2. 程式人生 > >Struts2 Xss 攻擊預防的處理

Struts2 Xss 攻擊預防的處理

阿新 發佈:2019-01-02

關於XSS問題的處理,此前在部落格 http://blog.csdn.net/catoop/article/details/50338259 中寫過處理方法。剛好最近朋友有問到“在Struts2中按文章中那樣處理無效”,後來驗證了下發現,Struts2 對請求的二次封裝有所不同,於是針對Struts2如何處理XSS問題,按照本文的方法可以解決。

其主要思路就是,重寫了StrutsPrepareAndExecuteFilter過濾器。

正常情況下我們在web.xml 中配置StrutsPrepareAndExecuteFilter的程式碼為:

…………
    <filter>
        <filter
 
-name>struts2</filter-name>
        <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
    </filter>
…………

將文章後面的幾個類儲存到專案中後,修改web.xml 的配置,指定我們新的MStrutsPrepareAndExecuteFilter類,程式碼如下:

…………
    <filter>
        <filter-name>struts2</filter
 
-name>
        <filter-class>cn.gx.wedding.common.struts2.MStrutsPrepareAndExecuteFilter</filter-class>
    </filter>
…………

下面是相關的4個類原始碼(直接下載附件也行)
MDispatcher.java
MMultiPartRequestWrapper.java
MStrutsPrepareAndExecuteFilter.java
MStrutsRequestWrapper.java

這裡說明下,因為struts2的原始碼中這4個類存在緊密的依賴耦合,所以只能把這4個類都重寫出來,實際上其中並沒有修改什麼(詳見MMultiPartRequestWrapper.java 和 MStrutsRequestWrapper.java)。

package cn.gx.wedding.common.struts2;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.dispatcher.StrutsRequestWrapper;

import cn.gx.wedding.util.XssShieldUtil;

public class MStrutsRequestWrapper extends StrutsRequestWrapper {

    public MStrutsRequestWrapper(HttpServletRequest req) {
        super(req);
    }
    
    public MStrutsRequestWrapper(HttpServletRequest req, boolean bool) {
        super(req, bool);
    }

    @Override
    public String getParameter(String name) {
        name = XssShieldUtil.stripXss(name);
        // 返回值之前 先進行過濾
        return XssShieldUtil.stripXss(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        name = XssShieldUtil.stripXss(name);
        // 返回值之前 先進行過濾
        String[] values = super.getParameterValues(name);
        if(values != null){
            for (int i = 0; i < values.length; i++) {
                values[i] = XssShieldUtil.stripXss(values[i]);
            }
        }
        return values;
    }

    @Override
    public Enumeration<String> getParameterNames() {
//        Enumeration<String> names = super.getParameterNames();
//        while(names.hasMoreElements()){
//            String name = names.nextElement();
//            name = XssShieldUtil.stripXss(name);
//        }
//        return names;
        
        return super.getParameterNames();
    }
    
}

package cn.gx.wedding.common.struts2;

import java.io.File;
import java.io.IOException;
import java.util.Map;

import javax.servlet.ServletContext;
import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.StrutsConstants;
import org.apache.struts2.dispatcher.Dispatcher;
import org.apache.struts2.dispatcher.StrutsRequestWrapper;
import org.apache.struts2.dispatcher.multipart.MultiPartRequest;
import org.apache.struts2.dispatcher.multipart.MultiPartRequestWrapper;

import com.opensymphony.xwork2.LocaleProvider;
import com.opensymphony.xwork2.inject.Inject;
import com.opensymphony.xwork2.util.logging.Logger;
import com.opensymphony.xwork2.util.logging.LoggerFactory;

public class MDispatcher extends Dispatcher {

    /**
     * Provide a logging instance.
     */
    private static final Logger LOG = LoggerFactory.getLogger(MDispatcher.class);
    
    /**
     * Store state of StrutsConstants.DISABLE_REQUEST_ATTRIBUTE_VALUE_STACK_LOOKUP setting.
     */
    private boolean disableRequestAttributeValueStackLookup;
    
    private ServletContext servletContext;
    private Map<String, String> initParams;

    private String multipartSaveDir;
    
