抵御即跨站脚本(XSS)攻击

已于 2024-11-17 16:43:25 修改
阅读量937 收藏 12
点赞数 12
分类专栏: 爪哇开发 文章标签: xss java 后端 网络安全 系统安全 web安全
于 2024-11-17 16:42:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_67177419/article/details/143834040
版权

目录

一、XSS 攻击的危害

XSS 攻击的危害包括:

案例分析:

二、导入依赖库

三、定义请求包装类

四、创建过滤器,把所有请求对象传入包装类

 五、给主类添加注解

六、测试拦截XSS脚本

一、XSS 攻击的危害

什么是 XSS 攻击? 跨站脚本攻击(XSS,Cross-Site Scripting)是指攻击者利用网页的漏洞,将恶意代码注入到网页中,从而在其他用户的浏览器中执行这些恶意代码。

XSS 攻击的危害包括:

  1. 窃取用户信息:例如会话 cookie、登录凭证(如 JWT Token)等。

  2. 伪造身份:攻击者利用窃取的 cookieToken 冒充用户执行操作。

  3. 劫持用户操作:在用户不知情的情况下执行敏感操作,如转账、修改密码。

  4. 网页篡改:动态修改网页内容,展示恶意广告等。

案例分析:

用户在某个网站发帖时输入以下代码:

<script>alert('1234')</script>

        如果服务器直接将该内容存储到数据库,且在页面渲染时未做任何过滤处理,浏览器就会直接执行这段代码。这不仅会触发弹窗,还可能执行恶意的 JavaScript,如窃取 cookie 或令牌并发送到攻击者的服务器。


二、导入依赖库

 
        因为 Hutool 工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用 Servlet 规范提供的请求包装类,定义数据转义功能。

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.4.0</version>
</dependency>

三、定义请求包装类

        在 Web 项目中,`HttpServletRequest` 是一个接口,如果我们想自定义请求类,直接实现这个接口并不实际。因为接口中有大量抽象方法需要实现,过程繁琐且耗时。更简便的方式是继承 `HttpServletRequestWrapper` 类

        `HttpServletRequestWrapper` 是 JavaEE 规范中定义的请求包装类,采用了装饰器模式。无论各个应用服务器(如 Tomcat)如何实现 `HttpServletRequest` 接口,用户只需继承 `HttpServletRequestWrapper`,覆盖所需方法即可。通过包装类,用户可以灵活地修改请求方法,而无需关心接口的具体实现。这种方式有效解耦了用户代码与服务器实现代码,既简化了操作,又增强了代码的扩展性。

package com.example.emos.wx.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

// 自定义 HttpServletRequestWrapper 用于 XSS 过滤
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    // 构造函数,接收 HttpServletRequest 对象
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 重写 getParameter 方法,过滤单个请求参数的值
     * @param name 参数名
     * @return 过滤后的参数值
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name); // 调用父类方法获取参数值
        if (value != null) {
            value = HtmlUtil.filter(value); // 使用 Hutool 工具类进行 XSS 过滤
        }
        return value;
    }

    /**
     * 重写 getParameterValues 方法,过滤数组形式的请求参数值
     * @param name 参数名
     * @return 过滤后的参数值数组
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name); // 调用父类方法获取参数值数组
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                values[i] = HtmlUtil.filter(values[i]); // 逐一过滤参数值
            }
        }
        return values;
    }

    /**
     * 重写 getParameterMap 方法,过滤请求参数的键值对
     * @return 过滤后的参数映射
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap(); // 获取原始参数映射
        Map<String, String[]> map = new LinkedHashMap<>(); // 用 LinkedHashMap 保证顺序
        if (parameters != null) {
            for (Map.Entry<String, String[]> entry : parameters.entrySet()) {
                String key = entry.getKey(); // 获取参数名
                String[] values = entry.getValue(); // 获取参数值数组
                if (values != null) {
                    for (int i = 0; i < values.length; i++) {
                        if (values[i] != null && !StrUtil.hasEmpty(values[i])) {
                            // 过滤非空参数值
                            values[i] = HtmlUtil.filter(values[i]);
                        }
                    }
                }
                map.put(key, values); // 放入过滤后的映射
            }
        }
        return map;
    }

    /**
     * 重写 getHeader 方法,过滤请求头的值
     * @param name 请求头名
     * @return 过滤后的请求头值
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name); // 调用父类方法获取请求头值
        if (value != null) {
            value = HtmlUtil.filter(value); // 过滤请求头值
        }
        return value;
    }

    /**
     * 重写 getInputStream 方法,处理请求体的内容
     * @return 包含过滤后内容的 ServletInputStream
     * @throws IOException 异常
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        // 获取原始请求输入流
        ServletInputStream inputStream = super.getInputStream();

        // 读取输入流内容并存入 StringBuffer
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(inputStream, StandardCharsets.UTF_8);
        BufferedReader bufferedReader = new BufferedReader(reader);
        String line = bufferedReader.readLine();
        while (line != null) {
            body.append(line); // 将每行追加到 body 中
            line = bufferedReader.readLine();
        }

