2. 程式人生 > >XSS安全漏洞的幾種修復方式

XSS安全漏洞的幾種修復方式

阿新 發佈:2019-01-10

什麼是XSS

跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS,跨站指令碼攻擊指的是惡意攻擊者往Web頁面裡插入惡意的html,javaScript程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html,javaScript程式碼會被執行,從而達到惡意的特殊目的,如,盜取使用者Cookie、破壞頁面結構、重定向到其它網站等。不過,因為是一種被動的攻擊手法,沒有相應的軟體來完成自動化攻擊,對website有http-only、crossdomian.xml(接下來會介紹這兩種方法)沒有用,有一定機率不成功,而且還耗時間,所以xss現在是一門熱門但不太受重視的Web攻擊手法。

XSS攻擊解決辦法

一、SpringMVC架構下@InitBinder方法
Controller方法的引數型別可以是基本型別,也可以是封裝後的普通Java型別。若這個普通Java型別沒有宣告任何註解,則意味著它的每一個屬性都需要到Request中去查詢對應的請求引數,服務端通過Request的getParameter方法取到的引數都是字串形式,WebDataBinder的作用就是把字串形式的引數轉換成服務端真正需要的型別。
每次請求到來後的引數解析都會利用WebDataBinderFactory建立一個binder物件,然後從這個binder中取得最終解析好的引數物件。WebDataBinderFactory是在InvocableHandlerMethod中定義的,即不同的Controller方法有著不同的WebDataBinderFactory。
@InitBinder用於在@Controller中標註於方法,表示為當前控制器註冊一個屬性編輯器或者其他,只對當前的Controller有效,所以要用@InitBinder實現過濾輸入,轉義輸出,就必須在每個需要的Controller中使用@InitBinder,我的方法就是建立一個BaseController,每個需要實現此業務的都去繼承它。

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.InitBinder;

@Controller
public class BaseController {
    @InitBinder
    public void webInitBinder(WebDataBinder binder){
        binder.registerCustomEditor(String.class, new
 
 StringEditor());
    }
}

public class StringEditor extends PropertyEditorSupport {
    @Override
    public void setAsText(String text) throws IllegalArgumentException {
        if (StringUtils.isBlank(text)) {
            return;
        }

        try {
            //Spring自帶html標籤轉義與反轉義
            super.setValue(HtmlUtils.htmlEscape(text));
        } catch (Exception e) {
            throw new IllegalArgumentException(e);
        }
    }
}

二、WebBindingInitializer
WebBindingInitializer:實現WebBindingInitializer,重寫initBinder註冊的屬性編輯器是全域性的屬性編輯器,對所有的Controller都有效

public class WebBinderInitializerUtils implements WebBindingInitializer{

    @Override
    public void initBinder(WebDataBinder binder, WebRequest request) {
        binder.registerCustomEditor(String.class,new StringEditor());
    }
}

public class StringEditor extends PropertyEditorSupport {
    @Override
    public void setAsText(String text) throws IllegalArgumentException {
        if (StringUtils.isBlank(text)) {
            return;
        }

        try {
            //Spring自帶html標籤轉義與反轉義
            super.setValue(HtmlUtils.htmlEscape(text));
        } catch (Exception e) {
            throw new IllegalArgumentException(e);
        }
    }
}

    <bean class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">
        <property name="cacheSeconds" value="0"/>
        <property name="webBindingInitializer">
            <bean class="cn.gov.wu.biz.utils.WebBinderInitializerUtils"/>
        </property>
    </bean>

注:低於3.2版本的Spring請使用AnnotationMethodHandlerAdapter,我的Spring版本為4.2.1.RELEASE,所以配置項中使用RequestMappingHandlerAdapter,因為AnnotationMethodHandlerAdapter已經廢棄掉了

這裡寫圖片描述

三、HttpOnly
如果在cookie中設定了HttpOnly屬性,那麼通過javaScript指令碼將無法讀取到cookie資訊,這樣能有效的防止XSS攻擊,但是注意,只是不能讀取,但是可以覆蓋,攻擊者如果發現網站的XSS漏洞,就可以利用HttpOnly cookie發動session fixation攻擊。

response.setHeader("Set-Cookie", "cookiename=value;
Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");

相關推薦

XSS安全漏洞修復方式

什麼是XSS 跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS,跨站指令碼攻擊指的是惡意攻擊者往Web頁面裡插入惡意的html,ja

Tomcat容器管理安全驗證方式

https://my.oschina.net/itblog/blog/678845?fromerr=mnnjJA0O 摘要: 本文介紹如何使用容器(這裡指tomcat)來進行安全管理。 當訪問伺服器中受保護的資源時,容器管理的驗證方法可以控制確認使用者身份的方式。T

iOS中保證執行緒安全方式與效能對比

一、前言 前段時間看了幾個開源專案,發現他們保持執行緒同步的方式各不相同,有@synchronized、NSLock、dispatch_semaphore、NSCondition、pthread_mutex、OSSpinLock。後來網上查了一下,發現他們的實現機制各不相同,效能也各不一

php中常用的加密方式以及md5加密漏洞以及解決方案

一、md5(php中的最常用的加密方式) 在用md5進行加密時,至少要將md5加密兩次以上(包含兩次),或者再加上鹽進行加密 二、password_hash(php5.5以上版本才可以使用) 官方說明連結:http://www.php.net/manual/zh/function.pas

