如何杜绝跨站脚本
• 输入输出过滤元字符
– <>
– ()
– &、#、%、?
• 输入输出转义元字符
– '<' → < '>' → >
– '&' → &
– ' → %#027; " → "
方法一、过滤特殊字符
如<script>、<img>、<iframe>……
示例代码:
import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
/**
* 防止XSS(Cross Site Script)攻击的Filter
*
*
*/
public class XSSDefendFilter implements Filter {
public static List<String> arrTagList = new ArrayList<String>();
// public static boolean filterSwitch =
// com.travelsky.caair.common.Para.xssFilterB2C;
public XSSDefendFilter() {
super();
if (arrTagList.size() == 0) {// 过滤敏感HTML TAG
arrTagList.add("<script");
arrTagList.add("<embed");
arrTagList.add("<style");
arrTagList.add("<frame");
arrTagList.add("<object");
arrTagList.add("<iframe");
arrTagList.add("<frameset");
arrTagList.add("<meta");
arrTagList.add("<xml");
arrTagList.add("<applet");
arrTagList.add("<link");
arrTagList.add("onload");
arrTagList.add("<img");
arrTagList.add("<a");
arrTagList.add("onmouse");
arrTagList.add("onblur");
arrTagList.add("onchange");
arrTagList.add("onclick");
arrTagList.add("ondblclick");
arrTagList.add("onkey");
arrTagList.add("onfocus");
arrTagList.add("onselect");
}
}
public void init(FilterConfig cfg) throws ServletException {
// TODO Auto-generated method stub
}
@SuppressWarnings("unchecked")
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
// TODO Auto-generated method stub
boolean flag = false;
Enumeration en = request.getParameterNames();
String prtName = "-";
String prtValue = "-";
while (en.hasMoreElements()) {
prtName = (String) en.nextElement();
prtValue = request.getParameter(prtName);
if (prtValue != null) {
if (judgeTagByRegular(prtValue.toLowerCase())) {
System.out.println("ERROR Filter:" + prtName + "="
+ prtValue);
flag = true;
break;
}
}
}
if (!flag) {
chain.doFilter(request, response);
} else {// Error Process,如果有错误,大家自己定向到一个位置
System.out.println("ERROR Filter:"
+ ((HttpServletRequest) request).getRequestURI());
((javax.servlet.http.HttpServletResponse) response)
.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
}
}
/**
* 对arrTagList 的tag 用正则表达式封装
*
* @param obj
* @return
*/
private boolean judgeTagByRegular(String obj)
{
Pattern pattern = Pattern
.compile(
"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
Pattern.CASE_INSENSITIVE);
return pattern.matcher(obj).matches();
}
@SuppressWarnings("unused")
private boolean judgeHasTag(String obj) {
for (int i = 0; i < arrTagList.size(); i++) {
String tt = arrTagList.get(i).toString();
if (obj.indexOf(tt) >= 0) {
return true;
}
}
return false;
}
/*
* (non-Java-doc)
*
* @see javax.servlet.Filter#destroy()
*/
public void destroy() {
// TODO Auto-generated method stub
}
}
此方法有一定局限性,有很多可以绕过的方式:
<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...
方法二:还可以使用HTML和URL编码来避免问题。
可以使用apache-lang包中的提供的方法,如下:
System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));
使用以上方法会得到下面的结果:
<iframe src='http://www.baidu.com'/>
<script>alert('ok');</script>
这样经过html转义就可以防止html元素代码执行。方式XSS攻击。
相关推荐
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
微信小程序商城源码 模式包含 B2B2C商城 S2B2C商城 O2O商城 SAAS商城 小程序商城 H5商城 APP商城 PC商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
Mall4j开源商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的开源商城。...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
防范XSS攻击的关键在于正确地处理和验证用户输入,包括: - 对用户提交的数据进行转义或过滤,确保不会插入可执行的脚本。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制浏览器只执行指定来源的脚本。 - ...
防范XSS攻击的主要措施包括: 1. 对用户输入进行严格的过滤和转义,避免将未经过滤的数据直接显示在页面上。 2. 使用HTTP头部的安全策略,如Content-Security-Policy,限制浏览器只能执行指定来源的脚本。 3. 使用...
为了防范XSS攻击,我们可以: 1. 对用户输入进行过滤或转义:在接收到用户数据后,应用应确保将可能包含的特殊字符如 `、`>`、`"`、`'` 等进行转义处理,防止它们被解析为HTML标签。 2. 使用HTTP头部的Content-...
防范XSS攻击的方法包括: 1. 输入验证:对用户提交的数据进行严格的验证,确保其符合预期格式,不允许危险字符或标记。 2. 输出编码:在显示用户输入时,使用适当的编码技术(如HTML实体编码)来防止浏览器执行代码...
防范XSS攻击的关键在于: 1. 对所有输出到页面的用户输入进行编码,使用适当的函数或库来转义HTML、JavaScript和URL字符。 2. 使用HTTP头部的Content-Security-Policy来限制浏览器可执行的脚本源。 3. 对敏感操作...
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
《XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便...第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法
### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...
防范XSS攻击的方法主要包括输入验证、输出编码、HTTP头部设置和使用Content Security Policy(CSP)。输入验证要求对所有用户提交的数据进行严格的检查,防止非法字符和脚本;输出编码则是将特殊字符转义,防止它们...
为了防范XSS攻击,开发者需要采取一系列的安全措施,其中包括使用专门的防护库,比如Java中的"XSSProtect"。 "XSSProtect"是一个开源的Java库,它的主要功能是过滤和清洗输入数据,避免潜在的XSS漏洞。这个库包含三...
XSS攻击的防范可以通过多种手段实现,例如在输入和输出层面进行过滤。输入过滤是指在用户提交数据之前,对数据进行检查和清理,以防止恶意脚本被提交。输出过滤是在将数据输出到浏览器之前进行处理,确保输出的数据...
跨站脚本攻击(XSS)是网络安全领域中一种常见的攻击方式,主要针对Web应用程序。XSS攻击允许恶意攻击者通过注入可执行的脚本...记住,防范XSS攻击的关键在于理解其工作方式,并在开发和运维过程中采取适当的防护措施。
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...