2. 程式人生 > >預防XSS攻擊,(引數/響應值)特殊字元過濾

預防XSS攻擊,(引數/響應值)特殊字元過濾

阿新 發佈:2019-02-19

一、什麼是XSS攻擊
XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種型別的漏洞由於被黑客用來編寫危害性更大的網路釣魚(Phishing)攻擊而變得廣為人知。對於跨站指令碼攻擊,黑客界共識是:跨站指令碼攻擊是新型的“緩衝區溢位攻擊“,而JavaScript是新型的“ShellCode”。

二、XSS漏洞的危害
(1)網路釣魚,包括盜取各類使用者賬號;
(2)竊取使用者cookies資料,從而獲取使用者隱私資訊,或利用使用者身份進一步對網站執行操作;
(3)劫持使用者(瀏覽器)會話,從而執行任意操作,例如進行非法轉賬、強制發表日誌、傳送電子郵件等;
(4)強制彈出廣告頁面、刷流量等;
(5)網頁掛馬;
(6)進行惡意操作,例如任意篡改頁面資訊、刪除文章等;
(7)進行大量的客戶端攻擊,如DDoS攻擊;
(8)獲取客戶端資訊,例如使用者的瀏覽歷史、真實IP、開放埠等;
(9)控制受害者機器向其他網站發起攻擊;
(10)結合其他漏洞,如CSRF漏洞,實施進一步作惡;
(11)提升使用者許可權,包括進一步滲透網站;
(12)傳播跨站指令碼蠕蟲等;
……

三、如何編寫程式碼來避免
如下程式碼可以避免XSS注入,但是作者因知識面有限,故不能保證100%能完全將XSS攻擊者拒之門外,還需大家根據實際情況進行優化和改進。
既然我們通過程式碼來解決問題,就儘可能的不涉及開發人員的對原有程式碼修改,所以我們增加過濾器來攔截處理,本文原有框架使用springmvc。
1、IllegalCharacterFilter.java

package com.lenovo.common.filter;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import
 
 javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 非法字元過濾器,用來處理request.getParamater中的非法字元。如<script>alert('123');</script>
 * 
 * @author 單紅宇(365384722)
 * @myblog
 
 http://blog.csdn.net/catoop/
 * @create 2015年9月18日
 */
public class IllegalCharacterFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res,
            FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        request = new MHttpServletRequest(request);
        chain.doFilter(request, res);
    }

    @Override
    public void destroy() {

    }

}

2、MHttpServletRequest.java

package com.lenovo.common.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import com.lenovo.common.utils.XssShieldUtil;

/**
 * 引數特殊字元過濾
 *
 * @author   單紅宇(365384722)
 * @myblog  http://blog.csdn.net/catoop/
 * @create    2015年9月18日
 */
public class MHttpServletRequest extends HttpServletRequestWrapper {

    public MHttpServletRequest(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        // 返回值之前 先進行過濾
        return XssShieldUtil.stripXss(super.getParameter(XssShieldUtil.stripXss(name)));
    }

    @Override
    public String[] getParameterValues(String name) {
        // 返回值之前 先進行過濾
        String[] values = super.getParameterValues(XssShieldUtil.stripXss(name));
        if(values != null){
            for (int i = 0; i < values.length; i++) {
                values[i] = XssShieldUtil.stripXss(values[i]);
            }
        }
        return values;
    }

}

3、XssShieldUtil.java

package com.lenovo.common.utils;

import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import org.apache.commons.lang.StringUtils;

/**
 * 處理非法字元
 *
 * @author   單紅宇(365384722)
 * @myblog  http://blog.csdn.net/catoop/
 * @create    2015年9月18日
 */
public class XssShieldUtil {

    private static List<Pattern> patterns = null;

    private static List<Object[]> getXssPatternList() {
        List<Object[]> ret = new ArrayList<Object[]>();

        ret.add(new Object[]{"<(no)?script[^>]*>.*?</(no)?script>", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(javascript:|vbscript:|view-source:)*", Pattern.CASE_INSENSITIVE});
        ret.add(new Object[]{"<(\"[^\"]*\"|\'[^\']*\'|[^\'\">])*>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"(window\\.location|window\\.|\\.location|document\\.cookie|document\\.|alert\\(.*?\\)|window\\.open\\()*", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        ret.add(new Object[]{"<+\\s*\\w*\\s*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror=|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+\\s*=+", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL});
        return ret;
    }

    private static List<Pattern> getPatterns() {

        if (patterns == null) {

            List<Pattern> list = new ArrayList<Pattern>();