    /**
     * Store state of StrutsConstants.STRUTS_DEVMODE setting.
     */
    private boolean devMode;
    
    public MDispatcher(ServletContext servletContext, Map<String, String> initParams) {
        super(servletContext, initParams);
        this.servletContext = servletContext;
        this.initParams = initParams;
    }
    
    @Override
    public HttpServletRequest wrapRequest(HttpServletRequest request, ServletContext servletContext)
            throws IOException {
         // don't wrap more than once
        if (request instanceof StrutsRequestWrapper) {
            return request;
        }

        String content_type = request.getContentType();
        if (content_type != null && content_type.contains("multipart/form-data")) {
            MultiPartRequest mpr = getMultiPartRequest();
            LocaleProvider provider = getContainer().getInstance(LocaleProvider.class);
            request = new MMultiPartRequestWrapper(mpr, request, getSaveDir(servletContext), provider);
        } else {
            request = new MStrutsRequestWrapper(request, disableRequestAttributeValueStackLookup);
        }

        return request;
    }

    private String getSaveDir(ServletContext servletContext) {
        String saveDir = multipartSaveDir.trim();

        if (saveDir.equals("")) {
            File tempdir = (File) servletContext.getAttribute("javax.servlet.context.tempdir");
            if (LOG.isInfoEnabled()) {
            LOG.info("Unable to find 'struts.multipart.saveDir' property setting. Defaulting to javax.servlet.context.tempdir");
            }

            if (tempdir != null) {
                saveDir = tempdir.toString();
                setMultipartSaveDir(saveDir);
            }
        } else {
            File multipartSaveDir = new File(saveDir);

            if (!multipartSaveDir.exists()) {
                if (!multipartSaveDir.mkdirs()) {
                    String logMessage;
                    try {
                        logMessage = "Could not find create multipart save directory '" + multipartSaveDir.getCanonicalPath() + "'.";
                    } catch (IOException e) {
                        logMessage = "Could not find create multipart save directory '" + multipartSaveDir.toString() + "'.";
                    }
                    if (devMode) {
                        LOG.error(logMessage);
                    } else {
                        if (LOG.isWarnEnabled()) {
                            LOG.warn(logMessage);
                        }
                    }
                }
            }
        }

        if (LOG.isDebugEnabled()) {
            LOG.debug("saveDir=" + saveDir);
        }

        return saveDir;
    }
    
    /**
     * Modify state of StrutsConstants.STRUTS_MULTIPART_SAVEDIR setting.
     * @param val New setting
     */
    @Override
    @Inject(StrutsConstants.STRUTS_MULTIPART_SAVEDIR)
    public void setMultipartSaveDir(String val) {
        multipartSaveDir = val;
    }
    
    /**
     * Modify state of StrutsConstants.STRUTS_DEVMODE setting.
     * @param mode New setting
     */
    @Override
    @Inject(StrutsConstants.STRUTS_DEVMODE)
    public void setDevMode(String mode) {
        devMode = "true".equals(mode);
    }
}

package cn.gx.wedding.common.struts2;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;

import org.apache.struts2.dispatcher.multipart.MultiPartRequest;
import org.apache.struts2.dispatcher.multipart.MultiPartRequestWrapper;

import cn.gx.wedding.util.XssShieldUtil;

import com.opensymphony.xwork2.LocaleProvider;

public class MMultiPartRequestWrapper extends MultiPartRequestWrapper {

    public MMultiPartRequestWrapper(MultiPartRequest multiPartRequest, HttpServletRequest request, String saveDir,
            LocaleProvider provider) {
        super(multiPartRequest, request, saveDir, provider);
    }

    @Override
    public String getParameter(String name) {
        name = XssShieldUtil.stripXss(name);
        // 返回值之前 先進行過濾
        return XssShieldUtil.stripXss(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        name = XssShieldUtil.stripXss(name);
        // 返回值之前 先進行過濾
        String[] values = super.getParameterValues(name);
        if(values != null){
            for (int i = 0; i < values.length; i++) {
                values[i] = XssShieldUtil.stripXss(values[i]);
            }
        }
        return values;
    }

