2. 程式人生 > 程式設計 >Java防止xss攻擊附相關檔案下載

Java防止xss攻擊附相關檔案下載

阿新 發佈:2020-02-04

跨站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是程式碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端指令碼語言。

XSS攻擊通常指的是通過利用網頁開發時留下的漏洞,通過巧妙的方法注入惡意指令程式碼到網頁,使使用者載入並執行攻擊者惡意製造的網頁程式。這些惡意網頁程式通常是JavaScript,但實際上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻擊成功後,攻擊者可能得到更高的許可權(如執行一些操作)、私密網頁內容、會話和cookie等各種內容。

背景和現狀

當網景(Netscape)最初推出JavaScript語言時,他們也察覺到准許網頁伺服器傳送可執行的程式碼給一個瀏覽器的安全風險(即使僅是在一個瀏覽器的沙盒裡)。它所造成的一個關鍵的問題在於使用者同時開啟多個瀏覽器視窗時,在某些例子裡,網頁裡的片斷程式碼被允許從另一個網頁或物件取出資料,而因為惡意的網站可以用這個方法來嘗試竊取機密資訊,所以在某些情形,這應是完全被禁止的。為了解決這個問題,瀏覽器採用了同源決策——僅允許來自相同域名系統和使用相同協議的物件與網頁之間的任何互動。這樣一來,惡意的網站便無法藉由JavaScript在另一個瀏覽器竊取機密資料。此後,為了保護使用者免受惡意的危害,其他的瀏覽器與伺服端指令語言採用了類似的訪問控制決策。

XSS漏洞可以追溯到1990年代。大量的網站曾遭受XSS漏洞攻擊或被發現此類漏洞,如Twitter[1],Facebook[2],MySpace,Orkut[3][4],新浪微博[5]和百度貼吧。研究表明[6],最近幾年XSS已經超過緩衝區溢位成為最流行的攻擊方式,有68%的網站可能遭受此類攻擊。根據開放網頁應用安全計劃(Open Web Application Security Project)公佈的2010年統計資料,在Web安全威脅前10位中,XSS排名第2,僅次於程式碼注入(Injection)。[7]

檢測方法

通常有一些方式可以測試網站是否有正確處理特殊字元:

<script>alert(document.cookie)</script>

<script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert (vulnerable)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<img src="javascript:alert('XSS')">
<img src="http://xxx.com/yyy.png" onerror="alert('XSS')">
<div style="height:expression(alert('XSS'),1)"></div>(這個僅於IE7(含)之前有效)

攻擊手段和目的

攻擊者使被攻擊者在瀏覽器中執行指令碼後,如果需要收集來自被攻擊者的資料(如cookie或其他敏感資訊),可以自行架設一個網站,讓被攻擊者通過JavaScript等方式把收集好的資料作為引數提交,隨後以資料庫等形式記錄在攻擊者自己的伺服器上。

常用的XSS攻擊手段和目的有:

盜用cookie,獲取敏感資訊。
利用植入Flash,通過crossdomain許可權設定進一步獲取更高許可權;或者利用Java等得到類似的操作。
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻擊)使用者的身份執行一些管理動作,或執行一些一般的如發微博、加好友、發私信等操作。
利用可被攻擊的域受到其他域信任的特點,以受信任來源的身份請求一些平時不允許的操作,如進行不當的投票活動。
在訪問量極大的一些頁面上的XSS可以攻擊一些小型網站,實現DDoS攻擊的效果。
漏洞的防禦和利用

過濾特殊字元

避免XSS的方法之一主要是將使用者所提供的內容進行過濾,許多語言都有提供對HTML的過濾:

PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更強的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect (Open Source Library)。(https://code.google.com/archive/p/xssprotect/)
Node.js的node-validator。

使用HTTP頭指定型別

很多時候可以使用HTTP頭指定內容的型別,使得輸出的內容避免被作為HTML解析。如在PHP語言中使用以下程式碼:

<?php
header('Content-Type: text/javascript; charset=utf-8');
?>

即可強行指定輸出內容為文字/JavaScript指令碼(順便指定了內容編碼),而非可以引發攻擊的HTML。

使用者方面

包括Internet Explorer、Mozilla Firefox在內的大多數瀏覽器皆有關閉JavaScript的選項,但關閉功能並非是最好的方法,因為許多網站都需要使用JavaScript語言才能正常運作。通常來說,一個經常有安全更新推出的瀏覽器,在使用上會比很久都沒有更新的瀏覽器更為安全。

解決提供兩個思路

1.使用過濾器過濾輸入字元,然後做相應處理。

處理方式:

一種是保留語意,將輸入的特殊字元轉譯儲存到資料庫,壞處是對資料庫或檔案系統產生一些不必要的垃圾資訊。

一種是過濾掉特殊字元,只保留正常資料,但是有些時候使用者需要輸入特殊字元,這樣不能保證資料原始性。

一種是不讓輸入,返回異常值。

以上都可以自行進行特殊處理,這裡只提供些思路,怎麼處理可以根據需求自己選擇

過濾器web.xml:

