XSS(跨站脚本攻击)漏洞解决方案

来源：互联网发布：c语言疯狂讲义 pdf 编辑：程序博客网时间：2024/05/16 14:38

昨天师傅通知我，上周提交的代码中发现了XSS漏洞，让我解决一下，作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案，最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下：
首先，简单介绍一下XSS定义：
一、 XSS介绍

XSS是跨站脚本攻击（Cross Site Scripting）的缩写。为了和层叠样式表CSS（Cascading Style Sheets)加以区分，因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码，当用户浏览该页面时，嵌入的Script代码将会被执行，从而达到恶意攻击用户的特殊目的。

二、XSS攻击目的及原理

由于对XSS攻击了解不是很深入，暂时罗列两条危害：
1）被恶意用户发现恶意提交表单。
2）其他用户看到这个包括恶意脚本的页面并执行，获取用户的cookie等敏感信息。

攻击原理图如下所示：
这里写图片描述

三、解决方案

1、简立HttpServletRequestWapper的包装类。
这个类的目的是对用户发送的请求进行包装，把request中包含XSS代码进行过滤

import java.util.Map;import javax.servlet.http.HttpServletRequest;  import javax.servlet.http.HttpServletRequestWrapper;  public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {      HttpServletRequest orgRequest = null;      public XssHttpServletRequestWrapper(HttpServletRequest request) {          super(request);    }      /**      * 覆盖getParameter方法，将参数名和参数值都做xss过滤。     * 如果需要获得原始的值，则通过super.getParameterValues(name)来获取     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖      */      @Override      public String getParameter(String name) {          String value = super.getParameter(xssEncode(name));          if (value != null) {              value = xssEncode(value);          }          return value;      }    @Override    public String[] getParameterValues(String name) {        String[] value = super.getParameterValues(name);        if(value != null){            for (int i = 0; i < value.length; i++) {                value[i] = xssEncode(value[i]);            }        }        return value;    }    @Override    public Map getParameterMap() {        // TODO Auto-generated method stub        return super.getParameterMap();    }    /**      * 覆盖getHeader方法，将参数名和参数值都做xss过滤。     * 如果需要获得原始的值，则通过super.getHeaders(name)来获取      * getHeaderNames 也可能需要覆盖     * 这一段代码在一开始没有注释掉导致出现406错误，原因是406错误是HTTP协议状态码的一种，     * 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。      *      @Override      public String getHeader(String name) {          String value = super.getHeader(xssEncode(name));          if (value != null) {              value = xssEncode(value);          }          return value;      }      **/    /**      * 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存     * @param s      * @return 过滤后的值     */      private static String xssEncode(String value) {           if (value == null || value.isEmpty()) {              return value;          }          value = value.replaceAll("eval\\((.*)\\)", "");        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");        return value;    }  }

2、Filter过滤器实现对Request的过滤

import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import com.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;public class XssFilter implements Filter {    public void destroy() {        // TODO Auto-generated method stub    }    /**     * 过滤器用来过滤的方法     */    public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {        //包装request        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);        chain.doFilter(xssRequest, response);    }    public void init(FilterConfig filterConfig) throws ServletException {        // TODO Auto-generated method stub    }}

3、在Web.xml中定义好Filter

<filter>        <filter-name>XssFilter</filter-name>        <filter-class>包名.XssFilter</filter-class>    </filter>    <filter-mapping>        <filter-name>XssFilter</filter-name>        <url-pattern>/*</url-pattern>    </filter-mapping>

4、由于Filter类需要引入javax.servlet.api的jar包，因此还得在pom.xml配置jar包

        <dependency>            <groupId>javax.servlet</groupId>            <artifactId>servlet-api</artifactId>            <version>${servlet.version}</version>            <scope>provided</scope>         </dependency>         <dependency>            <groupId>javax.servlet</groupId>            <artifactId>jsp-api</artifactId>            <version>2.0</version>            <scope>provided</scope>         </dependency>         <properties>           <servlet.version>3.0-alpha-1</servlet.version>         </properties>

OK，问题解决，希望这个东西也能对大家有所帮助。

阅读全文

0 0