记录一下bug解决方案。 今天遇到线上突然某个接口访问不了,测试和本地都好好的。找了半天,看了半天,也没有找到问题在哪,纳闷的很。最后看了半天的代码,把目光锁定在了 for (DeviceUser deviceUser2 : list) { AccountUser use = accountUserService.selectByPrimaryKey(deviceUser2.getUserId()); deviceUser2.setUserName(use.getAccountName
XSS脚本攻击漏洞修复方法
06-18
**XSS脚本攻击漏洞修复方法** XSS(Cross-Site Scripting)脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网进行破坏。本文将...
XSS脚本攻击在Java开发中防范的方法
01-09
XSS脚本攻击在Java开发中防范的方法
xss脚本攻击详解
06-08
该文档主要说明了一些简单的xxs(脚本攻击)简介,分类,构造,以及解决办法
修复swfupload2.5版存在的XSS攻击漏洞
10-08
2.5版本中发现的安全问题,即XSS脚本)漏洞,是一个重要的安全关注点,因为它可能允许攻击者注入恶意代码,对网的用户造成危害。 XSS攻击是网络安全中的常见威胁,它利用了网没有充分验证和过滤用户输入...
xss脚本攻击汇总
07-24
xss 脚本攻击汇总 ...xss 脚本攻击可以通过多种方式 inject 恶意脚本,攻击者可以使用不同的技术和方法来 bypass 安全机制。因此,防御 xss 脚本攻击需要使用多种安全机制和技术来防御攻击
java returned_JAVA——return浅析
weixin_39901213的博客
02-21 139
这个是我网上问问题有个大神解析的~~小小分享~~1、return语句的作用:a、返回一个值,这个值可以是任意类型。b、使程序返回到操作系统(即终止程序)2、java中对于一个函数,不论有没有返回值类型,都可以带有return 语句。但是区别在于,return 语句是否可以返回一个值(这取决与该函数的返回值类型)。a、如果函数有返回值类型(即返回值类型不为void ),则必须带有返回相应类型值的re...
63-ALTERNATIVE IO MODELS
gaoxiangnumber1——Gao Xiang's Blog
09-21 2364
Please indicate the source: http://blog.csdn.net/gaoxiangnumber1Welcome to my github: https://github.com/gaoxiangnumber163.1 Overview Traditional blocking I/O model: A process performs I/O on one file
XSS漏洞基础分析(反射型)
m0_55017965的博客
03-05 5086
攻击方法: 1.在自己地浏览器上发现xss漏洞,产生恶意行为 2.将输入命令后的url复制 3.发给其他用户,产生相同的攻击效果 在网页html中,出现Javascript语句即出现xss漏洞 源码分析: 低级代码:PHP代码中对xss语句没有任何过滤,可直接输入<script>alert(1234)</script> 源码分析: 中级代码:PHP代码中对xss语句有大小写有过滤,当xss语句为小写时,代码不能执行,所以可以将代码改为大写: <sCri..
Clang静态程序分析
huang1zhao的博客
08-10 1197
clang静态程序分析
Java7重大安全漏洞之对策
fisher_jiang的专栏
01-13 1万+
“根据美国计算机紧急响应小组(CERT)本月 10 日 (2013年 )发布的报告:Java 7 存在巨大的安全漏洞,美国国土安全局已经向所有用户发出建议,要求立即禁用 Java 7。”   The latest version of Java 7 (Update 10) includes a feature that makes it simpler to unplug Java from
xss攻击 该如何解决
05-24
XSS脚本攻击)是一种常见的网络安全漏洞,攻击者利用该漏洞注入恶意脚本代码到网页中,从而窃取用户的信息或者控制用户的浏览器。以下是一些可以解决XSS攻击方法: 1. 输入验证:对用户输入的数据进行验证,包括长度、格式、类型等等,以防止恶意脚本被注入到网页中。 2. 输出编码:对输出到网页上的数据进行HTML编码,以防止恶意脚本被执行。常用的编码方式包括转义字符和HTML实体编码。 3. CSP(内容安全策略):CSP是一种通过HTTP头来限制浏览器可以加载哪些资源的安全机制。开启CSP可以防止恶意脚本被加载到网页中。 4. HttpOnly Cookie:将Cookie设置为HttpOnly属性,可以防止浏览器通过JS脚本获取Cookie值。 5. 防止数据泄露:尽量减少敏感信息的传输,避免敏感信息泄露。 6. 使用框架和组件:使用已经经过安全测试和认证的框架和组件,可以减少XSS攻击的风险。 综合使用以上方法可以有效地预防XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值