        // 关闭流以释放资源
        reader.close();
        bufferedReader.close();
        inputStream.close();

        // 将请求体内容解析为 Map 对象
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap<>(map.size());
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                // 对 String 类型的值进行 XSS 过滤
                resultMap.put(key, HtmlUtil.filter((String) val));
            } else {
                // 非 String 类型直接放入
                resultMap.put(key, val);
            }
        }

        // 将处理后的 Map 转回 JSON 字符串
        String jsonStr = JSONUtil.toJsonStr(resultMap);

        // 构造新的输入流以返回
        final ByteArrayInputStream bain = new ByteArrayInputStream(jsonStr.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read(); // 从字节数组流中读取数据
            }

            @Override
            public boolean isFinished() {
                return false; // 表示未完成(可以根据实际需要调整逻辑)
            }

            @Override
            public boolean isReady() {
                return false; // 表示未准备好(可以根据实际需要调整逻辑)
            }

            @Override
            public void setReadListener(ReadListener readListener) {
                // 空实现
            }
        };
    }
}

四、创建过滤器,把所有请求对象传入包装类

package com.example.emos.wx.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Xss 是一个过滤器类,用于防止 XSS 攻击。
 * 通过使用自定义的 HttpServletRequestWrapper(XssHttpServletRequestWrapper)
 * 对请求内容进行过滤。
 */
@WebFilter(urlPatterns = "/*") // 声明过滤器,应用于所有 URL
public class Xss implements Filter {

    /**
     * 初始化方法,当过滤器实例化时调用。
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 调用父类的 init 方法(可选操作)
        Filter.super.init(filterConfig);
    }

    /**
     * 核心过滤逻辑:将所有 HTTP 请求包装为 XssHttpServletRequestWrapper,
     * 并将其传递到过滤链的下一环节。
     * @param servletRequest 原始请求对象
     * @param servletResponse 原始响应对象
     * @param filterChain 过滤器链
     * @throws IOException IO 异常
     * @throws ServletException Servlet 异常
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) 
            throws IOException, ServletException {
        // 将原始 ServletRequest 强制转换为 HttpServletRequest
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        // 使用自定义的 XssHttpServletRequestWrapper 包装请求
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(request);

        // 将包装后的请求传递到过滤链的下一环节
        filterChain.doFilter(xssRequest, servletResponse);
    }

    /**
     * 销毁方法,当过滤器被卸载时调用。
     */
    @Override
    public void destroy() {
        // 调用父类的 destroy 方法(可选操作)
        Filter.super.destroy();
    }
}

