XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

以下为Java web项目中的解决方案:

Filter代码:

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang.StringUtils;

import com.fengling.core.web.util.URLHelper;

public class XssFilter implements Filter {

    private String filterChar;

    private String replaceChar;

    private String splitChar;

    private String excludeUrls;

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterChar=filterConfig.getInitParameter("FilterChar");

        this.replaceChar=filterConfig.getInitParameter("ReplaceChar");

        this.splitChar=filterConfig.getInitParameter("SplitChar");

        this.excludeUrls=filterConfig.getInitParameter("excludeUrls");

        this.filterConfig = filterConfig;

    }

    public void destroy() {

        this.filterConfig = null;

    }

    public void doFilter(ServletRequest request, ServletResponse response,

    FilterChain chain) throws IOException, ServletException {

        if(isExcludeUrl(request)){

            chain.doFilter(request, response);

        }else{

            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);

        }

    }

    private boolean isExcludeUrl(ServletRequest request){

        boolean exclude=false;

        if(StringUtils.isNotBlank(excludeUrls)){

             String[]excludeUrl=excludeUrls.split(splitChar);

             if(excludeUrl!=null&&excludeUrl.length>0){

                 for(String url:excludeUrl){

                     if(URLHelper.getURI((HttpServletRequest)request).startsWith(url)){

                         exclude=true;

                     }

                 }

             }

        }

        return exclude;

    }

}

XssHttpServletRequestWrapper代码:

import java.io.UnsupportedEncodingException;

import java.net.URLDecoder;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String[]filterChars;

    private String[]replaceChars;

    public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {

        super(request);

        if(filterChar!=null&&filterChar.length()>0){

            filterChars=filterChar.split(splitChar);

        }

        if(replaceChar!=null&&replaceChar.length()>0){

            replaceChars=replaceChar.split(splitChar);

        }

    }

    public String getQueryString() {

        String value = super.getQueryString();

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

     */

    public String getParameter(String name) {

        String value = super.getParameter(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    public String[] getParameterValues(String name) {

        String[]parameters=super.getParameterValues(name);

        if (parameters==null||parameters.length == 0) {

            return null;

        }

        for (int i = 0; i < parameters.length; i++) {

            parameters[i] = xssEncode(parameters[i]);

        }

        return parameters;

    }

    /**

     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖

     */

    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 将容易引起xss漏洞的半角字符直接替换成全角字符

     *

     * @param s

     * @return

     */

    private  String xssEncode(String s) {

        if (s == null || s.equals("")) {

            return s;

        }

        try {

            s = URLDecoder.decode(s, "UTF8");

        } catch (UnsupportedEncodingException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        for (int i = 0; i < filterChars.length; i++) {

            if(s.contains(filterChars[i])){

                s=s.replace(filterChars[i], replaceChars[i]);

            }

        }

        return s;

    }

}

web.xml中配置:

<!--@分隔-->

    <filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>com.fengling.common.web.XssFilter</filter-class>

        <init-param>

            <param-name>excludeUrls</param-name>

            <param-value>/member/contribute@/admin/fengling@/flow_statistic</param-value>

        </init-param>

        <init-param>

            <param-name>SplitChar</param-name>

            <param-value>@</param-value>

        </init-param>

        <init-param>

            <param-name>FilterChar</param-name>

            <param-value>'@"@\@#@:@%@;@></param-value>

        </init-param>

        <init-param>

            <param-name>ReplaceChar</param-name>

            <param-value>‘@“@\@#@:@%@;@></param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

XSS跨站点脚本攻击的更多相关文章

  1. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  2. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  3. IBM Rational AppScan:跨站点脚本攻击深入解析

    IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以 ...

  4. CSRF跨站请求伪造与XSS跨域脚本攻击讨论

    今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享. CSRF(Cross-site request forgery):跨站请求伪造 ...

  5. HTTP攻击与防范-跨网站脚本攻击

    实验目的 1.了解XSS -跨网站脚本攻击带来的危险性. 2.掌握XSS -跨网站脚本攻击的原理与方法 3.掌握防范攻击的方法 实验原理 跨网站脚本攻击之所以会发生,是因为网站的Web应用程序对用户的 ...

  6. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  7. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  8. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  9. 网站跨站点脚本,Sql注入等攻击的处理

    从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...

随机推荐

  1. hadoop在网页客户端的maven配置

    hadoop网页客户端maven配置,只能在tomcat7上运行,tomcat6和tomcat8运行会出错,我用的是tomcat-7.0.67 完整的pom.xml内容为: <!-- 这个配置只 ...

  2. RabbitMQ Topic exchange

    Topic exchange topic与之前的每个类型都不同(ps:废话每个都是不同的).Topic解决了我们另一个需求.举个例子,有一个做资讯的公司,他们会收集各种科技公司的动态并且第一时间转发出 ...

  3. phpexcel导入数据提示失败

    phpexcel导入excel时明明只有几行数据,却提示506行失败,原来是excel中有506行"无效数据"(看起来是空的,但是和没有数据不一样).

  4. <<< php程序在运行后报“internal server error”错误

    上传的php程序在运行后报“internal server error”错误,检查以下两方面: 1.请您检查php程序的属性是否设置为755,如果php程序的属性不是755,那么运行的时候会报“int ...

  5. yuv420p转为emgucv的图像格式Emgu.CV.Image<Bgr, Byte>

    GCHandle handle = GCHandle.Alloc(yuvs, GCHandleType.Pinned); Emgu.CV.Image<Bgr, Byte> image = ...

  6. ES5语法

    ES5新语法主要是体现在Object和.Array操作,同时涉及到JSON. Function.Date 和 String类型上. 1.Object ES5最大的特点是对象扩展很多方法. 新建对象:c ...

  7. WordPress数据库优化技巧

    各位站长都知道wordpress用久了就会越来越慢.今天就给大家介绍如何给自己的wordpress提速,分两种方法:1.插件属性wordpress的都知道其插件是相当的多,只要你能想得到的基本都有,在 ...

  8. js 闭包 理解

    1.什么是闭包 定义:是指有权访问另一个函数作用域中的变量的函数 创建闭包:在一个函数内部创建另一个函数 基本特点 在返回的匿名函数中 可以调用外部函数的变量 如下例中所示 内部函数(匿名函数) 可以 ...

  9. Path Sum

    需如下树节点求和 5  /  \ 4     8  /     /  \ 11  13    4 / \     /  \  7    2      5   1 JavaScript实现 window ...

  10. [NHibernate]关联映射

    系列文章 [Nhibernate]体系结构 [NHibernate]ISessionFactory配置 [NHibernate]持久化类(Persistent Classes) [NHibernate ...