最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。
1.在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。
2.他经常发生在如下情况,比如在你的地址栏参数后面加一串javacript脚本,就会在你请求晚场之后弹出对话框,或者在后面加入一些敏感字符,如:单引号,分号,alert等等,他的变种有好多。
eg:Http://localhost:8080/test/index.jsp<script>alert(123)</script>
如果存在跨站脚本就会弹出123.
3.解决方案:
大概思路:
原因——》为什么会出现Xss跨站攻击,大部分是(恶意或用专业的工具扫描)用户在客户端向服务器发送一个请求的时候,掺杂了一些非法字符,如上面提到的,如果不进行过滤,就会出现跨站攻击。
方法——》对每次提交过来的参数、表单对象进行过滤,用到了request.getParam(),request.getAttrbute(),一个是获取string参数值,一个是表单对象。在没有响应之前就对其进行过滤,然后在将其提交相应。
具体实现——》写一个工具类,用到了XSSProtect(上面提到的Google XSSProtect),参考其文档写一个工具类;然后写一个HttpRequestWrapper,将其参数进行过滤后包装;最后写一个Filter,得到所有的请求资源,对请求资源过滤,实现其doFilter方法,然后在web.xml中配置。
4.注意事项
可能会有乱码现象(请参考 http://jiji87432.iteye.com/admin/blogs/1832443)。
希望对大家有所帮助!谢谢!有关安全机制方面的东西还需要学习很多,希望大家多多分享!
相关推荐
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的安全威胁,它利用Web应用程序的安全漏洞,将恶意脚本注入到合法的网页中,进而攻击最终用户。XSS攻击主要分为以下两种类型: 1. **存储型XSS**(Persistent ...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本。这种攻击通常发生在Web应用中,当网站未能正确地过滤或转义用户输入的数据,使得这些数据可以作为可...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的网络安全威胁,它允许攻击者在用户的浏览器上执行恶意代码,从而窃取用户敏感信息、操纵用户行为或者对网站进行破坏。本文将深入探讨XSS攻击的类型、危害,并...
XSS(Cross-Site Scripting)跨站脚本攻击是一种常见的Web应用安全威胁,其核心在于利用网站对用户输入数据的处理不当,允许攻击者注入恶意脚本到网页中,这些脚本在用户浏览器上执行,进而窃取用户的敏感信息、篡改...
XSS(Cross Site Scripting)跨站脚本攻击是一种常见的网络安全漏洞,它允许攻击者在用户浏览器上执行恶意脚本,从而获取敏感信息或者操控用户的行为。这种攻击主要发生在Web应用中,攻击者通过注入恶意代码,使受害...
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS 跨站脚本攻击防御指南 XSS 跨站脚本攻击是一种常见的 web 应用程序攻击手法,它通常发生在 web 应用程序没有正确地对用户输入进行验证和过滤的情况下。下面我们将详细介绍 XSS 跨站脚本攻击的原理、类型、攻击...
XSS 跨站脚本攻击(Cross Site Scripting)是一种常见的 Web 应用程序安全漏洞。攻击者可以通过在 Web 页面中插入恶意 Script 代码来攻击用户。XSS 攻击的原理是,当用户浏览包含恶意 Script 代码的 Web 页面时,该 ...
《XSS跨站脚本gj剖析与防御》是一份详尽探讨网络安全中XSS(Cross-Site Scripting)攻击的资源,对于理解和防范这种常见网络威胁至关重要。XSS攻击是一种利用网站用户输入来注入恶意脚本的手段,这些脚本能够在受害...
跨站脚本(Cross Site Scripting,简称XSS)攻击是一种常见的Web应用程序安全漏洞,它允许攻击者将恶意脚本注入到看似可信的网站上。当用户浏览这些被注入恶意脚本的页面时,恶意脚本会在用户的浏览器环境中执行,...
XSS(Cross Site Scripting)跨站脚本攻击是一种网络安全漏洞,主要针对Web应用程序,让攻击者能够在受害者的浏览器上执行恶意脚本。攻击者通过在网页中插入有害的HTML代码,当用户浏览该页面时,这些代码会被执行,...
XSS,全称Cross Site Scripting,是一种常见的Web应用程序安全漏洞,攻击者利用此漏洞向网页中注入恶意脚本,当其他用户浏览该页面时,这些脚本会被执行,从而可能窃取用户的敏感信息、篡改页面内容或者实施其他恶意...
XSS(Cross-Site Scripting),即跨站脚本攻击,是一种常见的网络安全威胁,主要通过在受害者的浏览器环境中注入恶意脚本,从而实现对用户的攻击。这种攻击方式之所以能够成功,主要是因为恶意代码被误认为是合法的...
**跨站脚本攻击(Cross-Site Scripting, XSS):威胁、机制与防范** 在当今高度数字化的社会中,网络安全已成为不可忽视的关键议题。其中,跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络攻击方式,对...
跨站脚本攻击(Cross-Site Scripting, XSS)是一种常见的网络安全威胁,尤其针对Web应用程序。本书《XSS Attacks: Cross-Site Scripting Exploits and Defense》深入探讨了XSS攻击的各种形式、实施方法以及防范措施...
XSS攻击,全称为**跨站脚本攻击**(Cross Site Scripting),是一种常见的网络安全漏洞,它发生在Web应用程序未能正确过滤用户输入的数据时。攻击者可以借此机会将恶意脚本注入到正常的应用程序流程中,进而对其他...
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
XSS(Cross-Site Scripting)跨站脚本攻击是网络攻防领域中的常见威胁,攻击者利用这种技术向网页中注入恶意脚本,进而对用户的信息安全构成严重风险。由于浏览器通常无法区分合法与恶意脚本,因此在未采取适当防护...
#### 知识点一:跨站脚本攻击(Cross-Site Scripting, XSS) **定义与原理** 跨站脚本攻击(Cross-Site Scripting, 简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器中注入恶意脚本。这些脚本通常...