 五、给主类添加注解

 
给SpringBoot主类添加

@ServletComponentScan

注解。


六、测试拦截XSS脚本


1.在Swagger中,执行 sayHello()方法,向name属性传入<script>HelloWorld</script>,然后观察返回的结果。

什么是跨站脚本XSS攻击
简介
01-04 2282
这一次,教会xss攻击!!!!!!!
(SEED-LabCross-Site Scripting (XSS) Attack Lab跨站脚本攻击实验
lunan的博客
02-02 6224
(SEED-LabCross-Site Scripting (XSS) Attack Lab 跨站脚本攻击实验 欢迎大家访问我的GitHub博客 https://lunan0320.cn 文章目录一、实验目的二、实验步骤与结果2 Lab Environment2.1 The Elgg Web Application2.2 DNS Confifiguration2.3 Apache Confifiguration3 Lab Tasks3.1 Preparation: Getting Familiar w
java防止XSS(跨站脚本攻击)攻击的常用方法总结
码在飞博客
07-13 1万+
一、什么是XSS攻击XSS攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
Java SSM框架+jsp处理存储型XSS和反射型XSS漏洞
weixin_45767372的博客
07-07 5177
存储型XSS和反射型XSS修复
SpringBoot集成Hutool防止XSS攻击实现
Wcybaonier
04-14 1080
xss是跨站攻击脚本的简写。xss攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override@Override//先进行转义在把请求返回@Override。
Java Web项目抵御跨站脚本攻击(前后端共御)
啦啦啦小骑士的博客
11-12 2531
目录XSS攻击原理抵御方法针对前端代码实现 XSS攻击原理 XSS攻击攻击者利用服务器漏洞,将恶意代码以文本的形式混杂进请求数据中发送给服务器存储,服务器在未来渲染视图的时候会将该恶意代码也携带进去,客户端执行恶意脚本后会造成重要信息泄露。 XSS攻击的恶意代码通常是HTML标签包裹JavaScript脚本,形如<script>alert("恶意脚本")</script>,当页面中出现这种结构的文本时,浏览器会误认为是正常的标签而进行渲染。 举一个简易的例子,假设攻击者的服务器为x
SSM框架搭建网站防止跨站脚本攻击(一)
小菜鸟的HelloWorld
07-19 1906
第一篇 1. 个人网站使用SSM框架搭建的,上线前使用IBM Security AppScan Standard扫描漏洞出现跨站脚本攻击。   修复方案  普遍的解决方案是添加拦截器。 1.在项目中新建一个拦截器 XssFilter .java import java.io.IOException; import java.util.LinkedHashMap; impor...
跨站脚本攻击详解
weixin_30700977的博客
02-18 790
1 前言 近年来,随着Web2.0的大潮,越来越多的人开始关注Web安全,新的Web攻击手法层出不穷,Web应用程序面临的安全形势日益严峻。 跨站脚本攻击XSS)就是常见的Web攻击技术之一,由于跨站脚本漏洞易于出现且利用成本低,所以被OWASP开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)列为当前的头号Web安...
2-7 抵御跨站脚本XSS攻击 - EMOS小程序1
08-04
一、XSS攻击的危害 二、导入依赖库 三、定义请求包装类
XSS跨站脚本攻击剖析与防御
04-28
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
如何防止跨站脚本攻击
qq_25467441的博客
09-29 494
什么是跨站脚本攻击XSS)?如何防止跨站脚本攻击? - 华为从Web程序开发角度,需要遵循安全开发原则,采取措施防止跨站脚本攻击:从访问网站的用户角度,需要有风险意识,避免遭受跨站脚本攻击
保护你的Java应用:常见安全漏洞及其防护措施
weixin_53840353的博客
08-19 628
安全漏洞描述防护措施优缺点SQL注入通过注入恶意SQL代码执行未经授权的查询使用PreparedStatement高效且易于实现,但需要逐步替换现有代码XSS在网页中注入并执行恶意脚本对用户输入进行HTML转义有效防止脚本执行,但可能影响显示效果CSRF伪造用户请求执行未经授权的操作使用CSRF令牌验证请求提供全面保护,但需要更新前端代码以包含令牌通过了解和防护这些常见的安全漏洞,你可以大幅提升Java应用的安全性。记住,安全性是一个持续的过程,需要不断更新和改进防护措施。
SpringMVC防御CSRF及XSS攻击(写的非常好)
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
XSS跨站脚本攻击(三)-- 结合Spring MVC框架
yansong_8686的专栏
12-28 5301
1.web.xml中 xssFilter com.xxx.web.filter.XSSFilter xssFilter /* 2.XSSFilter.java package com.xxx.web.filter; import java.io.IOException; import javax.servlet.Filter;
XSS攻击及解决方案
zp的博客
09-03 1万+
什么是XSS攻击XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单中,如博客的评论区等,用户可以通过提交评论:&lt;script&gt;alert("你的网站太垃圾了!")&lt;/script&gt;,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,...
XSS跨站脚本过滤器
wanyuanshi的博客
04-16 1290
1.在web.xml中配置过滤器:拦截所有的请求--项目中使用通过安全扫描&lt;filter&gt; &lt;filter-name&gt;XssFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.sunrise.grid.utils.XssFilter&lt;/filter-class&gt; &lt;/filter&gt; &lt;fil...
防止XSS跨站脚本攻击Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
跨站脚本攻击XSS事件注入
最新发布
03-11
### 跨站脚本攻击XSS)事件注入的工作原理 跨站脚本攻击XSS)中的事件注入是指攻击者利用HTML标签内的事件处理属性来触发恶意JavaScript代码的执行。这类攻击通常发生在输入未被充分验证或转义的情况下,允许攻击者将带有事件处理器的HTML标签插入到页面中。 例如,考虑一个简单的HTML表单字段,如果应用程序未能正确过滤用户提交的数据,则可能接受如下形式的输入: ```html <input type="text" onfocus="javascript:alert('XSS')" /> ``` 当此输入保存并显示给其他用户时,`onfocus`事件会在任何用户聚焦于该输入框时触发警报对话框[^1]。这只是一个简单示例;实际攻击可能会更加复杂和有害,比如收集用户的Cookie或其他敏感数据。 ### 防御措施 针对此类攻击的有效预防策略包括但不限于以下几个方面: #### 输入验证与清理 确保所有来自客户端的数据都经过严格的验证和清理过程,移除潜在危险字符以及防止非法内容进入服务器端逻辑或者数据库存储层。 #### 输出编码 对于动态生成的内容,在将其呈现回浏览器之前应进行适当的HTML实体化转换,这样即使存在恶意字符串也无法被执行为有效载荷。 #### HTTP头设置 使用特定HTTP响应头部如Content Security Policy (CSP),它能够定义哪些资源是可以加载和执行的,从而进一步减少成功实施XSS的风险。 #### 使用框架自带的安全特性 现代Web开发框架往往内置了许多用于抵御各种类型的攻击的功能,默认启用这些选项可以帮助减轻开发者手动实现额外安全性的负担。 ```python from flask import Flask, escape app = Flask(__name__) @app.route('/') def index(): user_input = "<script>alert('XSS')</script>" safe_output = escape(user_input) return f"<p>{safe_output}</p>" ``` 上述Python代码片段展示了如何通过Flask库提供的`escape()`函数自动对特殊字符进行转义处理,以防范反射型XSS风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值