web项目配置防止跨站点请求(XSS攻击)的过滤器

最新推荐文章于 2024-09-07 20:58:17 发布
原创 最新推荐文章于 2024-09-07 20:58:17 发布 · 1.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#跨站点请求漏洞

本文详细介绍了Microsoft Windows MHTML XSS跨站点脚本漏洞,包括其严重性和风险。针对此问题,文章提出了修复方案,通过创建XssHttpServletRequestWrapper实现请求过滤,并自定义XssFilter在web.xml中配置,以防止跨站点请求。
部署运行你感兴趣的模型镜像

一、Microsoft Windows MHTML (XSS)跨站点脚本编制漏洞描述

XSS(Cross Site Scripting),即跨站脚本攻击,是一种常见于web项目中的计算机安全漏洞。

1、严重性:中危。

2、风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务。

3、原因:未对用户输入正确执行危险字符清理。

 

二、修复漏洞——配置XSS防止跨站点请求的过滤器

1、写一个XssHttpServletRequestWrapper实现HttpServletRequestWrapper,编写过XSS字符过滤逻辑。

package com.szgis.util;

import org.apache.commons.lang3.StringEscapeUtils;

import java.util.Enumeration;



import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;



public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  

    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {

        super(servletRequest);

    }

    public String[] getParameterValues(String parameter) {

      String[] values = super.getParameterValues(parameter);

      if (values==null)  {

                  return null;

          }

      int count = values.length;

      String[] encodedValues = new String[count];

      for (int i = 0; i < count; i++) {

                 encodedValues[i] = cleanXSS(values[i]);

       }

      return encodedValues;

    }

    public String getParameter(String parameter) {

          String value = super.getParameter(parameter);

          if (value == null) {

                 return null;

                  }

          return StringEscapeUtils.escapeHtml4(value);

    }

    public String getHeader(String name) {

        String value = super.getHeader(name);

        if (value == null)

            return null;

        return StringEscapeUtils.escapeHtml4(value);

    }

    private String cleanXSS(String value) {

                //You'll need to remove the spaces from the html entities below

        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");

        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        
        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("script", "");

        value = value.replaceAll("'", "&#39;");
        
        value = value.replaceAll(";", "");

        return value;

    }


}

2、自定义一个过滤器XssFilter调用XssHttpServletRequestWrapper,过滤每一个请求。

package com.szgis.util;



import java.io.IOException;  



import javax.servlet.Filter;  

import javax.servlet.FilterChain;  

import javax.servlet.FilterConfig;  

import javax.servlet.ServletException;  

import javax.servlet.ServletRequest;  

import javax.servlet.ServletResponse;  

import javax.servlet.http.HttpServletRequest;  



public class XssFilter implements Filter {

    FilterConfig filterConfig = null;



    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }



    public void destroy() {

        this.filterConfig = null;

    }



    public void doFilter(ServletRequest request, ServletResponse response,

            FilterChain chain) throws IOException, ServletException {

        chain.doFilter(new XssHttpServletRequestWrapper(

                (HttpServletRequest) request), response);

    }


}

3、在web.xml中调用自定义过滤器XssFilter

	 <!--防止跨站点请求的过滤器-->
	<filter>
		<filter-name>XssSqlFilter</filter-name>
		<filter-class>com.szgis.util.XssFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XssSqlFilter</filter-name>
		<url-pattern>/*</url-pattern>
		<dispatcher>REQUEST</dispatcher>
	</filter-mapping>

 

您可能感兴趣的与本文相关的镜像

Qwen-Image

Qwen-Image

图片生成
Qwen

Qwen-Image是阿里云通义千问团队于2025年8月发布的亿参数图像生成基础模型,其最大亮点是强大的复杂文本渲染和精确图像编辑能力,能够生成包含多行、段落级中英文文本的高保真图像