<filter>
	<filter-name>XSSFilter</filter-name>
	<filter-class>com.***.web.filter.XSSFilter</filter-class>
</filter>
<filter-mapping>
	<filter-name>XSSFilter</filter-name>
	<url-pattern>/*</url-pattern>
	<dispatcher>REQUEST</dispatcher>
 
</filter-mapping>

過濾器:

import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
 
public class XSSFilter implements Filter {
 
	FilterConfig filterConfig = null;
 
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
 
	@Override
	public void destroy() {
		this.filterConfig = null;
	}
 
	@Override
	public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain) throws IOException,ServletException {
		chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request),response);
	}
 
}

第一種過濾器: 使用commons-lang3-3.1.jar包的 org.apache.commons.lang3.StringEscapeUtils工具類對特殊字元進行轉譯。 Example:

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
import org.apache.commons.lang3.StringEscapeUtils;
 
public class XSSRequestWrapper extends HttpServletRequestWrapper {
 
	public XSSRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
	}
 
	@Override
	public String getHeader(String name) {
		return StringEscapeUtils.escapeHtml4(super.getHeader(name));
	}
 
	@Override
	public String getQueryString() {
		return StringEscapeUtils.escapeHtml4(super.getQueryString());
	}
 
	@Override
	public String getParameter(String name) {
		return StringEscapeUtils.escapeHtml4(super.getParameter(name));
	}
 
	@Override
	public String[] getParameterValues(String name) {
		String[] values = super.getParameterValues(name);
		if (values != null) {
			int length = values.length;
			String[] escapseValues = new String[length];
			for (int i = 0; i < length; i++) {
				escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
			}
			return escapseValues;
		}
		return super.getParameterValues(name);
	}
}

第二種過濾器:自己通過正則表示式手寫過濾,轉譯或者消除特殊字元。

Example:

import java.util.regex.Pattern;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public class XSSRequestWrapper extends HttpServletRequestWrapper {
 
	public XSSRequestWrapper(HttpServletRequest servletRequest) {
		super(servletRequest);
	}
 
	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
 
		if (values == null) {
			return null;
		}
 
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = stripXSS(values[i]);
		}
 
		return encodedValues;
	}
 
	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
 
		return stripXSS(value);
	}
 
	@Override
	public String getHeader(String name) {
		String value = super.getHeader(name);
		return stripXSS(value);
	}
 
	private String stripXSS(String value) {
		if (value != null) {
			// Avoid null characters
			value = value.replaceAll("","");
 
			// Avoid anything between script tags
			Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>",Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid anything in a src='...' type of e­xpression
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
 
			scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Remove any lonesome </script> tag
			scriptPattern = Pattern.compile("</script>",Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Remove any lonesome <script ...> tag
			scriptPattern = Pattern.compile("<script(.*?)>",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid eval(...) e­xpressions
			scriptPattern = Pattern.compile("eval\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid e­xpression(...) e­xpressions
			scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid javascript:... e­xpressions
			scriptPattern = Pattern.compile("javascript:",Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid vbscript:... e­xpressions
			scriptPattern = Pattern.compile("vbscript:",Pattern.CASE_INSENSITIVE);
			value = scriptPattern.matcher(value).replaceAll("");
 
			// Avoid οnlοad= e­xpressions
			scriptPattern = Pattern.compile("onload(.*?)=",Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
			value = scriptPattern.matcher(value).replaceAll("");
		}
		return value;
	}
}

第三種過濾器: 使用工具類xssProtect,專案中需要引入 xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 等3個 jar 包。具體實現沒有試驗,可以參考下這個:http://liuzidong.iteye.com/blog/1744023

用maven管理jar包的話,pom.xml如下:

<!-- https://mvnrepository.com/artifact/org.antlr/antlr -->
<dependency>
 <groupId>org.antlr</groupId>
 <artifactId>antlr</artifactId>
 <version>3.0.1</version>
</dependency>
 
<!-- https://mvnrepository.com/artifact/org.antlr/antlr-runtime -->
<dependency>
 <groupId>org.antlr</groupId>
 <artifactId>antlr-runtime</artifactId>
 <version>3.0.1</version>
</dependency>

2.第二種思路就是輸入不管他,只在顯示的時候,進行轉譯,可以用過濾器或者自行解決。

如果頁面的展示大部分都在bootstrap表單裡,那麼bootstrap的自帶屬性就可以解決:

escape: true,// 是否轉義 預設 為false

個別可以自己在寫方法轉譯,例如:

var escapeHTML = function (text) {
  if (typeof text === 'string') {
   return text
    .replace(/&/g,'&')
    .replace(/</g,'<')
    .replace(/>/g,'>')
    .replace(/"/g,'"')
    .replace(/'/g,''')
    .replace(/`/g,'`');
  }
  return text;
 };

