XSS概述

跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

Servlet的方式

1、继承HttpServletRequestWrapper,实现对请求参数的过滤

/**

 * xss请求适配器

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 对数组参数进行特殊字符过滤

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values = super.getParameterValues(name);

        if (values == null) {

            return null;

        }

        int count = values.length;

        String[] encodedValues = new String[count];

        for (int i = 0; i < count; i++) {

            encodedValues[i] = cleanXSS(values[i]);

        }

        return encodedValues;

    }

    /**

     * 对参数中特殊字符进行过滤

     */

    @Override

    public String getParameter(String name) {

        String value = super.getParameter(name);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    /**

     * 获取attribute,特殊字符过滤

     */

    @Override

    public Object getAttribute(String name) {

        Object value = super.getAttribute(name);

        if (value != null && value instanceof String) {

            cleanXSS((String) value);

        }

        return value;

    }

    /**

     * 对请求头部进行特殊字符过滤

     */

    @Override

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null) {

            return null;

        }

        return cleanXSS(value);

    }

    /**

     * 转义字符,使用该方法存在一定的弊端

     *

     * @param value

     * @return

     */

    private String cleanXSS2(String value) {

        // 移除特殊标签

        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");

        value = value.replaceAll("\\(", "(").replaceAll("\\)", ")");

        value = value.replaceAll("'", "'");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        return value;

    }

    private String cleanXSS(String value) {

        if (value != null) {

            //推荐使用ESAPI库来避免脚本攻击,value = ESAPI.encoder().canonicalize(value);

            // 避免空字符串

            value = value.replaceAll(" ", "");

            // 避免script 标签

            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免src形式的表达式

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

            // 删除单个的 </script> 标签

            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);

            value = scriptPattern.matcher(value).replaceAll("");

            // 删除单个的<script ...> 标签

            scriptPattern = Pattern.compile("<script(.*?)>",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 eval(...) 形式表达式

            scriptPattern = Pattern.compile("eval\\((.*?)\\)",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 e­xpression(...) 表达式

            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 javascript: 表达式

            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 vbscript:表达式

            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

            value = scriptPattern.matcher(value).replaceAll("");

            // 避免 onload= 表达式

            scriptPattern = Pattern.compile("onload(.*?)=",

                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

            value = scriptPattern.matcher(value).replaceAll("");

        }

        return value;

    }

}

2、实现Filter,实现XSS过滤器

/**

 * xss过滤器

 */

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        //对请求进行拦截,防xss处理

        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);

    }

    @Override

    public void destroy() {

        this.filterConfig = null;

    }

}

3、注入XSS过滤器,两种方式 
第一种方式:配置web.xml

<!-- xss过滤器 -->

<filter>

    <filter-name>XssSqlFilter</filter-name>

    <filter-class>cn.aric.xss.XssFilter</filter-class>

</filter>

<filter-mapping>

    <filter-name>XssSqlFilter</filter-name>

    <url-pattern>/*</url-pattern>

    <dispatcher>REQUEST</dispatcher>

    <dispatcher>FORWARD</dispatcher>

</filter-mapping>

第二种方式:注解

/**

 * 注入Xss过滤器(注解方式)

 */

public class WebInitializer implements WebApplicationInitializer{

    @Override

    public void onStartup(ServletContext servletContext) throws ServletException {

        //添加监听器

        servletContext.addListener(RequestContextListener.class);

        //添加过滤器

        Dynamic xssFilterRegistration = servletContext.addFilter("XssFilter", XssFilter.class);

        //添加映射规则

        xssFilterRegistration.addMappingForUrlPatterns(

                EnumSet.of(DispatcherType.REQUEST,DispatcherType.FORWARD,DispatcherType.INCLUDE),

                false,

                "/*");

    }

}

Spring整合的方式

1、使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法

/**

 * 解决XSS跨站脚本攻击和sql注入攻击,使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法

 */

public class XssSpringHttpServletRequestWrapper extends HttpServletRequestWrapper{

    public XssSpringHttpServletRequestWrapper(HttpServletRequest request) {

        super(request);

    }

    /**

     * 对数组参数进行特殊字符过滤

     */

    @Override

    public String[] getParameterValues(String name) {

        String[] values = super.getParameterValues(name);

        String[] newValues = new String[values.length];

        for (int i = 0; i < values.length; i++) {

            //spring的HtmlUtils进行转义

            newValues[i] = HtmlUtils.htmlEscape(values[i]);

        }

        return newValues;

    }

    /**

     * 拦截参数,并对其进行字符转义

     */

    @Override

    public String getParameter(String name) {

        return HtmlUtils.htmlEscape(name);

    }

    /**

     * 拦截参数,并对其进行字符转义

     */

    @Override

    public Object getAttribute(String name) {

        return HtmlUtils.htmlEscape(name);

    }

}

2、实现XSS过滤器

/**

 * spring方式xss过滤器

 */

public class XssSpringFilter implements Filter{

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        chain.doFilter(new XssSpringHttpServletRequestWrapper(req), response);

    }

    @Override

    public void destroy() {

    }

}

3、配置XSS过滤器

<!-- spring方式的xss过滤器 -->

<filter>

    <filter-name>xssSpringFilter</filter-name>

    <filter-class>cn.aric.xss.XssSpringHttpServletRequestWrapper</filter-class>

</filter>

<filter-mapping>

    <filter-name>xssSpringFilter</filter-name>

    <url-pattern>/*</url-pattern>

</filter-mapping>

Java实现XSS防御的更多相关文章

  1. XSS 防御方法总结

    1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩 ...

  2. 探索ASP.NET MVC5系列之~~~2.视图篇(上)---包含XSS防御和异步分部视图的处理

    其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/dunitian/p/4822808.ht ...

  3. XSS防御篇

    上周要求写自己用任何语言写一个留言版,存到数据库中,用自己的办法来解决XSS 我用了JSP+MYSQL,自己写了一个过滤器来防御WEB XSS漏洞 package com.mess.filter; p ...

  4. XSS学习笔记(五)-XSS防御

    如果只生产XSS的地方都与输入或输出相关联的.所以错过了主要矛盾.而且,我们将有一个解决问题的办法:您可以输入端砚格过滤,是可能的过滤输出时间,输出到用户的GET或POST中是否有敏感字符: 输入过滤 ...

  5. Java防止XSS攻击

    方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFi ...

  6. XSS防御和绕过2

    上一篇已经总结过,这里转载一篇,备忘 0x01 常规插入及其绕过 转自https://blog.csdn.net/qq_29277155/article/details/51320064 1 Scri ...

  7. XSS防御和绕过1

    原理:对用户输入没做过滤和处理,是用户可以输入一些东西(例如js),控制输出达到一些攻击目的 1.DOM型 基于DOM的XSS有时也称为type0XSS.当用户能够通过交互修改浏览器页面中的DOM(D ...

  8. [XSS防御]HttpOnly之四两拨千斤

    今天看了<白帽子讲web安全>一书,顺便记录一下,HttpOnly的设置 httponly的设置值为 TRUE 时,使得Javascript无法获取到该值,有效地防御了XSS打管理员的 c ...

  9. 详谈XSS防御方法

      1.HttpOnly 严格的说,httponly并非为了对抗XSS,它解决的是XSS后的Cookie劫持攻击.Cookie设置了httponly之后,JavaScript读不到该cookie的值. ...

随机推荐

  1. 51nod 最长公共子序列问题(动态规划)(LCS)(递归)

    最长公共子序列问题 输入 第1行:字符串A 第2行:字符串B (A,B的长度 <= 1000) 输出 输出最长的子序列,如果有多个,随意输出1个. 输入示例 abcicba abdkscab 输 ...

  2. RabbitMQ生产部署指南

    像RabbitMQ这样的数据服务通常有许多可调参数.一些配置对开发有很大的意义,但并不适合生产,本指南旨在为此提供帮助 虚拟主机 例如,在单租户环境中,当您的RabbitMQ集群专门为生产中的单个系统 ...

  3. C++—揭秘大牛博客一些不同凡人的写法

    天下之大,无奇不有,C++也是这样,今天小编来盘点几个有意思的代码,看看你认识几个?以后见到之后千万别装不认识. 一.基础篇——不一样的输出 1.cerr 输出 cout和cerr究竟有什么不同?这也 ...

  4. ubuntu 下终端关于调试C++的命令

    先确定安装了vim 和gcc (c语言)或者g++(c++) 如果没有安装可以在终端输入以下命令: sudo apt-get install build-essential sudo apt-get ...

  5. JMeter之分布式部署

    转自:http://www.cnblogs.com/yangxia-test/p/4016277.html Jmeter 是Java 应用,对于CPU和内存的消耗比较大,因此,当需要模拟数以千计的并发 ...

  6. Hibernate所有缓存机制详解

    hibernate提供的一级缓存 hibernate是一个线程对应一个session,一个线程可以看成一个用户.也就是说session级缓存(一级缓存)只能给一个线程用,别的线程用不了,一级缓存就是和 ...

  7. [xsy2978]Product of Roots

    $\newcommand{align}[1]{\begin{align*}#1\end{align*}}$题意:给出$f(x)=\prod\limits_{i=1}^n(a_ix+1)$和$g(x)= ...

  8. a + b ——C语言初学者百题大战之四

    #include <stdio.h> int main() { int a,b; scanf("%d %d",&a,&b); printf(" ...

  9. Spark1.4远程调试

    1)首先,我们是在使用spark-submit提交作业时,使用 --driver-java-options ”-Xdebug -Xrunjdwp:transport=dt_socket,server= ...

  10. Java高级架构师(一)第24节:加入ehcache,把工程加入到Git

    ehcache的maven配置: <!-- ehcache的jar --> <dependency> <groupId>net.sf.ehcache</gro ...