杜绝xss和csrf漏洞

最新推荐文章于 2023-09-14 21:47:26 发布
原创 最新推荐文章于 2023-09-14 21:47:26 发布 · 1.3k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #XSS #杜绝csrf和XSS攻击

本文详细介绍了CSRF和XSS两种常见的Web应用安全漏洞,阐述了它们的工作原理和可能的危害。对于CSRF,文章指出攻击者通过盗用用户身份发起恶意请求,成功条件为用户在不登出情况下访问危险网站。防止措施包括验证Referer字段、添加token验证和自定义HTTP头验证。而对于XSS,攻击者通过注入恶意脚本操控用户浏览器行为,防范关键在于不相信用户输入并实施输入过滤。

一、CSRF漏洞

CSRF(Cross-site request forgery跨站请求伪造,也被称为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。

所以要被CSRF攻击,必须同时满足两个条件:

  1. 登录受信任网站A,并在本地生成Cookie。
  2. 在不登出A的情况下,访问危险网站B。

二、XSS漏洞

跨站脚本攻击(Cross Site Scripting),恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

比如说有这样一种场景:我们有一个a页面,a页面中有一个前台表单,表单内容接受用户输入的用户名和密码。然后我们在b页面中打印出用户在a页面中输入的内容。如果用户正常输入,那么当然没问题。但是如果用户输入的是一段css代码或者javascript代码会发生什么?比如用户输入<script>alert("攻击你");</script> 那么,在b页面中就会弹出对话框。这就是简单的xss攻击。

三、漏洞的解决

1、防止csrf攻击: 

第一种方式:验证 HTTP Referer 字段

第二种方式:在请求地址中添加 token 并验证

第三种方式:在 HTTP 头中自定义属性并验证

2、防止xss攻击: 预防xss攻击的方法很简单,就是要遵守一个原则:任何时候都不完全相信用户的输入,要对用户的输入进行过滤。

步骤:

自定义过滤器,用来过滤所有请求

public class XssFilter implements Filter {

	@Override
	public void init(FilterConfig config) throws ServletException {
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
				(HttpServletRequest) request);
		chain.doFilter(xssRequest, response);
	}

	@Override
	public void destroy() {
	}

}
@Configuration
public class FilterConfig {

    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }
}

 具体过滤实现:

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    //没被包装过的HttpServletRequest(特殊场景,需要自己过滤)
    HttpServletRequest orgRequest;
    //html过滤
    private final static HTMLFilter htmlFilter = new HTMLFilter();

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        orgRequest = request;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        //非json类型,直接返回
        if(!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){
            return super.getInputStream();
        }

        //为空,直接返回
        String json = IOUtils.toString(super.getInputStream(), "utf-8");
        if (StringUtils.isBlank(json)) {
            return super.getInputStream();
        }

        //xss过滤
        json = xssEncode(json);
        final ByteArrayInputStream bis = new ByteArrayInputStream(json.getBytes("utf-8"));
        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return true;
            }

            @Override
            public boolean isReady() {
                return true;
            }

            @Override
            public void setReadListener(ReadListener readListener) {
            }

            @Override
            public int read() throws IOException {
                return bis.read();
            }
        };
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] parameters = super.getParameterValues(name);
        if (parameters == null || parameters.length == 0) {
            return null;
        }

        for (int i = 0; i < parameters.length; i++) {
            parameters[i] = xssEncode(parameters[i]);
        }
        return parameters;
    }

    @Override
    public Map<String,String[]> getParameterMap() {
        Map<String,String[]> map = new LinkedHashMap<>();
        Map<String,String[]> parameters = super.getParameterMap();
        for (String key : parameters.keySet()) {
            String[] values = parameters.get(key);
            for (int i = 0; i < values.length; i++) {
                values[i] = xssEncode(values[i]);
            }
            map.put(key, values);
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }
        return value;
    }

    private String xssEncode(String input) {
        return htmlFilter.filter(input);
    }

    /**
     * 获取最原始的request
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest request) {
        if (request instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) request).getOrgRequest();
        }

        return request;
    }

}

 

 

 

 

 

 

 

 

 

 

 