附件:

xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar打包下載

相關推薦

Java防止xss攻擊相關檔案下載

跨站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是程式碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含

Spring Boot 利用Filter 實現防止XSS攻擊+設定Cookie HttpOnly

Spring Boot 利用Filter 實現防止XSS攻擊+設定Cookie HttpOnly 介紹 跨站指令碼攻擊XSS),是目前最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意指令碼程式碼到正常使用者會訪問到的頁面中,當正常使用

Springboot框架新增防止XSS攻擊功能

一:什麼是XSS XSS攻擊全稱跨站指令碼攻擊,是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。

Django如何實現防止XSS攻擊

一、什麼是XSS攻擊 xss攻擊:----->web注入   xss跨站指令碼攻擊(Cross site script,簡稱xss)是一種“HTML注入”,由於攻擊的指令碼多數時候是跨域的,所以稱之為“跨域指令碼”。

springboot專案 防止xss攻擊

原文地址:https://www.cnblogs.com/gu-bin/p/12354913.html 一:什麼是XSS XSS攻擊全稱跨站指令碼攻擊,是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。

java 最新Xss攻擊與防護(全方位360°詳解)

前沿 XSS防範屬於前端還是後端的責任 ? XSS 防範是後端 RD(研發人員)的責任,後端 RD 應該在所有使用者提交資料的介面,對敏感字元進行轉義,才能進行下一步操作。

蘋果 iOS 15/iPadOS 15 開發者預覽 Beta 推送(描述檔案下載

6 月 8 日訊息 在今天的 WWDC21 開發者大會上,蘋果釋出了 iOS 15/iPadOS 15 系統更新。

不想升級最新系統?教你如何完美遮蔽蘋果 iOS 15 更新(描述檔案下載

感謝網友 小筷子 的線索投遞!

java檔案下載程式碼例項(單檔案下載和多檔案打包下載

這篇文章主要介紹了java檔案下載程式碼例項(單檔案下載和多檔案打包下載),文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

詳解關於java檔案下載檔名亂碼問題解決方案

JAVA檔案下載時亂碼有兩種情況: 1,下載時中文檔名亂碼 2,下載時因為路徑中包含中文檔名亂碼,提示找不到檔案

Java response響應體和檔案下載實現原理

通過response 設定響應體: 響應體設定文字: PrintWriter getWriter()   獲得字元流,通過字元流的write(String s)方法可以將字串設定到response 緩衝區中,隨後Tomcat會將response緩衝區中的內容組裝成Http響

Java 檔案下載

1.以流的方式下載. --   public HttpServletResponse download(String path, HttpServletResponse response) {

Nginx配置各種響應頭防止XSS,點選劫持,frame惡意攻擊

為什麼要配置HTTP響應頭? 不知道各位有沒有被各類XSS攻擊、點選劫持 (ClickJacking、 frame 惡意引用等等方式騷擾過,百度聯盟被封就有這些攻擊的功勞在裡面。為此一直都在搜尋相關防禦辦法,至今效果都不是很好,最

Java 通過URL進行遠端檔案下載

@Service public class FileService { private static Logger LOGGER = LoggerFactory.getLogger(FileService.class);

Java後臺Controller實現檔案下載操作

程式碼 引數: 1.filePath:檔案的絕對路徑(d:\\download\\a.xlsx) 2.fileName(a.xlsx) 3.編碼格式(GBK)

Java fastdfs客戶端實現上傳下載檔案

一、專案結構 二、pom.xml <?xml version=\"1.0\" encoding=\"UTF-8\"?> <project xmlns=\"http://maven.apache.org/POM/4.0.0\"

Java 客戶端操作 FastDFS 實現檔案上傳下載替換刪除功能

FastDFS 的作者餘慶先生已經為我們開發好了 Java 對應的 SDK。這裡需要解釋一下:作者餘慶並沒有及時更新最新的 Java SDK 至 Maven 中央倉庫,目前中央倉庫最新版仍舊是 1.27 版。所以我們需要通過 Github:https://

萬字長文深入理解java中的集合-PDF下載

目錄1. 前言2. List2.1fail-safe fail-fast知多少2.1.1 Fail-fast Iterator2.1.2 Fail-fast 的原理2.1.3 Fail-safe Iterator2.2 Iterator to list的三種方法2.2.1 使用while2.2.2 使用ForEachRemaining2.2.3 使用str

java檔案下載

package com.tt.rhms.sys.controller;import org.springframework.web.bind.annotation.GetMapping;import org.springframework.web.bind.annotation.RestController;import javax.servlet.http.HttpServletRequest;

【專案】 Java 過濾器 解決儲存型xss攻擊問題

技術標籤:專案Javaxss攻擊JavafilterrequestinputStream XSS攻擊場景 攻擊者可以通過構造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站指令碼漏洞欺騙使用者,收集Cookie等相關資料並冒