java過濾特殊字元操作(xss攻擊解決方案)
阿新 • • 發佈:2021-06-30
XSS ,全名:cross-site scripting(跨站點),是當前 web 應用中最危險和最普遍的漏洞之一。攻擊者嘗試注入惡意指令碼程式碼(常指令碼)到受信任的上執行惡意操作,使用者使用瀏覽器瀏覽含有惡意指令碼頁面時,會執行該段惡意指令碼,進而影響使用者(比如關不完的網站、盜取使用者的 cookie 資訊從而偽裝成使用者去操作)等等。
它與 SQL 注入很類似,同樣是通過注入惡意指令來進行攻擊。但 SQL 注入是在伺服器端上執行的,而 XSS 攻擊是在客戶端上執行的,這點是他們本質區別。
其實,個人感覺對於xss攻擊不必區分究竟是反射型XSS、儲存型XSS還是DOM Based XSS,只需要知道如何去防護。而防護的最有效的措施就是過濾,對前端頁面提交到後臺的內容進
1.解決方法一
攔截所有的請求引數,對請求引數中包含特殊字元'<‘或'>'進行過濾。
package com.haier.openplatform.srm.base.filter; import .io.IOException; import java.util.Iterator; import java.util.Map; import java.util.Set; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import javax.servlet.http.HttpServletResponse; import org.springframework.web.filter.OncePerRequestFilter; public class StringFilter extends OncePerRequestFilter{ @Override protected void doFilterInternal(HttpServletRequest request,HttpServletResponse response,FilterChain chain) throws ServletException,IOException { chain.doFilter(new StringFilterRequest((HttpServletRequest)request),response); } } class StringFilterRequest extends HttpServletRequestWrapper { public StringFilterRequest(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { // 返回值之前 先進行過濾 return filterDangerString(super.getParameter(name)); } @Override public String[] getParameterValues(String name) { // 返回值之前 先進行過濾 String[] values = super.getParameterValues(name); if(values==null){ return null; } for (int i = 0; i < values.length; i++) { values[i] = filterDangerString(values[i]); } return values; } @Override public Map getParameterMap() { Map keys = super.getParameterMap(); Set set = keys.entrySet(); Iterator iters = set.iterator(); while (iters.hasNext()) { Object key = iters.next(); Object value = keys.get(key); keys.put(key,filterDangerString((String[]) value)); } return keys; } /*@Override public Object getAttribute(String name) { // TODO Auto-generated method stub Object object = super.getAttribute(name); if (object instanceof String) { return filterDangerString((String) super.getAttribute(name)); } else return object; }*/ public String filterDangerString(String value) { if (value == null) { return null; } // value = value.replaceAll("\\{","{"); value = value.replaceAll("<","<"); value = value.replaceAll(">",">"); // value = value.replaceAll("\t"," "); // value = value.replaceAll("\r\n","\n"); // value = value.replaceAll("\n","<br/>"); // value = value.replaceAll("'","'"); // value = value.replaceAll("\\\\","\"); // value = value.replaceAll("\"","""); // value = value.replaceAll("\\}","﹜").trim(); return value; } public String[] filterDangerString(String[] value) { if (value == null) { return null; } for (int i = 0; i < value.length; i++) { String val = filterDangerString(value[i]); value[i] = val; } return value; } }
web.xm中的過濾器配置:
<filter> <filter-name>StringFilter</filter-name> <filter-class>com.xxx.base.filter.StringFilter</filter-class> </filter> <filter-mapping> <filter-name>StringFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>
2.解決方法二(轉,未驗證)
2.1前端過濾
2.1.1 原生方法
//轉義 元素的innerHTML內容即為轉義後的字元 function htmlEncode ( str ) { var ele = document.createElement('span'); ele.appendChild( document.createTextNode( str ) ); return ele.innerHTML; } //解析 function htmlDecode ( str ) { var ele = document.createElement('span'); ele.innerHTML = str; return ele.textContent; }
2.1.2 方法
