`
accphc
  • 浏览: 125046 次
  • 性别: Icon_minigender_1
  • 来自: CD
社区版块
存档分类
最新评论

防范XSS攻击

XSS 
阅读更多

如何杜绝跨站脚本

• 输入输出过滤元字符

– <>

– ()

– &、#、%、?

• 输入输出转义元字符

– '<' → &lt; '>' → &gt;

– '&' → &amp;

– ' → %#027; " → &quot;

 

方法一、过滤特殊字符

如<script>、<img>、<iframe>……

示例代码:


import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止XSS(Cross Site Script)攻击的Filter
 * 
 * 
 */
public class XSSDefendFilter implements Filter {

	public  static List<String> arrTagList = new ArrayList<String>();

	// public static boolean filterSwitch =
	// com.travelsky.caair.common.Para.xssFilterB2C;

	public XSSDefendFilter() {

		super();
		if (arrTagList.size() == 0) {// 过滤敏感HTML TAG

			arrTagList.add("<script");
			arrTagList.add("<embed");
			arrTagList.add("<style");
			arrTagList.add("<frame");
			arrTagList.add("<object");
			arrTagList.add("<iframe");
			arrTagList.add("<frameset");
			arrTagList.add("<meta");
			arrTagList.add("<xml");
			arrTagList.add("<applet");
			arrTagList.add("<link");
			arrTagList.add("onload");
			arrTagList.add("<img");
			arrTagList.add("<a");
			arrTagList.add("onmouse");
			arrTagList.add("onblur");
			arrTagList.add("onchange");
			arrTagList.add("onclick");
			arrTagList.add("ondblclick");
			arrTagList.add("onkey");
			arrTagList.add("onfocus");
			arrTagList.add("onselect");
		}
	}

	public void init(FilterConfig cfg) throws ServletException {
		// TODO Auto-generated method stub

	}

	@SuppressWarnings("unchecked")
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		boolean flag = false;
		Enumeration en = request.getParameterNames();
		String prtName = "-";
		String prtValue = "-";

		while (en.hasMoreElements()) {
			prtName = (String) en.nextElement();
			prtValue = request.getParameter(prtName);
			if (prtValue != null) {
				if (judgeTagByRegular(prtValue.toLowerCase())) {
					System.out.println("ERROR Filter:" + prtName + "="
							+ prtValue);
					flag = true;
					break;
				}
			}
		}

		if (!flag) {
			chain.doFilter(request, response);
		} else {// Error Process,如果有错误,大家自己定向到一个位置
			System.out.println("ERROR Filter:"
					+ ((HttpServletRequest) request).getRequestURI());

			((javax.servlet.http.HttpServletResponse) response)
					.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
		}
	}

	/**
	 * 对arrTagList 的tag 用正则表达式封装
	 * 
	 * @param obj
	 * @return
	 */
	private boolean judgeTagByRegular(String obj)

	{

		Pattern pattern = Pattern
				.compile(
						"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
						Pattern.CASE_INSENSITIVE);

		return pattern.matcher(obj).matches();

	}

	@SuppressWarnings("unused")
	private boolean judgeHasTag(String obj) {
		for (int i = 0; i < arrTagList.size(); i++) {
			String tt = arrTagList.get(i).toString();
			if (obj.indexOf(tt) >= 0) {
				return true;
			}
		}
		return false;
	}

	/*
	 * (non-Java-doc)
	 * 
	 * @see javax.servlet.Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}


}

  此方法有一定局限性,有很多可以绕过的方式:

<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...

 

方法二:还可以使用HTML和URL编码来避免问题。

   可以使用apache-lang包中的提供的方法,如下:

System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
	
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));

    使用以上方法会得到下面的结果:

&lt;iframe src='http://www.baidu.com'/&gt;
&lt;script&gt;alert('ok');&lt;/script&gt;

 

    这样经过html转义就可以防止html元素代码执行。方式XSS攻击。

分享到:
评论

相关推荐

    防范XSS攻击程序

    对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“&lt;”、“&gt;”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...

