`

bboss跨站攻击白名单和脚本攻击防火墙配置

阅读更多
本文详细介绍bboss跨站攻击白名单和跨站脚本攻击防火墙配置

首先看一个完整的过滤器配置:
  <filter>
	    <filter-name>CharsetEncoding</filter-name>
	    <filter-class>com.frameworkset.common.filter.SessionCharsetEncodingFilter</filter-class>
	    <init-param>
	      <param-name>RequestEncoding</param-name>
	      <param-value>UTF-8</param-value>
	    </init-param>
	    <init-param>
	      <param-name>ResponseEncoding</param-name>
	      <param-value>UTF-8</param-value>
	    </init-param>
	    <init-param>
	      <param-name>mode</param-name>
	      <param-value>0</param-value>
	    </init-param>  
	    <init-param>
	      <param-name>checkiemodeldialog</param-name>
	      <param-value>true</param-value>
	      
	    </init-param>
	    <init-param>
	      <param-name>refererDefender</param-name>
	      <param-value>true</param-value>
	      
	    </init-param>
	   <init-param>
	      <param-name>refererwallwhilelist</param-name>
	      <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value>
	    </init-param>
	    <init-param>
	      <param-name>wallfilterrules</param-name>
	      <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]>
	      </param-value>
	      
	    </init-param>
	    
	    <init-param>
	      <param-name>wallwhilelist</param-name>
	      <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]>
	      </param-value>
	      
	    </init-param>
	    
    </filter>

 
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.jsp</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.do</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.frame</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.page</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>*.freepage</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/cxfservices/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/jasperreport/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/druid/*</url-pattern>
  </filter-mapping>
  <filter-mapping>
    <filter-name>CharsetEncoding</filter-name>
    <url-pattern>/Kaptcha.jpg</url-pattern>
  </filter-mapping>


过滤器中涉及到的跨站攻击配置参数有:
<init-param>
	      <param-name>refererDefender</param-name>
	      <param-value>true</param-value>
	      
	    </init-param>
	   <init-param>
	      <param-name>refererwallwhilelist</param-name>
	      <param-value>*.bboss.com.cn,http://*.referer.ibm.com</param-value>
	    </init-param>

参数含义说明:
refererDefender 是否启用跨站攻击防御功能,true启用,false关闭,默认关闭
refererwallwhilelist 配置跨站访问白名单, 开启跨站攻击防御功能后,必须将允许跨站访问的可信域名配置到白名单中,否则不允许被不可信的域名访问。白名单配置规则:多个域名用逗号分隔,域名中可以并只能包含一个*号通配符,多于的*号直接被忽略。

过滤器中涉及到的脚本攻击配置参数有:
<init-param>
	      <param-name>wallfilterrules</param-name>
	      <param-value><![CDATA[><,%3E%3C,<iframe,%3Ciframe,<script,%3Cscript,<img,%3Cimg,alert(,alert%28,eval(,eval%28,style=,style%3D,[window['location'],{valueOf:alert},{toString:alert},[window["location"],new Function(]]>
	      </param-value>
	      
	    </init-param>
	    
	    <init-param>
	      <param-name>wallwhilelist</param-name>
	      <param-value><![CDATA[content,fileContent,extfieldvalues,questionString]]>
	      </param-value>
	      
	    </init-param>

参数含义说明:
wallfilterrules 配置参数中非法的过滤词,多个用逗号分隔,只要请求参数包含其中的任意一个过滤词,即为非法请求参数,参数值将被清空。
wallwhilelist 配置不需要检测过滤词的参数名称列表,也就是白名单列表,多个用逗号分隔,出现在这个清单中的参数名称不接收wallfilterrules规则扫描。

分享到:
评论

相关推荐

    bboss mvc 通过jsonp实现跨站跨域远程访问

    bboss MVC是一个基于Java的轻量级MVC框架,它提供了丰富的API和配置选项,使得开发者可以方便地构建Web应用。 首先,理解JSONP的基本原理是至关重要的。JSONP的工作机制是,前端通过`&lt;script&gt;`标签的`src`属性向...

    bboss ioc配置文件中使用外部属性文件介绍

    此外,`build.gradle`文件是Gradle构建系统使用的配置文件,它定义了项目依赖、构建脚本和其他构建设置。在Java项目中,`src`目录通常包含了项目的源代码,其中`src/main/java`存放Java类,`src/main/resources`则常...

    bboss会话共享培训文档

    其次,bboss会话共享支持跨域和跨应用的会话共享,并能实现单点登录(SSO)功能。单点登录是指用户在多个应用之间无需重复登录,提供统一的认证入口。例如,在一个域下的多个子应用之间,使用bboss可以共享认证信息...

    bboss-elasticsearch开发环境搭建和开发入门视频教程.