    @Override
    public Enumeration<String> getParameterNames() {
//        Enumeration<String> names = super.getParameterNames();
//        while(names.hasMoreElements()){
//            String name = names.nextElement();
//            name = XssShieldUtil.stripXss(name);
//        }
//        return names;
        
        return super.getParameterNames();
    }
    
}

package cn.gx.wedding.common.struts2;

import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.FilterConfig;
import javax.servlet.ServletException;

import org.apache.struts2.dispatcher.Dispatcher;
import org.apache.struts2.dispatcher.ng.ExecuteOperations;
import org.apache.struts2.dispatcher.ng.HostConfig;
import org.apache.struts2.dispatcher.ng.InitOperations;
import org.apache.struts2.dispatcher.ng.PrepareOperations;
import org.apache.struts2.dispatcher.ng.filter.FilterHostConfig;
import org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter;

public class MStrutsPrepareAndExecuteFilter extends StrutsPrepareAndExecuteFilter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        InitOperations init = new InitOperations();
        Dispatcher dispatcher = null;
        try {
            FilterHostConfig config = new FilterHostConfig(filterConfig);
            init.initLogging(config);
            dispatcher = initDispatcher(config);
            init.initStaticContentLoader(config, dispatcher);

            prepare = new PrepareOperations(filterConfig.getServletContext(), dispatcher);
            execute = new ExecuteOperations(filterConfig.getServletContext(), dispatcher);
            this.excludedPatterns = init.buildExcludedPatternsList(dispatcher);

            postInit(dispatcher, filterConfig);
        } finally {
            if (dispatcher != null) {
                dispatcher.cleanUpAfterInit();
            }
            init.cleanup();
        }
    }

    /**
     * Creates and initializes the dispatcher
     */
    public Dispatcher initDispatcher(HostConfig filterConfig) {
        Dispatcher dispatcher = createDispatcher(filterConfig);
        dispatcher.init();
        return dispatcher;
    }

    /**
     * Create a {@link Dispatcher}
     */
    private Dispatcher createDispatcher(HostConfig filterConfig) {
        Map<String, String> params = new HashMap<String, String>();
        for (Iterator e = filterConfig.getInitParameterNames(); e.hasNext();) {
            String name = (String) e.next();
            String value = filterConfig.getInitParameter(name);
            params.put(name, value);
        }
        return new MDispatcher(filterConfig.getServletContext(), params);
    }
}

原文地址:https://yq.aliyun.com/articles/7126#

相關推薦

Struts2 Xss 攻擊預防處理

關於XSS問題的處理,此前在部落格 http://blog.csdn.net/catoop/article/details/50338259 中寫過處理方法。剛好最近朋友有問到“在Struts2中按文章中那樣處理無效”,後來驗證了下發現,Struts2 對請求的二次封裝有所不同,於是針對Struts2如

XSS攻擊過濾處理

sca move ogg while 子郵件 oid ole 其他 bst 關於XSS攻擊 XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 XSS漏洞的危害 網絡釣魚,包括盜取各類用戶賬號; 竊取用戶co

Struts2修復xss攻擊

struts2 Xss攻擊預防概述 struts版本:2.3.4.1tomcat版本:6 第一種修復方法 參考文章:https://yq.aliyun.com/articles/7126 (不過安全按照該方法無法修復,只能參考思路) 重寫StrutsPrepareAndExecuteFilter,註冊自

XSS攻擊(出現的原因、預防措施......)