    基于spring boot、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,拥有完整sku和下单流程的开源商城

    微信小程序商城源码 模式包含 B2B2C商城 S2B2C商城 O2O商城 SAAS商城 小程序商城 H5商城 APP商城 PC商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,...

    一个基于spring boot的轻量级、前后端分离、防范xss攻击、拥有分布式锁的商城系统Mall4j

    一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...

    轻量级、前后端分离、防范xss攻击、拥有分布式锁,数据库为b2b2c设计,拥有完整sku和下单流程的企业首选的源码商城系统

    Mall4j开源商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的开源商城。...

    轻量级、前后端分离、防范xss攻击、拥有分布式锁,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城

    一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...

    web安全之XSS攻击demo

    防范XSS攻击的关键在于正确地处理和验证用户输入,包括: - 对用户提交的数据进行转义或过滤,确保不会插入可执行的脚本。 - 使用HTTP头部的Content-Security-Policy(CSP)来限制浏览器只执行指定来源的脚本。 - ...

    XSS 跨站脚本攻击及防范

    防范XSS攻击的主要措施包括: 1. 对用户输入进行严格的过滤和转义,避免将未经过滤的数据直接显示在页面上。 2. 使用HTTP头部的安全策略,如Content-Security-Policy,限制浏览器只能执行指定来源的脚本。 3. 使用...

    防xss攻击和sql注入

    为了防范XSS攻击,我们可以: 1. 对用户输入进行过滤或转义:在接收到用户数据后,应用应确保将可能包含的特殊字符如 `、`&gt;`、`"`、`'` 等进行转义处理,防止它们被解析为HTML标签。 2. 使用HTTP头部的Content-...

    解决XSS跨站脚本攻击

    防范XSS攻击的方法包括: 1. 输入验证:对用户提交的数据进行严格的验证,确保其符合预期格式,不允许危险字符或标记。 2. 输出编码:在显示用户输入时,使用适当的编码技术(如HTML实体编码)来防止浏览器执行代码...

    扫描sql注入与xss攻击的牛b工具

    防范XSS攻击的关键在于: 1. 对所有输出到页面的用户输入进行编码,使用适当的函数或库来转义HTML、JavaScript和URL字符。 2. 使用HTTP头部的Content-Security-Policy来限制浏览器可执行的脚本源。 3. 对敏感操作...

    XSS跨站脚本攻击剖析与防御

    第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。

    XSS跨站脚本gj剖析与防御.pdf

    《XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便...第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法

    web安全之XSS攻击及防御pdf

    ### Web安全之XSS攻击及防御 #### 一、XSS基本原理 ##### 1.1 什么是XSS 跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web应用程序安全漏洞,其形成原因主要是由于Web应用程序对用户输入的数据过滤不...

    XSS搭建教程以及源码,,免费分享给大家

    防范XSS攻击的方法主要包括输入验证、输出编码、HTTP头部设置和使用Content Security Policy(CSP)。输入验证要求对所有用户提交的数据进行严格的检查,防止非法字符和脚本;输出编码则是将特殊字符转义,防止它们...

    防止XSS攻击xssProtect

    为了防范XSS攻击,开发者需要采取一系列的安全措施,其中包括使用专门的防护库,比如Java中的"XSSProtect"。 "XSSProtect"是一个开源的Java库,它的主要功能是过滤和清洗输入数据,避免潜在的XSS漏洞。这个库包含三...

    xss攻击详解,跨站攻击详解

    XSS攻击的防范可以通过多种手段实现,例如在输入和输出层面进行过滤。输入过滤是指在用户提交数据之前,对数据进行检查和清理,以防止恶意脚本被提交。输出过滤是在将数据输出到浏览器之前进行处理,确保输出的数据...

    跨站脚本攻击(XSS)presentation所有材料

    跨站脚本攻击(XSS)是网络安全领域中一种常见的攻击方式,主要针对Web应用程序。XSS攻击允许恶意攻击者通过注入可执行的脚本...记住,防范XSS攻击的关键在于理解其工作方式,并在开发和运维过程中采取适当的防护措施。

    SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货

    SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...

Global site tag (gtag.js) - Google Analytics