SpringMvc如何进行XSS攻击过滤

最新推荐文章于 2024-08-18 19:04:11 发布
最新推荐文章于 2024-08-18 19:04:11 发布
阅读量1.5w 收藏 14
点赞数 4
分类专栏: 安全 文章标签: 过滤器 filter xss攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzgd_666/article/details/80423364
版权

随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。
比如我在表单文本框中,输入

 <script>alert(233)</script>

那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗.
很多网站为了避免XSS的攻击,对用户的输入都采取了过滤,最常见的就是对<>转换成<以及>,经过转换以后<>虽然可在正确显示在页面上,但是已经不能构成代码语句了

前不久我写了一个JFinal的XSS,这个是在JBoot上面用到的

JFinal如何进行XSS攻击

现在又用到SpringMvc, 自然又得重新写一份SpringMvc的过滤方法

主要思路

  1. 建一个过滤器,过滤来自页面的请求
  2. 在过滤器中,将原本的request替换成我们自己包装好的request
  3. 我们写一个request的装饰类,里面重写获取参数的方法,对参数进行转义和替换

具体代码

1. 过滤器
package com.zgd.admin.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.web.filter.OncePerRequestFilter;


/**
 * 处理xss攻击的过滤器
 * @author Admin
 * 2018年5月23日16:12:26
 */
public class RequestFilter extends OncePerRequestFilter {


	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
			throws ServletException, IOException {
		// 将request通过自定义的装饰类进行装饰
		XssRequestWrapper xssRequest = new XssRequestWrapper((HttpServletRequest) request);		
		filterChain.doFilter(xssRequest, response);
	}
	
}
2. reqeust包装类,重写getParameter()等方法,这里面对参数的转义和替换,根据实际需求更改

这里其实可以推荐一些html标签处理的框架

public static void main(String[] args) {
    
    String clean = Jsoup.clean("<a href='www.baidu.com>百度</a><script>alert(2333)</script><font color='red'>红色的</font>哈哈哈", Safelist.basic());
    System.out.println("clean = " + clean); //<a rel="nofollow">红色的哈哈哈</a>
    
    String relaxed = Jsoup.clean("<a href='www.baidu.com>百度</a><script>alert(2333)</script><font color='red'>红色的</font>哈哈哈", Safelist.relaxed());
    System.out.println("relaxed = " + relaxed); //<a>红色的哈哈哈</a>
    
    String simpleText = Jsoup.clean("<a href='www.baidu.com>百度</a><script>alert(2333)</script><font color='red'>红色的</font>哈哈哈", Safelist.simpleText());
    System.out.println("simpleText = " + simpleText); //红色的哈哈哈
  }
  • 正则匹配
package com.zgd.api.gateway.handler;

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.logging.Logger;
import java.util.regex.Pattern;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssRequestWrapper extends HttpServletRequestWrapper {

	private HttpServletRequest request;
	
	public XssRequestWrapper(HttpServletRequest request) {
		super(request);
		this.request = request;
	}
	
	/**
     * 重写getParameter方法
     */
	@Override
	public String getParameter(String name) {
		String value = super.getParameter(name);
        if (value == null) {
        	return null;
        }
        value = format(value);
        return value;
	}
	
	/**
     * 重写getParameterMap
     */
	@Override
	@SuppressWarnings("unchecked")
	public Map<String, String[]> getParameterMap() {
		HashMap<String, String[]> paramMap = (HashMap<String, String[]>) super.getParameterMap();
        paramMap = (HashMap<String, String[]>) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
            String [] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = format(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
	}
	
	
	/**
     * 重写getParameterValues
     */
	@Override
	public String[] getParameterValues(String name) {
		 String[] values = super.getParameterValues(name);  
		 int count = values.length;  
	        String[] encodedValues = new String[count];  
	        for (int i = 0; i < count; i++) {  
	            encodedValues[i] = format(values[i]);  
	        }  
        return encodedValues;  
	}
	
	/**
     * 重写getHeader
     */
	@Override
	public String getHeader(String name) {
		// TODO Auto-generated method stub
		return format(super.getHeader(name));
	}
	

	public String filter(String message) {
        if (message == null)
            return (null);
        message = format(message);
        return message;
    }
	
	
	 /**
     *  @desc 统一处理特殊字符的方法,替换掉sql和js的特殊字符
     *  @param name 要替换的字符
     */
    private String format(String name) {
    	return xssEncode(name);
    }
    
    /** 
     * 将容易引起xss & sql漏洞的半角字符直接替换成全角字符 
     *  
     * @param s 
     * @return 
     */  
    private static String xssEncode(String s) {  
        if (s == null || s.isEmpty()) {  
            return s;  
        }else{  
            s = stripXSSAndSql(s);  
        }  
        StringBuilder sb = new StringBuilder(s.length() + 16);  
        for (int i = 0; i < s.length(); i++) {  
            char c = s.charAt(i);  
            switch (c) {  
            case '>':  
                sb.append(">");// 转义大于号  
                break;  
            case '<':  
                sb.append("<");// 转义小于号  
                break;  
//            case '\'':  
//                sb.append("'");// 转义单引号  
//                break;  
//            case '\"':  
//                sb.append(""");// 转义双引号  
//                break;  
//            case '&':  
//                sb.append("&");// 转义&  
//                break;  
//            case '#':  
//                sb.append("#");// 转义#  
//                break;  
            default:  
                sb.append(c);  
                break;  
            }  
        }  
        return sb.toString();  
    }  
    
    
    
