防范XSS攻击

最新推荐文章于 2025-02-09 11:14:10 发布
原创 最新推荐文章于 2025-02-09 11:14:10 发布 · 206 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS

如何杜绝跨站脚本

• 输入输出过滤元字符

– <>

– ()

– &、#、%、?

• 输入输出转义元字符

– '<' → &lt; '>' → &gt;

– '&' → &amp;

– ' → %#027; " → &quot;

 

方法一、过滤特殊字符

如<script>、<img>、<iframe>……

示例代码:



import java.io.IOException;
import java.util.ArrayList;
import java.util.Enumeration;
import java.util.List;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * 防止XSS(Cross Site Script)攻击的Filter
 * 
 * 
 */
public class XSSDefendFilter implements Filter {

	public  static List<String> arrTagList = new ArrayList<String>();

	// public static boolean filterSwitch =
	// com.travelsky.caair.common.Para.xssFilterB2C;

	public XSSDefendFilter() {

		super();
		if (arrTagList.size() == 0) {// 过滤敏感HTML TAG

			arrTagList.add("<script");
			arrTagList.add("<embed");
			arrTagList.add("<style");
			arrTagList.add("<frame");
			arrTagList.add("<object");
			arrTagList.add("<iframe");
			arrTagList.add("<frameset");
			arrTagList.add("<meta");
			arrTagList.add("<xml");
			arrTagList.add("<applet");
			arrTagList.add("<link");
			arrTagList.add("onload");
			arrTagList.add("<img");
			arrTagList.add("<a");
			arrTagList.add("onmouse");
			arrTagList.add("onblur");
			arrTagList.add("onchange");
			arrTagList.add("onclick");
			arrTagList.add("ondblclick");
			arrTagList.add("onkey");
			arrTagList.add("onfocus");
			arrTagList.add("onselect");
		}
	}

	public void init(FilterConfig cfg) throws ServletException {
		// TODO Auto-generated method stub

	}

	@SuppressWarnings("unchecked")
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		boolean flag = false;
		Enumeration en = request.getParameterNames();
		String prtName = "-";
		String prtValue = "-";

		while (en.hasMoreElements()) {
			prtName = (String) en.nextElement();
			prtValue = request.getParameter(prtName);
			if (prtValue != null) {
				if (judgeTagByRegular(prtValue.toLowerCase())) {
					System.out.println("ERROR Filter:" + prtName + "="
							+ prtValue);
					flag = true;
					break;
				}
			}
		}

		if (!flag) {
			chain.doFilter(request, response);
		} else {// Error Process,如果有错误,大家自己定向到一个位置
			System.out.println("ERROR Filter:"
					+ ((HttpServletRequest) request).getRequestURI());

			((javax.servlet.http.HttpServletResponse) response)
					.sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp");
		}
	}

	/**
	 * 对arrTagList 的tag 用正则表达式封装
	 * 
	 * @param obj
	 * @return
	 */
	private boolean judgeTagByRegular(String obj)

	{

		Pattern pattern = Pattern
				.compile(
						"(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)",
						Pattern.CASE_INSENSITIVE);

		return pattern.matcher(obj).matches();

	}

	@SuppressWarnings("unused")
	private boolean judgeHasTag(String obj) {
		for (int i = 0; i < arrTagList.size(); i++) {
			String tt = arrTagList.get(i).toString();
			if (obj.indexOf(tt) >= 0) {
				return true;
			}
		}
		return false;
	}

	/*
	 * (non-Java-doc)
	 * 
	 * @see javax.servlet.Filter#destroy()
	 */
	public void destroy() {
		// TODO Auto-generated method stub
	}


}

  此方法有一定局限性,有很多可以绕过的方式:

<scRIpt>
<scr%00ript>
<scr\nript>
eval('<scr'+'ipt>')
< script >
...

 

方法二:还可以使用HTML和URL编码来避免问题。

   可以使用apache-lang包中的提供的方法,如下:

System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>"));
	
System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));

    使用以上方法会得到下面的结果:

&lt;iframe src='http://www.baidu.com'/&gt;
&lt;script&gt;alert('ok');&lt;/script&gt;

 

    这样经过html转义就可以防止html元素代码执行。方式XSS攻击。

Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4363
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie: httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
表单提交防范xss攻击
qq_40194668的博客
02-25 680
使用HTMLPurifier过滤过滤表单提交数据之后再进行数据插入数据表 1、定义过滤数据方法 function remove_xss($string){ //相对index.php入口文件,引入HTMLPurifier.auto.php核心文件 require_once './vendor/purifier/HTMLPurifier.auto.php'; // 生成配置对象 $cfg = HTMLPurifier_Config::
过滤用户输入元数据的文件
01-31
用360网站监测出现漏洞!建议过滤用户输入元数据,跟好几个客服联系后得到此文件!分享一下
关于正则表达式中的元字符过滤
dac55300424的专栏
05-20 1235
java使用String.replaceAll方法其实底层使用的也是正则,而若替换的目标字符串是经过用户输入
跨站脚本攻击xss_跨站脚本
cusi77914的博客
07-03 827
如今,大多数网站都在网页上添加了动态内容,使用户的体验更加愉悦。 动态内容是由某些服务器进程生成的内容,该内容在交付时可以根据用户的设置和需求表现并向用户显示不同的内容。 动态网站具有静态网站所没有的威胁,称为“跨站点脚本编制”,也称为“ XSS”。 “网页包含服务器生成并由客户端浏览器解释的文本和HTML标记。仅生成静态页面的网站能够完全控制浏览器用户如何解释这些页面。生成动态网站的网站...
常见的Web攻击及防御办法 - 重学计算机网络系列(5)
zhongjunhaoz的博客
09-08 824
Web攻击分类 简单的HTTP协议本身并不存在安全性问题,因此协议本身几乎不会成为攻击的对象。应用HTTP协议的服务器和客户端,以及运行在服务器上的Web应用等资源才是攻击目标。 web应用的攻击模式有以下两种 主动攻击(主要攻击服务器上的资源) SQL注入攻击 OS命令注入攻击 其他 被动攻击(主要攻击用户的资源和权限) 跨站脚本攻击 跨站点请求伪造 点击劫持(与跨站请求伪造手法相似) HTTP首部注入攻击 其他 跨站脚本攻击XSS) 跨站脚本攻击XSS)是指通过存在安全漏洞的Web.
用mod_security保障Web Services的安全
Magicbreaker的专栏
11-25 3937
用mod_security保障Web Services的安全作者:Shreeraj Shah;skater     来源:matrix.org.cn摘要:Web服务正在变为下一代web应用的一个完整部分。但是它也较容易被攻击。这些攻击的种类与传统的web应用所受到的攻击是相同的,但是形式上发生了变化。这些攻击会导致信息泄漏;另外,这些攻击有助于执行远程命令。通过使用WSDL,一个攻
如何防范 XSS 攻击
qq_38822390的博客
02-09 336
防范 XSS(跨站脚本攻击是确保 web 应用安全的重要措施。
Cookie 如何防范 XSS 攻击
超级罗伯特的博客
03-29 300
httponly-这个属性可以防止 XSS,它会禁止 javascript 脚本来访问 cookie。XSS(跨站脚本攻击)是指攻击者在返回的 HTML 中嵌入 javascript 脚本,为了减轻这。secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。结果应该是这样的:Set-Cookie=.....
PHP防范XSS攻击
IT部落格
03-03 2959
定义 XSS(Cross Site Scripting)攻击,中文名为跨站脚本攻击,是一种常见的网页攻击方式。 攻击者在web页面中插入一些恶意的javascript或HTML代码,当用户浏览该页面的时候,嵌入到web页面中的javascript/HTML代码会被执行,从而达到攻击目的。 一个简单的例子就是网页中的评论功能,用户编写一段javascript代码(见下面)提交到服务器,如果不做过滤就直接显示出来的话,就会导致用户一打开页面就会有弹窗提示“你被攻击了”。 <script>window
基于SpringBootSpringOAuth20MyBatis和Redis构建的轻量级前后端分离开源电商系统_防范XSS攻击集成分布式锁支持生产环境多实例部署数据.zip
10-05
在当前的软件开发领域...同时,通过防范XSS攻击、集成分布式锁以及支持生产环境多实例部署,大大提升了系统的性能和安全性。附赠的开发文档和说明文件则为开发人员提供了详尽的技术参考,使得整个项目更加完整和实用。
防范XSS攻击程序
07-29
用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
精选资源
轻量级、前后端分离、防范xss攻击、拥有分布式锁,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城
08-12
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
java web之xss漏洞修复
qq_35376719的博客
09-29 2601
修复跨站脚本攻击XSS)漏洞,无需更改项目源码
HTTPS 中间人攻击及其防范
KobeHoo的博客
10-09 1818
转自:https://rolandreed.cn/post/Man-In-Middle-Attack
含中间直流的三相电力电子变压器PET仿真模型(Simulink仿真实现)
12-16
含中间直流的三相电力电子变压器PET仿真模型(Simulink仿真实现)内容概要:本文档介绍了含中间直流环节的三相电力电子变压器(PET)的Simulink仿真模型,重点在于构建和模拟PET系统的核心结构与工作原理。该仿真模型涵盖了PET的前级整流、中间直流环节以及后级逆变部分,能够实现电能的高效转换与隔离,适用于研究PET在智能电网、新能源接入等场景下的动态特性与控制策略。通过Simulink平台,用户可对系统进行稳态与暂态性能分析,验证控制算法的有效性。; 适合人群:电气工程、电力电子及相关专业的高校师生、科研人员以及从事电力系统仿真的工程技术人员。; 使用场景及目标:①用于教学演示电力电子变压器的工作原理;②支撑科研项目中对PET控制策略(如电压、电流双闭环控制)的设计与验证;③为新型电力系统中电能变换装置的开发提供仿真基础。; 阅读建议:建议结合电力电子技术基础知识学习本仿真模型,重点关注各模块的参数设置与控制逻辑实现,建议动手搭建模型并进行仿真实验,以加深对PET系统运行机制的理解。
考虑柔性负荷的综合能源系统低碳经济优化调度【考虑碳交易机制】(Matlab代码实现)
最新发布
12-16
考虑柔性负荷的综合能源系统低碳经济优化调度【考虑碳交易机制】(Matlab代码实现)内容概要:本文围绕“考虑柔性负荷的综合能源系统低碳经济优化调度”展开,重点研究在碳交易机制下如何实现综合能源系统的低碳化与经济性协同优化。通过构建包含风电、光伏、储能、柔性负荷等多种能源形式的系统模型,结合碳交易成本与能源调度成本,提出优化调度策略,以降低碳排放并提升系统运行经济性。文中采用Matlab进行仿真代码实现,验证了所提模型在平衡能源供需、平抑可再生能源波动、引导柔性负荷参与调度等方面的有效性,为低碳能源系统的设计与运行提供了技术支撑。; 适合人群:具备一定电力系统、能源系统背景,熟悉Matlab编程,从事能源优化、低碳调度、综合能源系统等相关领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①研究碳交易机制对综合能源系统调度决策的影响;②实现柔性负荷在削峰填谷、促进可再生能源消纳中的作用;③掌握基于Matlab的能源系统建模与优化求解方法;④为实际综合能源项目提供低碳经济调度方案参考。; 阅读建议:建议读者结合Matlab代码深入理解模型构建与求解过程,重点关注目标函数设计、约束条件设置及碳交易成本的量化方式,可进一步扩展至多能互补、需求响应等场景进行二次开发与仿真验证。
大学怎样用AI工具3分钟生成技术成熟度报告?.docx
12-16
大学怎样用AI工具3分钟生成技术成熟度报告?
【云原生运维】基于Kubernetes的CI/CD全流程自动化:Spring Boot应用在容器化环境下的持续集成与部署实践
12-16
内容概要:本文详细展示了在Kubernetes环境下实现CI/CD全流程的完整示例,涵盖从代码提交、自动化构建、测试、安全扫描到多环境部署的各个环节。技术栈包括GitLab CI、Docker、Helm、Kustomize、Trivy等工具,并以Spring Boot应用为例,提供了Dockerfile、Kubernetes资源配置、Helm Chart结构以及蓝绿部署、金丝雀发布等高级部署策略的具体实现。同时,文章还介绍了GitOps(ArgoCD)、HPA自动扩缩容、Prometheus监控告警等增强能力,并强调了安全性、可靠性、可观测性和成本优化的最佳实践。; 适合人群:具备一定Kubernetes、容器化和DevOps基础知识,从事后端开发、运维或平台工程的技术人员,尤其是希望落地标准化CI/CD流程的团队成员; 使用场景及目标:①构建基于Kubernetes的企业级持续交付流水线;②实现安全可控的多环境自动化部署;③集成监控告警与弹性伸缩机制提升系统稳定性;④推动GitOps理念在团队中的实践落地; 阅读建议:建议结合实际Kubernetes集群环境,逐步复现文档中的各个步骤,重点关注CI/CD配置逻辑、部署策略差异及最佳实践部分,并将其适配到自身项目体系中进行持续优化。
防范xss攻击的函数
08-22
### 防范 XSS 攻击的常用函数和方法 XSS(跨站脚本攻击)是一种常见的 Web 安全漏洞,攻击者通过向网页中注入恶意脚本,使其他用户在浏览页面时执行这些脚本,从而窃取敏感信息或发起恶意操作。为了有效防范 XSS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值