    **Elasticsearch 开发环境搭建与 BBoss 入门教程** ...通过提供的视频教程和源码示例,你可以逐步学习到环境配置、基本操作以及一些进阶技能,从而在实际项目中更有效地利用 Elasticsearch 和 BBoss。

    bboss mvcdemo 下载地址

    - 安装与配置指南:如何下载和设置BBoss MVCDemo环境,包括JDK、应用服务器(如Tomcat)、数据库等的配置。 - 快速入门:简单的示例展示如何创建第一个BBoss MVCDemo应用,包括编写控制器、模型和视图。 - 请求处理...

    springboot整合bboss es增删改查测试demo代码

    本实例是一个基于bboss es spring boot starter的demo maven工程,可供spring boot项目集成bboss elasticsearch rest client参考 展示了通过spring boot管理单集群功能和管理多集群功能 单集群测试用例:...

    由 bboss 开源的数据采集&流批一体化工具,提供数据采集、数据清洗转换处理和数据入库以及数据指标统计计算流批一体化处理功能

    为了便于管理和监控,bboss-datatran 提供了可视化的操作界面,用户可以查看作业状态、监控性能指标、调整作业配置等。此外,它还支持API接口,方便集成到自动化运维流程中。 ### 社区支持 作为开源项目,bboss-...

    企业级J2EE开源框架bboss

    BBoss(全称为bbossgroups)是一个专为企业级J2EE应用设计的开源框架,它为Java开发者提供了一系列强大的工具和服务,以简化Web应用程序的开发过程。该框架旨在提高开发效率,降低维护成本,同时保持高度的灵活性和...

    bboss 安全认证过滤器功能介绍

    BBoss安全认证过滤器是Java Web开发中一种用于实现用户身份验证和权限控制的重要组件。在Web应用程序中,过滤器(Filter)是Servlet规范的一部分,它允许开发者在请求到达目标Servlet或JSP之前进行预处理,以及在...

    bboss-db-elasticsearch-tool-master_java_

    【bboss-db-elasticsearch-tool-master_java_】是一个Java ORM(对象关系映射)框架,它在功能上超越了MyBatis,提供了对多种数据库的广泛支持,包括MySQL、Oracle、PostgreSQL、SQLServer、DB2、DM以及MongoDB。...

    bboss+es基本操作示例.zip

    集成bboss和Elasticsearch时,首先需要在项目中引入bboss的依赖,并配置Elasticsearch的相关连接信息,如集群名称、节点地址等。然后可以通过bboss提供的API进行索引创建、数据插入、查询、更新、删除等操作。 4. ...

    基于bboss新版平台项目环境搭建和代码工具使用视频教程.rar

    8. **配置项目**:修改配置文件,如web.xml和bboss的配置文件,以适应你的业务需求。 9. **测试运行**:通过访问预设的URL,验证项目是否成功启动。 接下来,`bboss平台代码生成工具使用教程.wmv`可能涵盖了如何...

    bboss elasticsearch-5.7.8.rar

    3. `bboss-util-5.5.0.jar`和`bboss-persistent-5.5.0.jar`:这是BBoss框架的核心组件,提供了许多实用工具类和持久化操作支持,如数据库连接、事务管理等,为Elasticsearch的数据导入提供底层支持。 4. `...

    springboot集成ElasticsearchBboss调用Elasticsearch.md

    springboot集成ElasticsearchBboss调用Elasticsearch的案例分享

    基于JavaScript和CSS的bboss会话共享demo设计源码

    本项目是基于JavaScript和CSS开发的bboss会话共享demo,包含421个文件,其中包括114个GIF图像文件、111个JPG图像文件、88个PNG图像文件、29个JavaScript脚本文件、20个CSS样式表文件、18个XML配置文件、12个JSP页面...

Global site tag (gtag.js) - Google Analytics