    /** 
     *  
     * 防止xss跨脚本攻击(替换,根据实际情况调整) 
     */  
    public static String stripXSSAndSql(String value) {  
        if (value != null) {  
            // NOTE: It's highly recommended to use the ESAPI library and  
            // uncomment the following line to  
            // avoid encoded attacks.  
//             value = ESAPI.encoder().canonicalize(value);  
            // Avoid null characters  
/**         value = value.replaceAll("", "");***/  
            // Avoid anything between script tags  
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression  
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Remove any lonesome </script> tag  
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Remove any lonesome <script ...> tag  
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid eval(...) expressions  
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid e-xpression(...) expressions  
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid javascript:... expressions  
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid vbscript:... expressions  
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);  
            value = scriptPattern.matcher(value).replaceAll("");  
            // Avoid οnlοad= expressions  
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
            value = scriptPattern.matcher(value).replaceAll("");  
        }  
        return value;  
    }  
	

}
3. 在web.xml中把自己写的过滤器,放在合适的地方,可以考虑放在编码过滤器后面
<!-- xss注入过滤器 -->
	<filter>
		<filter-name>xssRequestFilter</filter-name>
		<filter-class>com.zgd.admin.common.filter.RequestFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>xssRequestFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
4. 接下来就可以启动项目看看效果了

我们输入

<script>alert(2333)</script><font color='red'>红色的</font>哈哈哈

结果
这里写图片描述

zzzgd816
关注
专栏目录
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 980
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
spring mvc xss filter
涛哥盛世
07-09 5520
spring mvc xss filter        XSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。           一般现
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
spring mvc xss html,spring mvc 过滤跨站(XSS)的一个方法
weixin_42283048的博客
07-01 530
spring mvc 过滤跨站的一个方法XSS 是我们在工作中经常遇到的东西。让每个开发者都注意到这块的东西很不容易。很多开发者都不知道 什么是 XSS;对于这块的防护。我们一般都是用一个全局过滤器来处理 request 信息,挨个遍历替换处理危险内容。然后再保存到数据库。这样的实现网上有很多例子。下面我这针对spring mvc 过滤xss分享的一个小方法。。方法出处 stackoverflow...
XSS-过滤特殊符号的正则绕过
ningwangh的博客
08-18 1204
所以将alert转化成30进制。
springMVC利用过滤器防止xss攻击
zxq520131422222的博客
01-22 4189
转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型
java xssfilter_在SpringMVC中使用过滤器Filter过滤容易引发XSS的危险字符
weixin_39932330的博客
02-16 431
一 简介如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS***(跨站脚本***),比如说这样:form表单中有这么一个字段:然后潜在***者在该字段上填入以下内容:alert('XSS')紧接着服务端忽略了“一切来至其他系统的数据都存在安全隐患”的原则,并没有对来至用户的数据进行过滤,导致了直接在前台页面中进行展示。很显然直接弹窗了:当...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
spingMVC xss攻击过滤
浅灰色、邂逅的博客
06-04 376
1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter</filter-name> <filter-class>com.xbz.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</fil
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 1984
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name参数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
springMVC通过Filter实现防止xss注入
江南@风少的博客
03-24 1790
springMVC通过Filter实现防止xss注入
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3228
1.在输出时过虑文本(JSON) JSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加入一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
XSS攻击的简单过滤和绕过
caoxinjian423的博客
09-02 3368
一、常见的XSS攻击脚本 弹窗警告 <script>alert('XSS')</script> <script>alert(document.cookie)</script> 页面嵌套 <iframe> src=http://www.baidu.comwidth=10 height=10 border=10 </iframe> 重定向 <script>window.location="http://www.b.
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springmvc ajaxSubmit xss攻击 怎么处理帮我写处理方法
最新发布
09-10
2. 使用Spring提供的过滤器:例如Spring Security或OWASP Java Encoder,这些过滤器可以提供针对XSS攻击的防护。 3. 手动对输入进行验证和转义:对于不使用注解或转换器的场景,可以在Controller层或Service层手动...
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 727
过滤器和拦截器
网站安全 Spring MVC防御CSRF、XSS和SQL注入攻击
maikelsong的专栏
08-14 450
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9138
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
xss攻击防御springMVC表单提交数据过滤/转义
老三的博客
04-24 3844
Markdown及扩展 背景1:spring中的filter拦截request中请求入参,但对于post提交的表单无效 背景2:测试工具firefox的hackbar,postData:idNum=idNum=14043’%3bconfirm(1)%2f%2f846&amp;seNo=&amp;clientName= 代码块 前端代码: &lt;form action="...
springmvc中中文过滤器
05-12
SpringMVC中添加中文过滤器可以通过配置web.xml文件来实现。 首先,在web.xml文件中添加filterfilter-mapping配置: ```xml <filter> <filter-name>encodingFilter</filter-name> <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class> <init-param> <param-name>encoding</param-name> <param-value>UTF-8</param-value> </init-param> <init-param> <param-name>forceEncoding</param-name> <param-value>true</param-value> </init-param> </filter> <filter-mapping> <filter-name>encodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 然后,在SpringMVC的配置文件中添加如下配置: ```xml <mvc:annotation-driven> <mvc:message-converters register-defaults="true"> <bean class="org.springframework.http.converter.StringHttpMessageConverter"> <constructor-arg value="UTF-8"/> <property name="supportedMediaTypes"> <list> <value>text/plain;charset=UTF-8</value> <value>text/html;charset=UTF-8</value> </list> </property> </bean> </mvc:message-converters> </mvc:annotation-driven> ``` 这样就可以在SpringMVC中实现中文过滤器
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值