            String regex = null;
            Integer flag = null;
            int arrLength = 0;

            for(Object[] arr : getXssPatternList()) {
                arrLength = arr.length;
                for(int i = 0; i < arrLength; i++) {
                    regex = (String)arr[0];
                    flag = (Integer)arr[1];
                    list.add(Pattern.compile(regex, flag));
                }
            }

            patterns = list;
        }

        return patterns;
    }

    public static String stripXss(String value) {
        if(StringUtils.isNotBlank(value)) {

            Matcher matcher = null;

            for(Pattern pattern : getPatterns()) {
                matcher = pattern.matcher(value);
                // 匹配
                if(matcher.find()) {
                    // 刪除相關字串
                    value = matcher.replaceAll("");
                }
            }

            value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        }

//      if (LOG.isDebugEnabled())
//          LOG.debug("strip value: " + value);

        return value;
    }


    public static void main(String[] args) {

        String value = null;
        value = XssShieldUtil.stripXss("<script language=text/javascript>alert(document.cookie);</script>");
        System.out.println("type-1: '" + value + "'");

        value = XssShieldUtil.stripXss("<script src='' onerror='alert(document.cookie)'></script>");
        System.out.println("type-2: '" + value + "'");

        value = XssShieldUtil.stripXss("</script>");
        System.out.println("type-3: '" + value + "'");

        value = XssShieldUtil.stripXss(" eval(abc);");
        System.out.println("type-4: '" + value + "'");

        value = XssShieldUtil.stripXss(" expression(abc);");
        System.out.println("type-5: '" + value + "'");

        value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'></img>");
        System.out.println("type-6: '" + value + "'");

        value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'/>");
        System.out.println("type-7: '" + value + "'");

        value = XssShieldUtil.stripXss("<img src='' onerror='alert(document.cookie);'>");
        System.out.println("type-8: '" + value + "'");

        value = XssShieldUtil.stripXss("<script language=text/javascript>alert(document.cookie);");
        System.out.println("type-9: '" + value + "'");

        value = XssShieldUtil.stripXss("<script>window.location='url'");
        System.out.println("type-10: '" + value + "'");

        value = XssShieldUtil.stripXss(" onload='alert(\"abc\");");
        System.out.println("type-11: '" + value + "'");

        value = XssShieldUtil.stripXss("<img src=x<!--'<\"-->>");
        System.out.println("type-12: '" + value + "'");

        value = XssShieldUtil.stripXss("<=img onstop=");
        System.out.println("type-13: '" + value + "'");


    }
}

4、web.xml 配置

    <!-- 非法引數過濾器 -->
    <filter>
        <filter-name>IllegalCharacterFilter</filter-name>
        <filter-class>com.lenovo.common.filter.IllegalCharacterFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>IllegalCharacterFilter</filter-name>
        <url-pattern>*.do</url-pattern>
    </filter-mapping>

相關推薦

預防XSS攻擊(引數/響應)特殊字元過濾

一、什麼是XSS攻擊 XSS是一種經常出現在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。比如這些程式碼包括HTML程式碼和客戶端指令碼。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same or

Ajax 以GET方式請求時引數中包含 "#" 特殊字元的處理

現象 在使用 jquery 的ajax呼叫後臺的介面時,如果是get方式的話,當引數中含有”#”這些等對於URI而言有著特殊含義的符號時,發現“#”字元後面的資訊全被裁掉了。 比如: var url= "xxxx?name=" + "wz#aaa"

CSP(Content Security Policy)在一定程度上能預防XSS攻擊

在介紹CSP之前,我們先先來了解一下什麼是XSS攻擊? XSS攻擊:一種常見的跨指令碼web攻擊方式,它通過向瀏覽器注入一段可執行的惡意指令碼程式碼,並且被瀏覽器成功的執行來達到攻擊的目的。一次XSS攻擊可以獲取到使用者的聯絡方式,向用戶傳送詐騙資訊,甚至可以

如何發起、防禦和測試XSS攻擊我們用DVWA來學習(下)