Java多執行緒有哪實現方式? Java中的類如何保證執行緒安全? 請說明ThreadLocal的用法和適用場景(面試題)

Java多執行緒有哪幾種實現方式? Java中的類如何保證執行緒安全? 請說明ThreadLocal的用法和適用場景 Java多執行緒有三種實現方式: (1)繼承Thread類,重寫run函式 (2)實現Runnable介面,重寫run函式 開啟執行緒:Thread t

實現執行緒安全方式

1、synchronized關鍵字修飾 sychronized method(){} sychronized (objectReference) {/*block*/} static synchronized method(){} sychro

網站安全常見的網路攻擊方式

 * syn flood: 一個使用者向伺服器傳送syn報文後,如果伺服器在發出sys+ack報文後無法收到客戶端ack報文,這種情況下伺服器端一般會重試(再次傳送syn+ack給客戶端),並等待

索引的掃描方式

http table 技術分享 -1 9.png alt logs image 索引 索引的幾種掃描方式

使用mui框架打開頁面的不同方式

oid 上拉加載 nload 用戶體驗 logs left bsp position wait 1.創建子頁面: list.html就是index.html的子頁面,創建代碼比較簡單,如下: mui.init({ subpages: [{

連接到Oracle的命名方式

oracle 連接從事Oracle相關工作的人,每天都會使用各種工具連接到Oracle數據庫,比如:SQL*Plus、PL/SQL、TOAD、SQLDeveloper等等,下面就列舉了幾種連接到Oracle的方式,本例中使用的是SQL*Plus為例。1、Easy Connect命名方式這種方式是一種很簡單的方

使用java配置定時任務的配置方式及示例

遞增 exc trigge strong trigger except 字符 ssi uart Spring定時器,主要有兩種實現方式,包括Java Timer定時和Quartz定時器! 1.Java Timer定時 首先繼承java.util.TimerTask類實現

mysql的啟動方式

sta allow status option 客戶端連接 mini all res 5.1 mysql的四種啟動方式: 1、mysqld 啟動mysql服務器:./mysqld --defaults-file=/etc/my.cnf --user=root 客戶端連接:

Python模塊常用的安裝方式

author 位置 def 位操作 依賴關系 依賴 模塊 sys.path 此外 Python模塊安裝 一、 單文件模塊直接把文件拷貝到 $python_dir/Lib 二、 多文件模塊,帶setup.pypython setup.py install 三、 egg文件1)

SSH免登陸ESXI讓操作更便捷安全常用工具)

esxi vmware ssh工具 免登陸 授權訪問通常在企業環境中,管理員很少去機房在物理機面前進行操作,大部分管理員喜歡遠程管理主機,這樣既方便又高效。在windows上我們使用遠程桌面,在Linux上則使用SSH來連接。ESXi就是一個以Linux為核心改寫的操作系統,因此ESXi中也保留了SSH

JAVA獲取文件的常用方式

ada col epo term 打印 core book port nbsp 1、user.dir System.out.println(System.getProperty("user.dir")); 此方獲取的是運行的路 比如 1、 2、如果在eclipse上運

單例模式的實現方式

str 類加載 代碼 創建對象 stat 懶漢 導致 方法 不支持 1、懶漢式,線程不安全 是否 Lazy 初始化:是 是否多線程安全:否 實現難度:易 描述:這種方式是最基本的實現方式,這種實現最大的問題就是不支持多線程。因為沒有加鎖 synchronized,所以嚴格意

Selenium-等待方式

什麽 頻率 一次 進行 utf 可執行 /usr baidu 超過 強制等待   一直使用的time.sleep(5),可以放在任意地方,不好的地方,不太準確確定時間 隱形等待   driver.implicitly_wait(5)     設置了一個最長等待時間,如果在規

jmeter ---json讀取方式,ArrayList循環讀取

導入 一起 .com json數據格式 jmeter ips pos processor 直接   在之前寫過提取json數據格式的文章,這次對jmeter讀取json數據格式進行整理。   舉例一個接口的response 格式如下: { "data" : {

微軟 WCF的寄宿方式,寄宿IIS、寄宿winform、寄宿控制臺、寄宿Windows服務

創建 src 體驗 ash pos 如果 理解 文件 .get WCF寄宿方式是一種非常靈活的操作,可以在IIS服務、Windows服務、Winform程序、控制臺程序中進行寄宿,從而實現WCF服務的運行,為調用者方便、高效提供服務調用。本文分別對這幾種方式進行詳細介紹並開

索引的使用方式

查找 浪費 相對 掃描 遇到 l數據庫 系統 需求 mem HASH Hash這個詞,可以說,自打我們開始碼的那一天起,就開始不停地見到和使用到了。其實,hash就是一種(key=>value)形式的鍵值對,如數學中的函數映射,允許多個key對應相同的value,但不