function htmlEncodeJQ ( str ) { return $('<span/>').text( str ).html(); } function htmlDecodeJQ ( str ) { return $('<span/>').html( str ).text(); }
2.1.3 呼叫方法
var msg1= htmlEncodeJQ('<script>alert('test');</script>'); var msg1= htmlEncode('<script>alert('test');</script>'); //結果變成:<script>alert('test');</script>
2.2 後端過濾
2.2.1 java 一些框架自動工具類,
比如:org.springframework.web.util.HtmlUtils
public static void main(String[] args) { String content = "<script>alert('test');</script>"; System.out.println("content="+content); content = HtmlUtils.htmlEscape(content); System.out.println("content="+content); content = HtmlUtils.htmlUnescape(content); System.out.println("content="+content); }
但這樣有個問題,就是它全部的html標籤都不解析了。
可能這不是你想要的,你想要的是一部分解析,一部分不解析。好看下面。
2.2.2 自己用正則來完成你的需求
package top.lrshuai.blog.util;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
/**
*
* @author lrshuai
* @since 2017-10-13
* @version 0.0.1
*/
public class HTMLUtils {
/**
* 過濾所有HTML 標籤
* @param htmlStr
* @return
*/
public static String filterHTMLTag(String htmlStr) {
//定義HTML標籤的正則表示式
String reg_html="<[^>]+>";
Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
Matcher matcher=pattern.matcher(htmlStr);
htmlStr=matcher.replaceAll(""); //過濾html標籤
return htmlStr;
}
/**
* 過濾標籤,通過標籤名
* @param htmlStr
* @param tagName
* @return
*/
public static String filterTagByName(String htmlStr,String tagName) {
String reg_html="<"+tagName+"[^>]*?>[\\s\\S]*?<\\/"+tagName+">";
Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
Matcher matcher=pattern.matcher(htmlStr);
htmlStr=matcher.replaceAll(""); //過濾html標籤
return htmlStr;
}
/**
* 過濾標籤上的 style 樣式
* @param htmlStr
* @return
*/
public static String filterHTMLTagInStyle(String htmlStr) {
String reg_html="style=('|\")(.*?)('|\")";
Pattern pattern=Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
Matcher matcher=pattern.matcher(htmlStr);
htmlStr=matcher.replaceAll(""); //過濾html標籤
return htmlStr;
}
/**
* 替換表情
* @param htmlStr
* @param tagName
* @return
*/
public static String replayFace(String htmlStr) {
String reg_html="\\[em_\\d{1,}\\]";
Pattern pattern =Pattern.compile(reg_html,Pattern.CASE_INSENSITIVE);
Matcher matcher=pattern.matcher(htmlStr);
if(matcher.find()) {
matcher.reset();
while(matcher.find()) {
String num = matcher.group(0);
String number=num.substring(num.lastIndexOf('_')+1,num.length()-1);
htmlStr = html客棧Str.replace(num,"<img src='/face/arclist/"+number+".gif' border='0' />");
}
}
return htmlStr;
}
public static void main(String[] args) {
String html = "<script>alert('test');</script><img src='/face/arclist/5.gif' border='0' /><div style='position:fixs;s'></div><style>body{color:#fff;}</style><Style>body{color:#fff;}</Style><STYLE>body{color:#fff;}</STYLE>";JaStHq
System.out.println("html="+html);
html = HTMLUtils.filterTagByName(html,"style");
System.out.println("html="+html);
html = HTMLUtils.filterTagByName(html,"script");
System.out.println("html="+html);
html = HTMLUtils.filterHTMLTagInStyle(html);
System.out.println("html="+html);
}
}
java 過濾特殊字串升級版
ASCII碼中除了32之外還有160這個特殊的空格 db中的空格 不間斷空格->頁面上的 所產生的空格;
/** * 過濾特殊字元 * @param str * @return * * \u00A0 特殊的空格 */ public static String stringFilter (String str){ String regEx="[\\u00A0\\s\"`~!@#$%^&*()+=|{}':;',\\[\\].<>/?~!@#¥%……&*()——+|{}【】‘;:”“'。,、?]"; Pattern p = Pattern.compile(regEx); Matcher m = p.matcher(str); return m.replaceAll("").trim(); }
以上為個人經驗,希望能給大家一個參考,也希望大家多多支援我們。