2. 程式人生 > >使用filter過濾xss攻擊

使用filter過濾xss攻擊

阿新 發佈:2019-02-18

 http://winnie825.iteye.com/blog/1170833

先說一下實現思路:

1. 使用正則表示式的方式實現指令碼過濾,這個方法準確率較高,但是可能根據不能的要求會變動;

2. 為了保證配置靈活(包括正則表示式靈活),使用xml配置檔案的方式記錄配置資訊,配置資訊包含是否開啟校驗、是否記錄日誌、是否中斷請求、是否替換指令碼字元等;

3. 為保證xml與正則表示式的特殊字元不衝突,使用<![CDATA[]]>標籤存放正則表示式,但是在類中需要特殊處理;

4. 通過繼承HttpRequestWrapper的方式實現request中header和parameter資訊過濾;

5. xml解析使用dom4j,稍後會對這個工具的使用寫一篇文章,暫時辛苦大家去網站查詢資料(這篇文章很不錯http://www.ibm.com/developerworks/cn/xml/x-dom4j.html);

6. 使用XSSSecurityManager類實現配置資訊載入和處理,XSSSecurityConfig記錄匹配資訊,XSSSecurityCon標識程式所需常量;

功能實現流程

Java程式碼  收藏程式碼
  1. package com.sg.security;  
  2. import java.io.IOException;  
  3. import java.util.Enumeration;  
  4. import java.util.Map;  
  5. import java.util.Set;  
  6. import javax.servlet.ServletException;  
  7. import javax.servlet.http.HttpServletRequest;  
  8. import javax.servlet.http.HttpServletRequestWrapper;  
  9. import javax.servlet.http.HttpServletResponse;  
  10. /** 
  11.  * @author winnie 
  12.  * @date  
  13.  * @describe request資訊封裝類,用於判斷、處理request請求中特殊字元
     
  14.  */
  15. publicclass XSSHttpRequestWrapper extends HttpServletRequestWrapper {  
  16.     /** 
  17.      * 封裝http請求 
  18.      * @param request 
  19.      */
  20.     public XSSHttpRequestWrapper(HttpServletRequest request) {  
  21.         super(request);  
  22.     }  
  23.     @Override
  24.     public String getHeader(String name) {  
  25.         String value = super.getHeader(name);  
  26.         // 若開啟特殊字元替換,對特殊字元進行替換
  27.         if(XSSSecurityConfig.REPLACE){  
  28.             XSSSecurityManager.securityReplace(name);  
  29.         }  
  30.         return value;  
  31.     }  
  32.     @Override
  33.     public String getParameter(String name) {  
  34.         String value = super.getParameter(name);  
  35.         // 若開啟特殊字元替換,對特殊字元進行替換
  36.         if(XSSSecurityConfig.REPLACE){  
  37.             XSSSecurityManager.securityReplace(name);  
  38.         }  
  39.         return value;  
  40.     }  
  41.     /** 
  42.      * 沒有違規的資料,就返回false; 
  43.      *  
  44.      * @return 
  45.      */
  46.     @SuppressWarnings("unchecked")  
  47.     privateboolean checkHeader(){  
  48.         Enumeration<String> headerParams = this.getHeaderNames();  
  49.         while(headerParams.hasMoreElements()){  
  50.             String headerName = headerParams.nextElement();  
  51.             String headerValue = this.getHeader(headerName);  
  52.             if(XSSSecurityManager.matches(headerValue)){  
  53.                 returntrue;  
  54.             }  
  55.         }  
  56.         returnfalse;  
  57.     }  
  58.     /** 
  59.      * 沒有違規的資料,就返回false; 
  60.      *  
  61.      * @return 
  62.      */
  63.     @SuppressWarnings("unchecked")  
  64.     privateboolean checkParameter(){  
  65.         Map<String,Object> submitParams = this.getParameterMap();  
  66.         Set<String> submitNames = submitParams.keySet();  
  67.         for(String submitName : submitNames){  
  68.             Object submitValues = submitParams.get(submitName);  
  69.             if(submitValues instanceof String){  
  70.                 if(XSSSecurityManager.matches((String)submitValues)){  
  71.                     returntrue;  
  72.                 }  
  73.             }elseif(submitValues instanceof String[]){  
  74.                 for(String submitValue : (String[])submitValues){  
  75.                     if(XSSSecurityManager.matches((String)submitValue)){  
  76.                         returntrue;  
  77.                     }  
  78.                 }  
  79.             }  
  80.         }  
  81.         returnfalse;  
  82.     }  
  83.     /** 
  84.      * 沒有違規的資料,就返回false; 
  85.      * 若存在違規資料,根據配置資訊判斷是否跳轉到錯誤頁面 
  86.      * @param response 
  87.      * @return 
  88.      * @throws IOException  
  89.      * @throws ServletException  
  90.      */
  91.     publicboolean validateParameter(HttpServletResponse response) throws ServletException, IOException{  
  92.         // 開始header校驗,對header資訊進行校驗
  93.         if(XSSSecurityConfig.IS_CHECK_HEADER){  
  94.             if(this.checkHeader()){  
  95.                 returntrue;  
  96.             }  
  97.         }  
  98.         // 開始parameter校驗,對parameter資訊進行校驗
  99.         if(XSSSecurityConfig.IS_CHECK_PARAMETER){  
  100.             if(this.checkParameter()){  
  101.                 returntrue;  