上一篇我們瞭解了XSS攻擊的原理,並且利用DVWA嘗試了簡單的XSS攻擊,這一篇我們來實現更復雜的攻擊,然後探討防禦機制和測試理念。   前面我們通過指令碼注入讓網頁彈出了使用者cookie資訊,可以光彈窗是沒有什麼用的,接下來我們想辦法把這些資訊傳送出去。   2.1 使用反射型

springboot 、springmvc 預防xss 攻擊 自定義WebBindingInitializer 實現類

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework

Java Web使用過濾器防止Xss攻擊解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

js前端預防xss攻擊的方法

轉載自www.cnblogs.com/xdp-gacl/p/3722642.html一、用瀏覽器內部轉換器實現轉換 1.1.用瀏覽器內部轉換器實現html轉碼   首先動態建立一個容器標籤元素,如DIV,然後將要轉換的字串設定為這個元素的innerText(ie支援)或者t

Django之sql注入XSS攻擊CSRF攻擊原理及防護

sql注入的危害非法操作使用者資料庫的資料來獲取利益,通過修改資料庫來修改網頁的內容,注入木馬等比如下面的使用者登入時進行sql注入class LoginUnsafeView(View): def get(self,request): return r

springboot-防止sql注入xss攻擊cros惡意訪問

springboot-防止sql注入,xss攻擊,cros惡意訪問 文章目錄 springboot-防止sql注入,xss攻擊,cros惡意訪問 1.sql注入 2.xss攻擊 3.csrf/cros 完

防止XSS攻擊過濾程式碼

function remove_xss($string) {     if (!is_array($string)){        $string = trim($string);        $string = strip_tags($string);       

使用helmet.contentSecurityPolicy預防xss攻擊

In short: the CSP module sets the Content-Security-Policy header which can help protect against malicious injection of JavaScript, CSS, plugins, and more.T

前端 url 引數提交有特殊字元 的解決方法

用  JavaScript encodeURIComponent() 函式 定義和用法 encodeURIComponent() 函式可把字串作為 URI 元件進行編碼。 語法 encodeURIComponent(URIstring)

Tomcat6.0下請求url帶特殊字元|、\等導致解析出錯

Tomcat6.0下,請求url帶特殊字元|、\等導致解析出錯 背景 由於人力問題,最近被叫去搞下Java web ,幫忙做公司的一個老系統,用的是jdk6 和tomcat6,而我自己電腦之前裝的是jdk1.7和tomcat7 ,覺得應該沒什麼關係就懶得去換。但是前兩天遇

C#隱情資訊(銀行賬戶身份證號碼名字)中間部分特殊字元替換(*)

C#隱私資訊(銀行賬戶,身份證號碼,名字)中間部分特殊字元替換(*) 最近做到一個關於銀行的一個功能模組,需要將隱私資訊銀行賬號中間部分用*代替,於是寫下了,如下程式碼: /// <summary> /// 將傳入的字串中間部分

儲存型XSS攻擊的簡單處理以及資料庫查詢過濾多個欄位重複資料

 問題:儲存型Xss是由於form表單提交的資料,前端和後臺未進行過濾,將一些javascript的腳步語言存入資料庫中。導致再次查詢資料的時候瀏覽器會執行該腳步語言。如:<script>alert("XSS")</script>。 解決方案:主要是後臺的過

靜態頁面如何接收引數以及解決特殊字元的編碼問題

在某些情況下,需要為跳轉的靜態檔案傳遞引數,這時候 不像動態頁面一樣 有request,session等內建作用域物件,所以只能手動去解析了。 window.onload=function(){ var message = getUrlVars()["mes

smb 連線判斷資料夾是否存在登陸密碼含有特殊字元的情況

package Util; import java.net.InetAddress; import java.net.UnknownHostException; import jcifs.UniAddress; import jcifs.smb.NtlmPasswordAu

前端傳遞引數包含+%等特殊字元的時候後臺獲取不到的問題

 public static String stringUncode(String param) {         if (param != null && !param.trim()

url傳特殊字元編碼

為什麼需要Url編碼 通常如果一樣東西需要編碼,說明這樣東西並不適合傳輸。原因多種多樣,如Size過大,包含隱私資料,對於Url來說,之所以要進行編碼,是因為Url中有些字元會引起歧義。 Url編碼的原則就是使用安全的字元(沒有特殊用途或者特殊意義的可列印字元)去表

IOS POST引數 需要處理特殊字元

在IOS NSURLConnection使用過程中,不知道大家有木有遇到過一個問題,就是當你post引數時,如果引數中還有特殊字元,引數就面目全非了,“C++”就變為“C”了,在度娘和資料的幫助下,發現只要將這些特殊字元在轉之前處理一下,就可以正常POST了。程