2. 程式人生 > >java 防止 XSS 攻擊的常用方法

java 防止 XSS 攻擊的常用方法

阿新 發佈:2018-07-31
javax 編程 cape sap ins servlet space javascrip throws

1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.
2. 采用開源的實現 ESAPI library ,參考網址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

3. 可以采用spring 裏面提供的工具類來實現.

一, 第一種方法。
web.xml文件Filter配置

<!-- 配置防SQL註入過濾器 -->
    <filter>
        <filter-name>XssFilter</filter-name>
        <filter-class
 
>新編寫XssFilter路徑</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

編寫Filter過濾器

public class XSSFilter implements Filter {
    @Override
    public void
 
 init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void destroy() {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }
}

再實現 ServletRequest 的包裝類

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return stripXSS(value);
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It‘s highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="..." type of e-xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\‘(.*?)\\\‘", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) e-xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e-xpression(...) e-xpressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e-xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e-xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e-xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

例子中註釋的部分,就是采用 ESAPI library 來防止XSS攻擊的,推薦使用.

當然,我還看到這樣一種辦法,將所有的編程全角字符的解決方式,但個人覺得並沒有上面這種用正則表達式替換的好

private static String xssEncode(String s) {
        if (s == null || s.equals("")) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case ‘>‘:
                sb.append(‘>‘);// 全角大於號
                break;
            case ‘<‘:
                sb.append(‘<‘);// 全角小於號
                break;
            case ‘\‘‘:
                sb.append(‘\\‘);
                sb.append(‘\‘‘);
                sb.append(‘\\‘);
                sb.append(‘\‘‘);
                break;
            case ‘\"‘:
                sb.append(‘\\‘);
                sb.append(‘\"‘);// 全角雙引號
                break;
            case ‘&‘:
                sb.append(‘&‘);// 全角
                break;
            case ‘\\‘:
                sb.append(‘\‘);// 全角斜線
                break;
            case ‘#‘:
                sb.append(‘#‘);// 全角井號
                break;
            case ‘:‘:
                sb.append(‘:‘);// 全角冒號
                break;
            case ‘%‘:
                sb.append("\\\\%");
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }

當然,還有如下更簡單的方式:

private String cleanXSS(String value) {
                //You‘ll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("‘", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\‘][\\s]*javascript:(.*)[\\\"\\\‘]", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

在後臺或者用spring 如何實現呢:
首先添加一個jar包:commons-lang-2.5.jar ,然後在後臺調用這些函數:

StringEscapeUtils.escapeHtml(string); 
StringEscapeUtils.escapeJavaScript(string); 
StringEscapeUtils.escapeSql(string);

版權聲明:本文為博主原創文章,未經博主允許不得轉載。 https://blog.csdn.net/liaozhongping/article/details/48649389

java 防止 XSS 攻擊的常用方法

相關推薦

java 防止 XSS 攻擊常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

java 防止 XSS 攻擊常用方法總結.

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百

java 防止 XSS 攻擊常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

Java防止XSS攻擊

stream false end public catch while one 數據 tro 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Overr

php防止xss攻擊方法

其實就是過濾從表單提交來的資料,使用php過濾函式就可以達到很好的目的。 <?php   if (isset($_POST['name'])){       $str = trim($_POST['name']);  //清理空格     $str = stri

java介面防止XSS攻擊常用方法總結

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百

java防止跨站點XSS攻擊方法

com.frameworkset.common.filter.CharsetEncodingFilter CharsetEncodingFilter是不具備防止跨站攻擊功能的,但是為其增加兩個init-param引數後就可以了:     wallfilterrules 指定

java防止xss注入攻擊

後面附錄有三個.java文件 1.把文件拷進專案中(最好建立一個單獨的包存放),然後修改引入路徑,看到不報錯那麼第一步完成。 2.開啟web.xml配置檔案 <!--XSS注入攻擊--> <filter> <filter-name&

Java Web使用過濾器防止Xss攻擊,解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

django 防止xss攻擊標記為安全的二種方法

str='<a href="/page?page=1">1</a>' 一,在前端模板語言中實現,只須用到幫助函式safe.如:   {{ str|safe }}   二,在後端views中實現:   from django.utils.safestring impo

[前端]防止xss攻擊的最簡單方法

xss攻擊:跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻

java防止xss指令碼注入攻擊,採用spring工具類方式

XSSRequestWrapper.java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.ap

防止SpringMVC的XSS攻擊方法

XSS攻擊,即Cross Site Script,跨指令碼攻擊,往web頁面注入html程式碼或者script程式碼,造成頁面混亂。 HttpServletRequestWrapper 是HttpSe

java中String類常用方法、屬性等

col clas equal ack length ++ ava eal rgs package Head18; public class java09 { public static void main(String[] args) { St

開啟CSP網頁安全政策防止XSS攻擊

使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

特殊字符的過濾,防止xss攻擊

factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

java中String的常用方法

大寫 緩沖 let 常用方法 類型 http 全部 new 出現 轉自http://www.cnblogs.com/crazyac/articles/2012791.html java中String的常用方法1、length() 字符串的長度  例:char chars[]

CodeIgniter 防止XSS攻擊

rip file input 默認 嘗試 應該 而是 data scrip CodeIgniter 包含了跨站腳本攻擊的防禦機制,它可以自動地對所有POST以及COOKIE數據進行過濾,或者您也可以針對單個項目來運行它。默認情況下,它 不會 全局運行,因為這樣也需要一些執行

Spark中使用Java編程的常用方法

廣播 新的 json lambda表達式 aslist rom collect spl nal 原文引自:http://blog.sina.com.cn/s/blog_628cc2b70102w9up.html 一、初始化SparkContext System.setPr