xss (跨站脚本攻击) 解决方案之 antisamy

最新推荐文章于 2025-09-13 15:54:17 发布
原创 最新推荐文章于 2025-09-13 15:54:17 发布 · 2.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了XSS(跨站脚本攻击)的原因,并提供了一个解决方案——使用开源的antisamy框架。通过引入antisamy的Maven依赖,自定义过滤器并在web.xml中配置,对用户请求数据进行过滤,有效防止XSS攻击。

问题原因:对网站用户提交的数据(请求数据)未做处理。

XXS原理分析参考:http://netsecurity.51cto.com/art/201408/448305_all.htm:点击打开链接


解决方案:引入开源antisamy框架

解决过程:

1.导入依赖

maven依赖:

<dependencies>

    <dependency>

    <groupId>org.owasp.antisamy</groupId>

    <artifactId>antisamy</artifactId>

    <version>1.5.3</version>

    </dependency>

  </dependencies>



或者直接下载相关jar包。

2.自定义过滤器,对指定请求进行过滤,在web.xml中添加



package com.shopping.rsnet.filter;


import java.io.IOException;


import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;


import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


public class XssFilter implements Filter {  
@Suppress
最低0.47元/天 解锁文章
跨站脚本攻击XSS案例及其解决方案
若华‘的博客
01-03 7488
跨站脚本攻击XSS 目录 案例一:留言板的XSS攻击 利用xss窃取用户名密码 案例二:输入框的XSS攻击 怎么预防 服务端可以干的事 客户端可以干的事 跨站脚本攻击(Cross Site Script为了区别于CSS简称为XSS)指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 案例一...
AntiSamy:防 XSS 攻击的一种解决方案使用教程
华仔仔的博客
07-05 3713
XSS跨站脚本攻击(Cross Site Scripting) 的简称,为不和 CSS(Cascading Style Sheets) 混淆,故将跨站脚本攻击缩写为 XSS. XSS 是指恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。有点类似于 SQL 注入。当网站攻击者发现这个漏洞,并攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie 等各
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat即可。 启动Tomcat后,会自动解压缩War包,如需更改过滤配置,可以修改 webapps\XssFilter3\WEB-INF\conf\antisamy-config.xml 保存后,重启Tomcat即可生效。 默认WebService地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter .net环境下得到wsdl的地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter?wsdl
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1872
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamyxss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
常用的XSS漏洞防御手段,看这一篇文章就够了!
最新发布
Cairo_A的博客
09-13 1002
XSS全称跨站脚本(Cross Site Scripting),为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能,在HTML页面里嵌入恶意代码。当用户浏览改页时,这些潜入在HTML中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的,如 cookie窃取等。
antisamy策略文件.zip
12-25
常见和不常见的都在这里:antisamy-anythinggoes-1.4.4.xml antisamy-anythinggoes.xml antisamy-ebay-1.4.4.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot-1.4.4.xml antisamy-slashdot.xml antisamy-tinymce-1.4.4.xml antisamy-tinymce.xml antisamy.xml
.net 跨站脚本攻击XSS)漏洞的解决方案
笨笨鸟吃柠檬的专栏
09-06 8466
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。一般用来盗取浏览器cookie 2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。 危害...
xss跨站点脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
ASP.NET 下 XSS 跨站脚本攻击的过滤方法
热门推荐
李琦的BLOG
11-08 1万+
做 WEB 开发当然要防止跨站脚本攻击了,尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。 有些开发者选择了将所有Html内容都过滤掉,但是这些不适合有些需要将自定义内容开放给用户的网站,比如淘宝、cnblogs、优快云这样的网站。 在 .net 下也有一些 Xss 过滤工具,但是这些工具都会将HTML过滤的很彻底,比如会将: 文字 过滤成 文字
XSS脚本注入拦截框架 antisamy
04-06
虽然AntiSamy在移除恶意代码方面表现卓越,但安全领域中没有任何解决方案可以做到百分之百的防护。AntiSamy的成功取决于策略文件的严格程度以及浏览器行为的可预测性。作为一款净化框架,如何实现净化则由用户自行...
OWASP列举的Web应用程序十大安全漏洞 - 跨站脚本 (XSS攻击)
qq_31142237的博客
02-11 452
跨站脚本 (XSS攻击) 1、原理 Cross Site Scripting,XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS 向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 基于存储的XSS攻击,是通过发表带有恶意跨域脚本的帖子/文章,从而把恶意脚本存储在服务器,每
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
免费下载 antisamy策略文件及其使用说明.zip
08-20
antisamy.xml,antisamy-anythinggoes.xml,antisamy-ebay.xml,antisamy-myspace.xml,antisamy-slashdot.xml,antisamy-tinymce.xml
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xmlantisamy-ebay.xmlantisamy-myspace.xmlantisamy-anythinggoes.xmlantisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
Java防止xss攻击jar包
03-29
Java防止xss攻击依赖jar包
防止XSS攻击xssProtect用到的jar包
11-04
防止XSS攻击xssProtect用到的jar包(antlr-3.0.1,antlr-runtime-3.0.1xssProtect-0.1
C#进阶之路:深度剖析XSS漏洞与解决方案
远程部署调试 运行安装 项目调试 二次开发 项目技术新 持续迭代 部分源码免费分享
03-22 1812
XSS,即跨站脚本攻击(Cross - Site Scripting) ,是一种非常普遍且危险的 Web 安全漏洞。它的核心原理是攻击者巧妙地将恶意脚本注入到 Web 页面中。当毫无防备的用户浏览这些被注入恶意脚本的页面时,浏览器会将这些恶意脚本当作正常的页面内容进行执行,而这恰恰中了攻击者的圈套。攻击者可以通过 XSS 攻击实现多种恶意目的,如窃取用户的敏感信息、篡改页面内容、劫持用户会话等,对用户的隐私和网站的安全构成了严重威胁。
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 562
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
跨站脚本攻击
weixin_30379531的博客
05-19 186
什么是跨站脚本攻击 跨站攻击,即Cross Site Script Execution(通常简写为XSS)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 跨站脚本攻击的产生是因为程序员在写程序时候的考虑不周,当然,也可能是根本没有考虑。安全方面有一句著...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值