  102. 相關推薦

    使用filter過濾xss攻擊

     http://winnie825.iteye.com/blog/1170833 先說一下實現思路: 1. 使用正則表示式的方式實現指令碼過濾,這個方法準確率較高,但是可能根據不能的要求會變動; 2. 為了保證配置靈活(包括正則表示式靈活),使用xml配置檔案的方式記錄配置資訊,配置資訊包含是否開啟

    Java Filter過濾xss註入非法參數的方法

    nbsp rst let efi fin author ssa html 空串 http://blog.csdn.NET/feng_an_qi/article/details/45666813 Java Filter過濾xss註入非法參數的方法 web.xml:

    Struts2.3 以及 2.5 過濾 xss攻擊 的一種解決方案

    Struts 2.3 本方案採用struts2的攔截器過濾,將提交上來的引數轉碼來解決。 配置struts.xml <package name="default" namespace="

    Java Filter過濾xss注入非法引數的方法

    http://blog.csdn.net/feng_an_qi/article/details/45666813 web.xml: <filter>        <filter-name>XSSFiler&l

    特殊字符的過濾,防止xss攻擊

    factor change 源碼 ive ride ray react list css 概念 XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算

    JAVA覆寫Request過濾XSS跨站腳本攻擊

    getpara header term implement nbsp super exceptio stream elements 註:本文非本人原著。 demo的地址:鏈接:http://pan.baidu.com/s/1miEmHMo 密碼:k5ca 如何過濾

    變量安全過濾,防止xss攻擊

    轉義 javascrip dai post ash time return 空格 去除 下面這個方法不管是字符串還是數組,都可以進行過濾 /** * @purpose : 對變量進行安全過濾,使 $_GET、$_POST、$q->record 等變量更安全

    XSS攻擊過濾處理

    sca move ogg while 子郵件 oid ole 其他 bst 關於XSS攻擊 XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。 XSS漏洞的危害 網絡釣魚,包括盜取各類用戶賬號; 竊取用戶co

    儲存型XSS攻擊的簡單處理以及資料庫查詢過濾多個欄位重複資料

     問題:儲存型Xss是由於form表單提交的資料,前端和後臺未進行過濾,將一些javascript的腳步語言存入資料庫中。導致再次查詢資料的時候瀏覽器會執行該腳步語言。如:<script>alert("XSS")</script>。 解決方案:主要是後臺的過

    PHP XSS攻擊過濾

    https://gist.github.com/ozkanozcan/3378054  老外寫的 function removeXSS($val) {    $val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/'

    防禦XSS攻擊:基於白名單的富文字XSS後端過濾(jsoup)

    簡介: 跨站指令碼攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。  攻擊原

    防止XSS攻擊過濾程式碼

    function remove_xss($string) {     if (!is_array($string)){        $string = trim($string);        $string = strip_tags($string);       

    預防XSS攻擊,(引數/響應值)特殊字元過濾

    一、什麼是XSS攻擊 XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same or

    絕對好用的安全Filter(過濾SQL和XSS)

    最近被安保測評搞得頭疼,本來網站上有XSS處理,程式碼也是參考網路,結果發現不好使。此處呵呵了。。。。 一般情況下百度出來的結果都

    關於xss攻擊

    訪問者 登錄 pan 文章 數據 參數 innerhtml 興趣 成功 關於xss攻擊 網上相關的介紹很多,一搜索也是一大堆,這裏我就對自己感興趣的一些內容做個總結。 成因:xss是將惡意代碼(多是JavaScript)插入html代碼中。 分類: 1、 反射型 2

    PHP.25-TP框架商城應用實例-後臺1-添加商品功能、鉤子函數、在線編輯器、過濾XSS、上傳圖片並生成縮略圖

    引用傳遞 none move 名稱 textarea 如果 library time fields 添加商品功能   1、創建商品控制器【C】  /www.test.com/shop/Admin/Controller/GoodsController.class.php

    xss攻擊與防禦

    font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

    XSS攻擊

    aid splay post including itl ati lease one doc XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往web頁面裏插入惡意的html代碼,當用戶瀏覽該頁之時,嵌入其中web裏面的html

    開啟CSP網頁安全政策防止XSS攻擊

    使用 interval party tex cnblogs png 內嵌腳本 target span 一、簡介   CSP是網頁安全政策(Content Security Policy)的縮寫。是一種由開發者定義的安全性政策申明,通過CSP所約束的責任指定可信的內容來源,

    angularjs中是否選擇所有和$filter過濾orderBy排序

    class spl clas tran 列表 -c derby 過濾 elf HTML代碼: <table class="table table-bordered table-list table-striped no-margin-bottom"> &l