Spring Boot项目CSRF (跨站请求伪造)攻击演示与防御
oscar999的专栏
07-17 1934
CSRF ,Cross-site request forgery,跨站请求伪造。是常见的网络攻击的方式之一,2007年曾被列为互联网20大安全隐患之一。攻击过程是攻击者伪造用户的浏览器请求,访问一个用户曾经访问过的网站, 使目标网站误以为是用户的操作而执行命令。 本篇j基于Spring Boot创建项目,用来演示CSRF 的攻击过程。...
项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击
本本本添哥
03-31 675
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2624
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据中发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
跨站脚本编制
Angelo Lee's Blog
03-14 2022
跨站脚本编制攻击是一种隐私违例,可让攻击者获取合法用户的凭证,并在与特定 Web交互时假冒这位用户。 这个攻击立足于下列事实:Web中所包含的脚本直接将用户在 HTML 页面中的输入(通常是参数值)返回,而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入,浏览器便可以执行输入中的代码。 因此,有可能形成指向站的若干链接,且其中一个参数是
网安之web攻防第三十六天
B_l_a_nk的博客
04-06 438
1、XSS跨站-原理&攻击&分类等 2、XSS跨站-MXSS&UXSS&FlashXss&PDFXSS
配置过滤器filter对跨站脚本攻击XSS实现拦截
Welcom to zougangx's blog
11-21 7733
1.web.xml中配置filter [html] view plain copy filter>       filter-name>XssFilterfilter-name>       filter-class>com.wk.util.XssFilterfilter-class>   filter>   filter-mapping
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2739
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
Web安全之XSS跨站脚本攻击:如何预防及解决
最新发布
J老熊
09-07 2661
XSS跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSSWeb应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
跨站脚本攻击XSS)以及如何防止它?
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-23 1221
XSS攻击是指攻击者通过注入恶意脚本到网页,当其他用户浏览该页面时,恶意脚本会在受害者的浏览器中执行,从而获取敏感信息、篡改页面内容或执行其他恶意操作。防范XSS攻击是前端开发中不可忽视的一部分。通过理解XSS攻击的原理及其防御策略,我们可以构建出更加安全、健壮的Web应用。随着网络环境的不断演变,开发者应持续关注最新的安全动态,不断优化和升级自己的安全实践,以保护用户的信息安全。在日常开发中,我们应该秉持谨慎的态度,对每一行代码负责,共同营造一个更加安全的互联网世界。
XSS(跨站脚本攻击)
guowu666的博客
06-10 3081
xss基础
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
利用过滤器防止XSS攻击
weixin_33672400的博客
09-20 562
为什么80%的码农都做不了架构师?>>> ...
防止XSS跨站脚本攻击:Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
跨站脚本编制 解决方案( IBM)
收集盒 Book box
11-21 4144
跨站脚本编制 修订建议 一般 若干问题的补救方法在于对用户输入进行清理。 通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令,等等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] & (& 符
Microsoft Windows MHTML脚本代码注入漏洞 (MS11-026) (CVE-2011-0096)
qq_50854662的博客
08-15 2310
Tomcat样列目录session 操控漏洞
web安全漏洞加固方案简析
weixin_34087301的博客
05-13 2021
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS技巧拓展】————5、跨站的艺术-XSS入门与介绍
Fly_鹏程万里
12-26 961
什么是XSS? XSS全称跨站脚本(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故缩写为XSS,比较合适的方式应该叫做跨站脚本攻击跨站脚本攻击是一种常见的web安全漏洞,它主要是指攻击者可以在页面中插入恶意脚本代码,当受害者访问这些页面时,浏览器会解析并执行这些恶意代码,从而达到窃取用户身份/钓鱼/传播恶...
跨站脚本攻击漏洞(编码)_通过对HTML响应进行编码来防止跨站脚本攻击
cusi77914的博客
06-29 2017
注意:请参考教程“保护应用程序免受跨站脚本XSS攻击”以使用开发人员沙箱。 该教程中的代码段向您展示了如何使用转义序列,以使任何注入的代码都无法运行。 跨站脚本攻击 营造安全文化 公司将应用程序移动到Web上,以改善客户互动,降低业务处理成本并加快结果的速度。 但是这样做也增加了漏洞-除非安全性是应用程序开发过程的组成部分。 要了解有关在组织中创建安全文化的更多信息,请...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值