XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

以下为Java web项目中的解决方案:

Filter代码:

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang.StringUtils;

import com.fengling.core.web.util.URLHelper;

public class XssFilter implements Filter {

    private String filterChar;

    private String replaceChar;

    private String splitChar;

    private String excludeUrls;

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterChar=filterConfig.getInitParameter("FilterChar");

        this.replaceChar=filterConfig.getInitParameter("ReplaceChar");

        this.splitChar=filterConfig.getInitParameter("SplitChar");

        this.excludeUrls=filterConfig.getInitParameter("excludeUrls");

        this.filterConfig = filterConfig;

    }

    public void destroy() {

        this.filterConfig = null;

    }

    public void doFilter(ServletRequest request, ServletResponse response,

    FilterChain chain) throws IOException, ServletException {

        if(isExcludeUrl(request)){

            chain.doFilter(request, response);

        }else{

            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);

        }

    }

    private boolean isExcludeUrl(ServletRequest request){

        boolean exclude=false;

        if(StringUtils.isNotBlank(excludeUrls)){

             String[]excludeUrl=excludeUrls.split(splitChar);

             if(excludeUrl!=null&&excludeUrl.length>0){

                 for(String url:excludeUrl){

                     if(URLHelper.getURI((HttpServletRequest)request).startsWith(url)){

                         exclude=true;

                     }

                 }

             }

        }

        return exclude;

    }

}

XssHttpServletRequestWrapper代码:

import java.io.UnsupportedEncodingException;

import java.net.URLDecoder;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String[]filterChars;

    private String[]replaceChars;

    public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {

        super(request);

        if(filterChar!=null&&filterChar.length()>0){

            filterChars=filterChar.split(splitChar);

        }

        if(replaceChar!=null&&replaceChar.length()>0){

            replaceChars=replaceChar.split(splitChar);

        }

    }

    public String getQueryString() {

        String value = super.getQueryString();

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

     */

    public String getParameter(String name) {

        String value = super.getParameter(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    public String[] getParameterValues(String name) {

        String[]parameters=super.getParameterValues(name);

        if (parameters==null||parameters.length == 0) {

            return null;

        }

        for (int i = 0; i < parameters.length; i++) {

            parameters[i] = xssEncode(parameters[i]);

        }

        return parameters;

    }

    /**

     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖

     */

    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 将容易引起xss漏洞的半角字符直接替换成全角字符

     *

     * @param s

     * @return

     */

    private  String xssEncode(String s) {

        if (s == null || s.equals("")) {

            return s;

        }

        try {

            s = URLDecoder.decode(s, "UTF8");

        } catch (UnsupportedEncodingException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        for (int i = 0; i < filterChars.length; i++) {

            if(s.contains(filterChars[i])){

                s=s.replace(filterChars[i], replaceChars[i]);

            }

        }

        return s;

    }

}

web.xml中配置:

<!--@分隔-->

    <filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>com.fengling.common.web.XssFilter</filter-class>

        <init-param>

            <param-name>excludeUrls</param-name>

            <param-value>/member/contribute@/admin/fengling@/flow_statistic</param-value>

        </init-param>

        <init-param>

            <param-name>SplitChar</param-name>

            <param-value>@</param-value>

        </init-param>

        <init-param>

            <param-name>FilterChar</param-name>

            <param-value>'@"@\@#@:@%@;@></param-value>

        </init-param>

        <init-param>

            <param-name>ReplaceChar</param-name>

            <param-value>‘@“@\@#@:@%@;@></param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

XSS跨站点脚本攻击的更多相关文章

  1. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  2. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  3. IBM Rational AppScan:跨站点脚本攻击深入解析

    IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以 ...

  4. CSRF跨站请求伪造与XSS跨域脚本攻击讨论

    今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享. CSRF(Cross-site request forgery):跨站请求伪造 ...

  5. HTTP攻击与防范-跨网站脚本攻击

    实验目的 1.了解XSS -跨网站脚本攻击带来的危险性. 2.掌握XSS -跨网站脚本攻击的原理与方法 3.掌握防范攻击的方法 实验原理 跨网站脚本攻击之所以会发生,是因为网站的Web应用程序对用户的 ...

  6. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  7. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  8. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  9. 网站跨站点脚本,Sql注入等攻击的处理

    从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...

随机推荐

  1. 在渲染前获取 View 的宽高

    在渲染前获取 View 的宽高 这是一个比较有意义的问题,或者说有难度的问题,问题的背景为:有时候我们需要在view渲染前去获取其宽高,典型的情形是,我们想在onCreate.onStart.onRe ...

  2. 黄聪:phpexcel中文教程-设置表格字体颜色背景样式、数据格式、对齐方式、添加图片、批注、文字块、合并拆分单元格、单元格密码保护

    首先到phpexcel官网上下载最新的phpexcel类,下周解压缩一个classes文件夹,里面包含了PHPExcel.php和PHPExcel的文件夹,这个类文件和文件夹是我们需要的,把class ...

  3. iOS 图片大小压缩 图片尺寸处理

    图片的压缩其实是俩概念,1.是 “压” 文件体积变小,但是像素数不变,长宽尺寸不变,那么质量可能下降,2.是 “缩” 文件的尺寸变小,也就是像素数减少.长宽尺寸变小,文件体积同样会减小. 这个 UII ...

  4. 创建文本注记TextElement

    1.创建一个字体 /// <summary> /// 字体设置 /// </summary> /// <param name="size">Th ...

  5. Mac OSX定位命令路径的方法

    可以使用which命令来定位一个命令. http://www.cyberciti.biz/faq/how-do-i-find-the-path-to-a-command-file/

  6. DirectX SDK

    http://blog.csdn.net/c4501srsy/article/details/17403927 http://blog.csdn.net/yy649487394/article/det ...

  7. C和指针 第九章 字符串 字符 字节

    C语言中没有字符串类型,字符串是以NUL结尾的字符数组组成的. 高级字符串查找: //计算字符串起始部分,有多少字符是在group中 size_t strspn(char const * str, c ...

  8. C和指针 第六章 指针6.2 6.3字符串中查找的两个版本

    int find_char(char **strings, char ch) { char *string; while ((string = *strings++) != NULL) { while ...

  9. C++,当类名和对象名称相同时会发生什么?

    今天突发奇想,如果类名和由这个类声明的对象标识符相同时会发生什么,然后就测试了一下.如下: #include <iostream> using namespace std; class a ...

  10. jdbctemplate中的批量更新使用,BigDecimal与造型的联系和区别

    //jdbctemplate批量新增的使用MENU_ID_LIST是前端页面传递到后端控制层,再由控制层传到实现层的List //JdbcTemplate是spring jdbctemplate通过注 ...