首先,简单介绍一下XSS定义: 
一 、 XSS介绍

XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。

二、XSS攻击目的及原理

由于对XSS攻击了解不是很深入,暂时罗列两条危害: 
1) 被恶意用户发现恶意提交表单。 
2) 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。

攻击原理图如下所示:

三、解决方案

1、简立HttpServletRequestWapper的包装类。 
这个类的目的是对用户发送的请求进行包装,把request中包含XSS代码进行过滤

import java.util.Map;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;  

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest = null;  

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。

     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取

     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

     */

    @Override

    public String getParameter(String name) {

        String value = super.getParameter(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    @Override

    public String[] getParameterValues(String name) {

        String[] value = super.getParameterValues(name);

        if(value != null){

            for (int i = 0; i < value.length; i++) {

                value[i] = xssEncode(value[i]);

            }

        }

        return value;

    }

    @Override

    public Map getParameterMap() {

        // TODO Auto-generated method stub

        return super.getParameterMap();

    }

    /**

     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。

     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取

     * getHeaderNames 也可能需要覆盖

     * 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,

     * 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。

     *

    @Override

    public String getHeader(String name) {  

        String value = super.getHeader(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    **/

    /**

     * 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存

     * @param s

     * @return 过滤后的值

     */

    private static String xssEncode(String value) {

         if (value == null || value.isEmpty()) {

            return value;

        }

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");

        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");

        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");

        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");

        return value;

    }

}

2、Filter过滤器实现对Request的过滤

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import com.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;

public class XssFilter implements Filter {

    public void destroy() {

        // TODO Auto-generated method stub

    }

    /**

     * 过滤器用来过滤的方法

     */

    public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {

        //包装request

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    public void init(FilterConfig filterConfig) throws ServletException {

        // TODO Auto-generated method stub

    }

}

3、在Web.xml中定义好Filter

<filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>包名.XssFilter</filter-class>

    </filter>

    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

4、由于Filter类需要引入javax.servlet.api的jar包,因此还得在pom.xml配置jar包

<dependency>

            <groupId>javax.servlet</groupId>

            <artifactId>servlet-api</artifactId>

            <version>${servlet.version}</version>

            <scope>provided</scope>

         </dependency>

         <dependency>

            <groupId>javax.servlet</groupId>

            <artifactId>jsp-api</artifactId>

            <version>2.0</version>

            <scope>provided</scope>

         </dependency>

         <properties>

           <servlet.version>3.0-alpha-1</servlet.version>

         </properties>

XSS(跨站脚本攻击)漏洞解决方案的更多相关文章

  1. 【安全测试】Web应用安全之XSS跨站脚本攻击漏洞

    前言 以前都只是在各类文档中见到过XSS,也进行过相关的学习,但是都是一知半解,过了一段时间就忘了. 前几天我们收到了了一份标题为<XX账号昵称参数中存在存储XSS漏洞>的报告文档,来源是 ...

  2. Fortify漏洞之Cross-Site Scripting(XSS 跨站脚本攻击)

    书接上文,继续对Fortify漏洞进行总结,本篇主要针对XSS跨站脚步攻击漏洞进行总结,如下: 1.Cross-Site Scripting(XSS 跨站脚本攻击) 1.1.产生原因: 1. 数据通过 ...

  3. XSS跨站脚本攻击实例讲解,新浪微博XSS漏洞过程分析

    2011年6月28日晚,新浪微博遭遇到XSS蠕虫攻击侵袭,在不到一个小时的时间,超过3万微博用户受到该XSS蠕虫的攻击.此事件给严重依赖社交网络的网友们敲响了警钟.在此之前,国内多家著名的SNS网站和 ...

  4. PHP漏洞全解(四)-xss跨站脚本攻击

    本文主要介绍针对PHP网站的xss跨站脚本攻击.跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息 的方式诱使管理员浏览,从而获得管理员权限,控制整个网站 ...

  5. xss跨站脚本攻击及xss漏洞防范

    xss跨站脚本攻击(Cross Site Scripting,因与css样式表相似故缩写为XSS).恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Scrip ...

  6. xss(跨站脚本攻击),crsf(跨站请求伪造),xssf

    我们常说的网络安全其实应该包括以下三方面的安全: 1.机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马. 2.完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子 ...

  7. JAVA覆写Request过滤XSS跨站脚本攻击

    注:本文非本人原著. demo的地址:链接:http://pan.baidu.com/s/1miEmHMo 密码:k5ca 如何过滤Xss跨站脚本攻击,我想,Xss跨站脚本攻击令人为之头疼.为什么呢. ...

  8. 初窥XSS跨站脚本攻击

    XSS跨站脚本攻击的分类 一. 反射型XSS跨站脚本攻击 二. 存储型XSS跨站脚本攻击 三. 基于DOM的XSS跨站脚本攻击 1.反射性XSS 经过后端,不经过数据库 2.储存型XSS 经过后端,经 ...

  9. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

随机推荐

  1. Windows Azure开发之Linux虚拟机

     Windows Azure是微软的云服务集合,用来提供云在线服务所需要的操作系统与基础存储与管理的平台,是微软的云计算的核心组成组件之一.其中windows azure提供的最重要的一项服务就是 ...

  2. H5拖动火狐自动打开新标签

    写在前面的话:<H5拖动火狐自动打开新标签>原因是为什么百度很多了我就不细说,本文章只说我自己的解决方法... 自定义数据里写个链接,如果火狐自动打开就跳到这个链接 这个页面就写一句话:关 ...

  3. Docker部署Vue 工程包

    docker部署 Vue 工程包 目录结构 [root@host ~]# tree front/ front/ ├── dist.conf ├── dist.zip ├── Dockerfile └─ ...

  4. Http请求-get和post的区别

    GET和POST是HTTP请求的两种基本方法. 最直观的区别就是GET把参数包含在URL中,以?的方式来进行拼接,POST通过request body传递参数.并且GET请求在URL中传送的参数是有长 ...

  5. 使用pyenv来管理python版本

    使用pyenv可以很方便的切换python版本,而不会影响系统的python版本,对需要使用supervisor(仅支持python2)托管程序,项目使用python3开发的情况十分有用 pyenv的 ...

  6. 【xsy1596】旅行 期望+状压DP

    题目大意:有$m$个人要从城市$1$开始,依次游览城市$1$到$n$. 每一天,每一个游客有$p_i$的概率去下一个城市,和$1-p_i$的概率结束游览. 当游客到达城市$j$,他会得到$(1+\fr ...

  7. 安装apache 后,找不到服务,解决办法

    在命令行进入安装apache的bin目录下,在输入命令:httpd.exe -k install -n Apache版本号 回车即可注意:要在管理员的身份下进入cmd (C:\Windows\SysW ...

  8. CSS 将一个页面平均分成四个部分(div)

    在项目中遇到需求,数据监控页面需要同时显示4个板块内容,如下图: CSS 如何将一个页面平均分成四个部分(div)呢? <!DOCTYPE html> <html lang=&quo ...

  9. Python:SQLMap源码精读—start函数

    源代码 def start(): """ This function calls a function that performs checks on both URL ...

  10. Python获取网页指定内容(BeautifulSoup工具的使用方法)

    Python用做数据处理还是相当不错的,如果你想要做爬虫,Python是很好的选择,它有很多已经写好的类包,只要调用,即可完成很多复杂的功能,此文中所有的功能都是基于BeautifulSoup这个包. ...