防范XSS攻击

最新推荐文章于 2025-02-09 11:14:10 发布
原创 最新推荐文章于 2025-02-09 11:14:10 发布 · 206 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS

如何杜绝跨站脚本

• 输入输出过滤元字符

– <>

– ()

– &、#、%、?

• 输入输出转义元字符

– '<' → &lt; '>' → &gt;

– '&' → &amp;

– ' → %#027; " → &quot;

 

方法一、过滤特殊字符

如<script>、<img>、<iframe>……

示例代码:



import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止XSS(Cross Site Script)攻击的Filter
 * 
 * 
 */
public class XSSDefendFilter implements Filter {

	public  static List<String> arrTagList = new ArrayList<String>();

	// public static boolean filterSwitch =
	// com.travelsky.caair.common.Para.xssFilterB2C;

	public XSSDefendFilter() {

		super();
		if (arrTagList.size() == 0) {// 过滤敏感HTML TAG

			arrTagList.add("<script");
			arrTagList.add("<embed");
			arrTagList.add("<style");
			arrTagList.add("<frame");
			arrTagList.add("<object");
			arrTagList.add("<iframe");
			arrTagList.add("<frameset");
			arrTagList.add("<meta");
			arrTagList.add("<xml");
			arrTagList.add("<applet");
			arrTagList.add("<link");
			arrTagList.add("onload");
			arrTagList.add("<img");
			arrTagList.add("<a");
			arrTagList.add("onmouse");
			arrTagList.add("onblur");
			arrTagList.add("onchange");
			arrTagList.add("onclick");
			arrTagList.add("ondblclick");
			arrTagList.add("onkey");
			arrTagList.add("onfocus");
			arrTagList.add("onselect");
		}
	}

	public void init(FilterConfig cfg) throws ServletException {
		// TODO Auto-generated method stub

	}

	@SuppressWarnings("unchecked")
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		boolean flag = false;
		Enumeration en = request.getParameterNames();
		String prtName = "-";
		String prtValue = "-";

		while (en.hasMoreElements()) {
			prtName = (String) en.nextElement();
			prtValue = request.getParameter(prtName);
			if (prtValue != null) {
				if (judgeTagByRegular(prtValue.toLowerCase())) {
					System.out.println("ERROR Filter:" + prtName + "="
							+ prtValue);
					flag = true;
					break;
				}
			}
		}

		if (!flag) {
			chain.doFilter(request, response);
		} else {// Error Process,如果有错误,大家自己定向到一个位置
			System.out.println("ERROR Filter:"
					+ ((HttpServletRequest) request).getRequestURI());

			((javax.servlet.http.HttpServletResponse) response)
					.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
		}
	}

	/**
	 * 对arrTagList 的tag 用正则表达式封装
	 * 
	 * @param obj
	 * @return
	 */
	private boolean judgeTagByRegular(String obj)

	{

		Pattern pattern = Pattern
				.compile(
						"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
						Pattern.CASE_INSENSITIVE);

		return pattern.matcher(obj).matches();

	}

	@SuppressWarnings("unused")
	private boolean judgeHasTag(String obj) {
		for (int i = 0; i < arrTagList.size(); i++) {
			String tt = arrTagList.get(i).toString();
			if (obj.indexOf(tt) >= 0) {
				return true;
			}
		}
		return false;
	}

	/*
	 * (non-Java-doc)
	 * 
	 * @see javax.servlet.Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}


}

  此方法有一定局限性,有很多可以绕过的方式:

<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...

 

方法二:还可以使用HTML和URL编码来避免问题。

   可以使用apache-lang包中的提供的方法,如下:

System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
	
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));

    使用以上方法会得到下面的结果:

&lt;iframe src='http://www.baidu.com'/&gt;
&lt;script&gt;alert('ok');&lt;/script&gt;

 