上傳 實體 ont bug google 驗證方式 nbsp Go 彈框 驗證XSS攻擊重點不是去查找可輸入哪些內容會出現什麽樣的bug就是測試XSS攻擊,重點是了解它出現的原理,為什麽會出現XSS攻擊,導致一些問題出現?如何防禦與解決XSS攻擊?以下我將簡單

php對前臺提交的表單資料做安全處理(防SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

bbs專案引入富文字編輯器和處理xss攻擊和文章預覽

一、富文字編輯上傳文章和圖片   富文字編輯器我們使用kindeditor,我們首先去官網下載,然後解壓,放到我們的static的目錄中     然後我們在html中這樣使用富文字編輯器 <!DOCTYPE html> <html lang

springboot 、springmvc 預防xss 攻擊 自定義WebBindingInitializer 實現類

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework

java後端處理XSS攻擊

解決方法新增三個類即可: XssFilter類如下: import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import or

儲存型XSS攻擊的簡單處理以及資料庫查詢過濾多個欄位重複資料

 問題:儲存型Xss是由於form表單提交的資料,前端和後臺未進行過濾,將一些javascript的腳步語言存入資料庫中。導致再次查詢資料的時候瀏覽器會執行該腳步語言。如:<script>alert("XSS")</script>。 解決方案:主要是後臺的過

js前端預防xss攻擊的方法

轉載自www.cnblogs.com/xdp-gacl/p/3722642.html一、用瀏覽器內部轉換器實現轉換 1.1.用瀏覽器內部轉換器實現html轉碼   首先動態建立一個容器標籤元素,如DIV,然後將要轉換的字串設定為這個元素的innerText(ie支援)或者t

Struts2.3 以及 2.5 過濾 xss攻擊 的一種解決方案

Struts 2.3 本方案採用struts2的攔截器過濾,將提交上來的引數轉碼來解決。 配置struts.xml <package name="default" namespace="

一個簡單XSS攻擊示例及處理

最近專案被第三方工具掃描出來有一個Http head xss cross scripting漏洞,為了修復這個,順便研究了一下跨站指令碼攻擊的原理, 跨站指令碼攻擊基本上就是sql注入的html版, 核心內容就是把一段精心設計的指令碼通過網頁中的html漏洞由HTTP GET/POST傳給伺服器並執行. X

Web攻擊手段--XSS攻擊預防策略

XSS(Cross Site Scripting)攻擊的全稱是跨站指令碼攻擊,跨站指令碼攻擊的方式是惡意攻擊者在網頁中嵌入惡意指令碼程式,當用戶開啟網頁的時候指令碼程式便在客戶端執行,盜取客戶的cookie及使用者名稱和密碼,下載執行病毒及木馬程式,甚至獲得客戶端的admi

Spring MVC通過攔截器處理sql注入、跨站XSS攻擊風險(jeecg)

最近一個以前做的政府網站被資訊保安部門掃描了一下,存在一些風險,發了一份安全報告過來。所以開始對這個網站進行安全性升級。其中主要的幾個問題是sql注入風險、跨站xss攻擊和連結注入問題。 首先,什麼是sql注入,度娘一下一大堆,官方語言我就不多說了,說說我自己

使用helmet.contentSecurityPolicy預防xss攻擊

In short: the CSP module sets the Content-Security-Policy header which can help protect against malicious injection of JavaScript, CSS, plugins, and more.T

預防XSS攻擊,(引數/響應值)特殊字元過濾

一、什麼是XSS攻擊 XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same or

CSP(Content Security Policy),在一定程度上能預防XSS攻擊

在介紹CSP之前,我們先先來了解一下什麼是XSS攻擊? XSS攻擊:一種常見的跨指令碼web攻擊方式,它通過向瀏覽器注入一段可執行的惡意指令碼程式碼,並且被瀏覽器成功的執行來達到攻擊的目的。一次XSS攻擊可以獲取到使用者的聯絡方式,向用戶傳送詐騙資訊,甚至可以

關於xss攻擊

訪問者 登錄 pan 文章 數據 參數 innerhtml 興趣 成功 關於xss攻擊 網上相關的介紹很多,一搜索也是一大堆,這裏我就對自己感興趣的一些內容做個總結。 成因:xss是將惡意代碼(多是JavaScript)插入html代碼中。 分類: 1、 反射型 2

j2ee之struts2表單細節處理

serial method blog submit sym this 同時 pac onu /struts-tags中自帶了很多標簽 比如一個簡單的登錄表單,其中自帶了很多的樣式,實際上如果你不需要用到struts的實際功能的時候不建議使用      <s:form

xss攻擊與防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab