xss攻击解决方案

原创 已于 2025-03-15 17:07:05 修改 · 2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#解决方案 #安全漏洞 #web应用 #XSS

于 2017-10-26 18:01:18 首次发布

概念

xss攻击:全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

xss攻击测试

//web环境
//表单输入框输入以下攻击脚本,提交表单,可测试简单脚本攻击:
"/> <script>alert(document.cookie);</script><!--
"/><script>window.open("http://ncna2.com:9050/bwp/login.do?theAction=login&param=")</script><!--

xss攻击解决方案

1.使用拦截器,拦截携带敏感字符请求

2.使用过滤器实现,过滤敏感字符,这里只介绍filter

2.1web.xml配置
<filter>
	<filter-name>xssAndSQLFilter</filter-name>
	<filter-class>*.XSSFilter</filter-class>
	<init-param>
		<param-name>excludeCSSandSQLs</param-name>
		<param-value>para_value;theAction;password;userNosStr;userNos.user_no;url;icon;tlist;jobdirt;remark;REMARK;ename;packagename;filepath;urlpath;role.name;email;warning_email_content;ids</param-value>
	</init-param>
	<init-param>
		<param-name>rejectCSSandSQLs</param-name>
		<param-value>script;truncate;insert;select;delete;update;';";=;{;}; or ;(;);alert;confirm;cookie;|;$;+;/;,</param-value>
	</init-param>
</filter>
<filter-mapping>
	<filter-name>xssAndSQLFilter</filter-name>
	<url-pattern>*.do</url-pattern>
</filter-mapping>
2.2filter内部实现

public class XSSFilter implements Filter {

	private static final Logger log=LoggerFactory.getLogger(XSSFilter.class);
	
    /** 
     * 排除部分参数key不做过滤 
     */  
    private static List<String> excludeCSSandSQLs = new ArrayList<String>();  
    
    /** 
     * 预防xss和sql注入黑名单参数值value
     */  
    private static List<String> rejectCSSandSQLs = new ArrayList<String>();  
    
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		
		//不过滤的请求参数key
		String[] excludeCSSandSQLs = filterConfig.getInitParameter("excludeCSSandSQLs").trim().split(";");
		Collections.addAll(this.excludeCSSandSQLs, excludeCSSandSQLs);
		//过滤的参数value
		String str = filterConfig.getInitParameter("rejectCSSandSQLs") + ";<;>;%;&";
		String[] rejectCSSandSQLs = str.split(";");
		Collections.addAll(this.rejectCSSandSQLs, rejectCSSandSQLs);
		this.rejectCSSandSQLs.add(";");
	}
    
	@Override
	public void doFilter(ServletRequest arg0, ServletResponse arg1, FilterChain chain)
			throws IOException, ServletException {
		// TODO Auto-generated method stub
		HttpServletRequest request = (HttpServletRequest) arg0;
		HttpServletResponse response = (HttpServletResponse) arg1;
		//HttpSession session = request.getSession();
		String pathInfo = request.getPathInfo() == null ? "" : request.getPathInfo();  
        String url = request.getServletPath() + pathInfo;  
        //String uri = request.getRequestURI(); 
        
        //boolean isNoticeUrl = false;  
        //1.获取请求所有参数,校验防止SQL注入,防止XSS漏洞  
        Enumeration<?> params = request.getParameterNames();  
        String paramN = null;  
        while (params.hasMoreElements()) {  
            paramN = (String) params.nextElement();  
            String paramVale = request.getParameter(paramN);  
            if (!paramN.toLowerCase().contains("password")) {  
            	log.info(paramN + "==" + paramVale);  
            }

            //排除部分不做过滤的参数key		同时		校验xss或者sql攻击敏感关键词
            if(!excludeCSSandSQLs.contains(paramN) && checkSQLInject(paramVale, url)){
            	//返回错误信息页面
            	request.setAttribute("errMsg", "xss或sql攻击拦截,包含敏感字符" + paramVale);
            	request.getRequestDispatcher("/WEB-INF/xsserrorInfo.jsp").forward(request, response);
            	break;
            }
        }  

		chain.doFilter(request, response);
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub
	}

    /** 
     * 检查是否存在非法字符,防止SQL注入 
     * @param str 被检查的字符串 
     * @param url 请求url
     * @return ture-字符串中存在非法字符,false-不存在非法字符 
     */  
    public static boolean checkSQLInject(String str, String url) {  
        if (StringTool.isNullOrEmpty(str)) {
        	// 如果传入空串则认为不存在非法字符  
            return false;
        }  
        
        for (String field : rejectCSSandSQLs) {
        	if (str.indexOf(field) >= 0) {  
        		if (!field.toLowerCase().contains("password")) {  
                	log.info("xss或者sql注入防攻击拦截url:" + url + ",原因:特殊字符,传入str=" + str + ",包含特殊字符:" + field);  
                }
                return true;  
            } 
		}
        return false;  
    }  
}
XSS攻击的解决方法
weixin_33877092的博客
02-28 933
在我上一篇《前端安全之XSS攻击》文中,并没有把XSS攻击的解决办法说完整,而XSS攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今天通过阅读《白帽子讲Web安全》这本书,对应对方式有了更好的总结,分为两类,一是服务端可以干的事,二是客户端可以干的事。 前提 在说XSS解决方式时,有一个前提。就是同源策略——浏览器的同源策略(浏览器安全的...
Web安全之XSS攻击解决方案
thisIsDennis的博客
03-17 704
一.XSS介绍 网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
【2025版】最新前端必知的跨站脚本攻击XSS)示例与解决方案(非常详细),从零基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
06-16 1308
O了,看破就是要说破,我是V哥,一个永远18的程序员,喜欢广交天下志同道合的朋友,喜欢分享技术经验,讲真,这会促进我的荷尔蒙分泌,所以会一直坚持下去,欢迎关注威哥爱编程,技术路上我们一起成长。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学,目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
XSS攻击原理和解决方法
芦金宇的专栏
09-23 1374
概述 XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌。 ...
关于xss攻击解决方案
susanliy的博客
01-11 3226
如何防止XSS攻击?1.innerHTML —xss攻击2.DOMParser().parseFromString()–性能最差,会受到xss攻击3.Range.createContextualFragment()–会执行内联的script js代码,这个方法尽量不要使用,不安全4.insertAdjacentHTML()–会受到xss攻击5.createContextualFragment ()–安全性能差,会受到xss攻击
xss攻击类型与防止xss攻击解决方案
08-05
## 防止XSS攻击解决方案 1. **输入验证(Input Validation)** 对用户提交的数据进行严格的验证,限制特定字符,如JavaScript注释和特殊字符,并对数据进行编码或转义,以防止它们被当作HTML或JavaScript执行。 ...
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt 本资源为百度内部通用XSS攻击解决方案探讨培训ppt,主要介绍了百度内部通用XSS攻击解决方案的探讨培训内容。下面是从该资源中提取的知识点: 1. 问题现状:XSS攻击的数量...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 2479
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSSWeb应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
解决XSS攻击常用方法
liuerchong的博客
07-24 3204
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容 解决方式一:强制修改html敏感标签内容 /** * xss特殊字符拦截与过滤 * */ public class
XSS攻击解决方案
冰夜翎博客
11-03 1955
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单中注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
xss攻击解决方法
qq_43583597的博客
07-27 649
xss攻击解决方法XSS攻击介绍思路代码 XSS攻击介绍 XSS攻击的全称是跨站脚本攻击,听着贼牛皮的样子不过确实很烦人。它是Web应用程序中最常见到的攻击手段之一。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,...
java xss解决方案_XSS攻击解决方案
weixin_39632467的博客
02-28 1321
以下介绍两种防御实现方式。1-XssFilter的实现方式1.1在web.xml加一个filterXssEscapeXssFilterXssEscape/*REQUEST1.2XssFilter 的实现方式是实现servlet的Filter接口importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet....
XSS(跨站脚本攻击)及部分解决方案
Peacock__的博客
12-26 3017
最近做的部门内部用的一个小项目要上线,上线前安全测试测出了存储型XSS漏洞,自己也通过这个机会学习了一下,在此记录 1、什么是XSS XSS的中文含义是跨站脚本攻击,Cross Site Scripting,缩写为CSS,但容易与层叠样式表的缩写混淆,所以有人将其缩写为XSS 2、XSS原理 html是超文本标记语言,通过一些字符特殊对待来区分文本和标记,例如:<被看作h...
XSS攻击 XSS攻击解决的方法
李澎昆的博客
11-20 1749
  XSS 又称 CSS,全称 Cross SiteScript(跨站脚本攻击), XSS 攻击类似于 SQL 注入攻击, 是 Web 程序中常见的漏洞,XSS 属于被动式且用于客户端的攻击方式。其原理是攻击者向有 XSS 漏洞的网站中输入(传入)恶意的 HTML 代码,当用 户浏览该网站时,这段 HTML 代码会自动执行,从而达到攻击的目的。 1. XSS 输 入 通 常 包 含 JavaSc...
xss漏洞
A_Alger的博客
09-04 428
XSS攻击Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
xss攻击解决方案java_防止 XSS 攻击 解决方案(转载)
weixin_35843523的博客
03-02 776
XSS又叫CSS英文缩写为Cross Site Script中文意思为跨站脚本攻击具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.解决方案第一。过滤过滤 标签 等字符,但是这样 对用户是不公平的。第二。用asii 码替换如 ! 等第三。 用 element.innerText 显示用户数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值