    这样经过html转义就可以防止html元素代码执行。方式XSS攻击。

Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4364
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie: httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
表单提交防范xss攻击
qq_40194668的博客
02-25 680
使用HTMLPurifier过滤过滤表单提交数据之后再进行数据插入数据表 1、定义过滤数据方法 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './vendor/purifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::
过滤用户输入元数据的文件
01-31
用360网站监测出现漏洞!建议过滤用户输入元数据,跟好几个客服联系后得到此文件!分享一下
关于正则表达式中的元字符过滤
dac55300424的专栏
05-20 1235
java使用String.replaceAll方法其实底层使用的也是正则,而若替换的目标字符串是经过用户输入
跨站脚本攻击xss_跨站脚本
cusi77914的博客
07-03 827
如今,大多数网站都在网页上添加了动态内容,使用户的体验更加愉悦。 动态内容是由某些服务器进程生成的内容,该内容在交付时可以根据用户的设置和需求表现并向用户显示不同的内容。 动态网站具有静态网站所没有的威胁,称为“跨站点脚本编制”,也称为“ XSS”。 “网页包含服务器生成并由客户端浏览器解释的文本和HTML标记。仅生成静态页面的网站能够完全控制浏览器用户如何解释这些页面。生成动态网站的网站...
常见的Web攻击及防御办法 - 重学计算机网络系列(5)
zhongjunhaoz的博客
09-08 824
Web攻击分类 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。 web应用的攻击模式有以下两种 主动攻击(主要攻击服务器上的资源) SQL注入攻击 OS命令注入攻击 其他 被动攻击(主要攻击用户的资源和权限) 跨站脚本攻击 跨站点请求伪造 点击劫持(与跨站请求伪造手法相似) HTTP首部注入攻击 其他 跨站脚本攻击XSS) 跨站脚本攻击XSS)是指通过存在安全漏洞的Web.
用mod_security保障Web Services的安全
Magicbreaker的专栏
11-25 3938
用mod_security保障Web Services的安全作者:Shreeraj Shah;skater     来源:matrix.org.cn摘要:Web服务正在变为下一代web应用的一个完整部分。但是它也较容易被攻击。这些攻击的种类与传统的web应用所受到的攻击是相同的,但是形式上发生了变化。这些攻击会导致信息泄漏;另外,这些攻击有助于执行远程命令。通过使用WSDL,一个攻
如何防范 XSS 攻击
qq_38822390的博客
02-09 339
防范 XSS(跨站脚本攻击是确保 web 应用安全的重要措施。
Cookie 如何防范 XSS 攻击
超级罗伯特的博客
03-29 300
httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie。XSS(跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本,为了减轻这。secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。结果应该是这样的:Set-Cookie=.....
PHP防范XSS攻击
IT部落格
03-03 2959
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
基于SpringBootSpringOAuth20MyBatis和Redis构建的轻量级前后端分离开源电商系统_防范XSS攻击集成分布式锁支持生产环境多实例部署数据.zip
10-05
在当前的软件开发领域...同时,通过防范XSS攻击、集成分布式锁以及支持生产环境多实例部署,大大提升了系统的性能和安全性。附赠的开发文档和说明文件则为开发人员提供了详尽的技术参考,使得整个项目更加完整和实用。
防范XSS攻击程序
07-29
用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
精选资源
轻量级、前后端分离、防范xss攻击、拥有分布式锁,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城
08-12
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
java web之xss漏洞修复
qq_35376719的博客
09-29 2603
修复跨站脚本攻击XSS)漏洞,无需更改项目源码
针对WEB服务器的攻击途径和防范措施
liufangaliya的专栏
08-10 5192
对策: 1:停止运行不需要的软件 2:定期实施漏洞防范措施 3:对不需要对外公开的端口或者服务加以访问限制,      通过端口扫描确认各端口服务状态(工具:Nmap(windows版)) 4:提高认证强度(https,实名认证,数据加的密码MD5加密) 出现过的安全问题: 1:服务器被黑客攻击,导致防问网站很慢 2:注册短信被黑客随机用程序模拟攻击,导致短信发送完毕,注册
汽车内饰皮革,全球前34强生产商排名及市场份额(by QYResearch).pdf
12-18
汽车内饰皮革,全球前34强生产商排名及市场份额(by QYResearch).pdf
数据库复习.xmind
12-18
数据库复习.xmind
参数估计Picard迭代在非线性常微分方程参数估计中的应用研究(Matlab代码实现)
最新发布
12-18
