XSS(跨站脚本攻击)漏洞解决方案
来源:互联网 发布:c语言疯狂讲义 pdf 编辑:程序博客网 时间:2024/05/16 14:38
昨天师傅通知我,上周提交的代码中发现了XSS漏洞,让我解决一下,作为小白鼠的我还是硬着头皮寻东问西的找人找解决方案,最终在公司两位前辈的指导下重写了代码解决了这个漏洞。现汇总如下:
首先,简单介绍一下XSS定义:
一 、 XSS介绍
XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。
二、XSS攻击目的及原理
由于对XSS攻击了解不是很深入,暂时罗列两条危害:
1) 被恶意用户发现恶意提交表单。
2) 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。
攻击原理图如下所示:
三、解决方案
1、简立HttpServletRequestWapper的包装类。
这个类的目的是对用户发送的请求进行包装,把request中包含XSS代码进行过滤
import java.util.Map;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 覆盖getParameter方法,将参数名和参数值都做xss过滤。 * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 */ @Override public String getParameter(String name) { String value = super.getParameter(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } @Override public String[] getParameterValues(String name) { String[] value = super.getParameterValues(name); if(value != null){ for (int i = 0; i < value.length; i++) { value[i] = xssEncode(value[i]); } } return value; } @Override public Map getParameterMap() { // TODO Auto-generated method stub return super.getParameterMap(); } /** * 覆盖getHeader方法,将参数名和参数值都做xss过滤。 * 如果需要获得原始的值,则通过super.getHeaders(name)来获取 * getHeaderNames 也可能需要覆盖 * 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种, * 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。 * @Override public String getHeader(String name) { String value = super.getHeader(xssEncode(name)); if (value != null) { value = xssEncode(value); } return value; } **/ /** * 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存 * @param s * @return 过滤后的值 */ private static String xssEncode(String value) { if (value == null || value.isEmpty()) { return value; } value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", ""); value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", ""); value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", ""); value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", ""); return value; } }
2、Filter过滤器实现对Request的过滤
import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.http.HttpServletRequest;import com.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;public class XssFilter implements Filter { public void destroy() { // TODO Auto-generated method stub } /** * 过滤器用来过滤的方法 */ public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException { //包装request XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request); chain.doFilter(xssRequest, response); } public void init(FilterConfig filterConfig) throws ServletException { // TODO Auto-generated method stub }}
3、在Web.xml中定义好Filter
<filter> <filter-name>XssFilter</filter-name> <filter-class>包名.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
4、由于Filter类需要引入javax.servlet.api的jar包,因此还得在pom.xml配置jar包
<dependency> <groupId>javax.servlet</groupId> <artifactId>servlet-api</artifactId> <version>${servlet.version}</version> <scope>provided</scope> </dependency> <dependency> <groupId>javax.servlet</groupId> <artifactId>jsp-api</artifactId> <version>2.0</version> <scope>provided</scope> </dependency> <properties> <servlet.version>3.0-alpha-1</servlet.version> </properties>
OK,问题解决,希望这个东西也能对大家有所帮助。
阅读全文
0 0
- XSS(跨站脚本攻击)漏洞解决方案
- 跨站脚本攻击漏洞(XSS)
- PHP漏洞全解(四)-xss跨站脚本攻击
- PHP漏洞全解(四)-xss跨站脚本攻击
- PHP漏洞全解(四)-xss跨站脚本攻击
- PHP漏洞全解(三)-xss跨站脚本攻击
- PHP漏洞全解(四)-xss跨站脚本攻击
- 跨站脚本攻击(XSS)几种解决方案浅析
- xss (跨站脚本攻击) 解决方案之 antisamy
- XSS跨站点脚本攻击解决方案
- XSS 跨域脚本攻击解决方案
- 跨站脚本攻击(XSS)
- XSS 跨站脚本攻击
- 跨站脚本攻击(XSS)
- xss 跨站脚本攻击
- 跨站脚本攻击XSS
- 跨站脚本攻击XSS
- XSS跨站脚本攻击
- 将一个数转换成小于它的任意进制(java版)
- C++中int,string等常见类型的转换
- nodejs入门(04)-事件循环
- 对Android 系统的理解
- 我在项目实施中常用到的命令
- XSS(跨站脚本攻击)漏洞解决方案
- Android轮播banner的使用
- JSONP跨域请求AJAX
- Atcoder Grand Contest 012 B
- NKOJ 3709 走丢的奶牛
- Linux学习笔记(1)
- elasticsearch学习与使用
- 安装好Android Studio后打开新建项目时,一直在Building Gradle project info解决方法。
- Python学习笔记(26)-读取excel表格信息