【参数估计】Picard迭代在非线性常微分方程参数估计中的应用研究(Matlab代码实现)内容概要:本文围绕“Picard迭代在非线性常微分方程参数估计中的应用研究”展开,介绍了如何利用Picard迭代法对非线性常微分方程进行参数估计,并提供了基于Matlab的代码实现。文中详细阐述了Picard迭代的基本原理及其在参数估计中的具体应用步骤,结合实例展示了算法的实现过程与效果,验证了该方法在处理非线性系统参数辨识问题中的有效性与实用性。同时,文档还提及该研究属于一系列科研辅导资源的一部分,涵盖多个工程与科学计算领域。; 适合人群:具备一定数学基础和Matlab编程能力的研究生、科研人员及从事系统建模与仿真工作的工程技术人员。; 使用场景及目标:①学习并掌握Picard迭代法在非线性微分方程参数估计中的应用;②通过Matlab代码实现加深对迭代算法和参数辨识过程的理解;③为相关领域的科学研究和技术开发提供方法支持与实践参考。; 阅读建议:建议读者结合文中提供的Matlab代码进行实际操作,对照理论推导过程逐步调试运行,深入理解算法细节。同时可参考文档中提到的其他相关资源,拓展在优化算法、系统建模与仿真等方面的知识体系。
chromedriver-mac-x64-144.0.7559.31(Beta).zip
12-18
chromedriver-mac-x64-144.0.7559.31(Beta).zip
防范xss攻击的函数
08-22
### 防范 XSS 攻击的常用函数和方法 XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过向网页中注入恶意脚本,使其他用户在浏览页面时执行这些脚本,从而窃取敏感信息或发起恶意操作。为了有效防范 XSS 攻击,可以采用以下函数和方法。 #### 1. 使用 `htmlspecialchars` 或 `htmlentities` 进行转义 在输出用户输入内容时,使用 `htmlspecialchars` 或 `htmlentities` 函数对特殊字符进行 HTML 实体编码,防止浏览器将其解析为可执行脚本。这是防范 XSS 最基础且有效的手段之一。 例如,在 PHP 中使用 `htmlspecialchars`: ```php echo htmlspecialchars($user_input, ENT_QUOTES, 'UTF-8'); ``` 类似地,`htmlentities` 也可用于更全面的字符编码: ```php echo htmlentities($user_input, ENT_QUOTES, 'gb2312'); ``` 该方法确保用户输入的 `<script>` 标签、特殊符号等不会被浏览器执行[^2]。 #### 2. 自定义过滤函数清理潜在危险字符 通过编写自定义函数对输入内容进行深度清理,包括去除特殊字符、替换非法编码、过滤恶意标签等。以下是一个用于防范 XSS 的自定义函数示例: ```php function clean_xss(&$string, $low = false) { if (!is_array($string)) { $string = trim($string); $string = strip_tags($string); $string = htmlspecialchars($string); if ($low) return true; $string = str_replace(array('"', "\\", "'", "/", "..", "../", "./", "//"), '', $string); $no = '/%0[0-8bcef]/'; $string = preg_replace($no, '', $string); $no = '/%1[0-9a-f]/'; $string = preg_replace($no, '', $string); $no = '/[\x00-\x08\x0B\x0C\x0E-\x1F\x7F]+/S'; $string = preg_replace($no, '', $string); return true; } $keys = array_keys($string); foreach ($keys as $key) { clean_xss($string[$key]); } } ``` 该函数结合了字符串清理、正则表达式过滤和编码转换,能有效抵御多种 XSS 攻击尝试[^1]。 #### 3. 使用 HTML Purifier 库进行安全过滤 HTML Purifier 是一个专门用于清理 HTML 内容的安全库,能够识别并移除潜在的恶意代码,同时保留合法的 HTML 标签和属性。它比简单的字符串替换更加安全和灵活。 以下是一个使用 HTML Purifier 的示例函数: ```php function remove_xss($string) { require_once './plugins/htmlpurifier/HTMLPurifier.auto.php'; $cfg = HTMLPurifier_Config::createDefault(); $cfg->set('Core.Encoding', 'UTF-8'); $cfg->set('HTML.Allowed', 'div,b,strong,i,em,a[href|title],ul,ol,li,br,p[style],span[style],img[width|height|alt|src]'); $cfg->set('CSS.AllowedProperties', 'font,font-size,font-weight,font-style,font-family,text-decoration,padding-left,color,background-color,text-align'); $cfg->set('HTML.TargetBlank', true); $obj = new HTMLPurifier($cfg); return $obj->purify($string); } ``` 此方法适用于需要允许部分 HTML 标签的场景,如富文本编辑器内容过滤,同时保持安全性[^3]。 #### 4. 设置 CSP(内容安全策略)头 除了在代码层面进行过滤,还可以通过 HTTP 响应头设置 Content-Security-Policy(CSP),限制页面中哪些资源可以加载和执行。CSP 是一种强有力的防御机制,能够有效阻止内联脚本和外部恶意脚本的执行。 例如,设置 CSP 头以禁止内联脚本: ```http Content-Security-Policy: script-src 'self'; ``` 这种方式可以在浏览器层面拦截大部分 XSS 攻击,是防御策略的重要补充。 #### 5. 严格控制用户输入格式 在接收用户输入时,使用白名单机制对输入内容进行验证,确保其符合预期格式。例如,使用正则表达式限制邮箱、电话、用户名等字段的输入格式,防止非法字符进入系统。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值