前端安全最佳实践:如何防止 XSSCSRF 等常见的安全漏洞
Ttbraver
11-14 1848
没有绝对的安全,只有相对的安全。
java-sec-code xsscsrf
weixin_44687621的博客
08-19 463
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
防范XSS攻击
wuxing164的博客
04-24 459
不要相信用户的任何输入,并过滤输入中的所有特殊字符。这样就能消灭绝大部分的 XSS 攻击 使用htmlentities过滤用户输入的数据 如: $searchQuery = $_GET['q']; $searchQuery = htmlentities($searchQuery, ENT_QUOTES); ...
Java防止Xss注入json_XSS攻击原理&&你应该如何防止XSS攻击
weixin_39990250的博客
11-20 497
XSS又称CSS,全称Cross SiteScript(跨站脚本攻击), XSS攻击类似于SQL注入攻击,是Web程序中常见的漏洞XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。理论...
前端安全系列:如何防止XSS攻击
琦彦
01-25 5781
前端安全  随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSSCSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这...
CSRF 攻击的防范措施
程序员徐师兄的博客
07-13 3830
CSRF 攻击是一种常见的 Web 攻击,可以通过利用用户已登录的身份,向目标网站发送恶意请求,从而实现攻击目的。为了避免 CSRF 攻击,开发者需要采取一些防范措施,例如随机令牌、Referer 校验 SameSite Cookie 等。建议采用多种防范措施,以增强 Web 应用程序的安全性。
XSSCRSF攻击
Shaoyouiqng的博客
03-14 353
1、什么是XSSCRSF攻击? XSS:即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。 CSRF(Cross Site Request Forgery,跨站请求伪造):字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 C
SQL注入、XSS、XXE、CSRF、SSRF、越权漏洞、文件上传、文件包含总结篇
m0_57379855的博客
03-23 6112
漏洞总结篇SQL注入修复过滤特殊字符修改php.in使用mysqli_real_escape_string()函数加固数据库方面加固管理方面 SQL注入 是指web应用程序对用户输入的数据的合法性没有判断或者没有严格的过滤攻击者可以在web程序中把定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息 就是使用某种手段,在原来的SQL语句基础上,添加一段恶意的SQL语句并执行,从而达到不被管理员允许的目
渗透测试 2 --- XSSCSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3661
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
DVWA之CSRF漏洞
qq_40023447的博客
07-18 1700
CSFR漏洞 CSRF简介 CSRF全名是Cross Site Request Forgery,翻译成中文就是跨站点请求伪造。其通过利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作。 漏洞原理 因为Web应用程序在用户进行敏感操作时,如修改账...
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
xss攻击类型与防止xss攻击解决方案
unionhu的博客
10-07 648
1.输出在HTML页面 例如:有个test.php文件 用http://localhost/test.php?name=lakealert(123456) 进行访问,用这样的URL将会执行JavaScript的alert函数弹出一个对话框 传入的参数值直接显示在页面,主要就是传入的参数中带有“”符号会被浏览器解析, 2.输出在HTML属性中 例如: 用http://loca...
【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?
最新发布
DreamSun的博客
09-14 4477
CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟XSS攻击一样,存在巨大的危害性。
WEB安全有关问题
Blablabla_的博客
02-02 2320
常见的针对web前端的攻击主要有: 1.跨站点脚本攻击(XSS) 概述:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(...
关于输入校验(Input valiation)SQL注入(SQL injection)
Mike的专栏
12-23 5432
要防SQL注入就要了解所有可能的SQL注入. 个人认为不存在验证层一说. 这个属于输入校验Input validation. 应该与各页面结合起来. 同时使用客户端验证服务器端验证. 之所以要同时用客户端服务器端验证, 客户端验证是为了减少向服务器提交的次数, 服务器端验证是为了安全, 因为黑客可以绕过Javascript等向服务器提交非法数据. 所有需要输入的地方, 包括web form中每
SQL注入漏洞
麒麟阁
11-28 622
基于SQL的Web系统安全防范——SQL注入漏洞 攻击研究及防范措施 SQL-Based Web System Security——Structured Query Language InjectionLeak Attack Study And Defense Measure SQL注入(SQL Injection)漏洞攻击是目前网上最流行最热门的黑客脚本攻击方法之一,那什么...
输入验证(转)
weixin_30244681的博客
11-28 588
输入验证 输入验证是一个很复杂的问题,并且是应用程序开发人员需要解决的首要问题。然而,正确的输入验证是防御目前应用程序攻击的最有效方法之一。正确的输入验证是防止 XSS、SQL 注入、缓冲区溢出其他输入攻击的有效对策。 输入验证非常复杂,因为对于应用程序之间甚至应用程序内部的输入,其有效构成没有一个统一的答案。同样,对于恶意的输入也没有一个统一的定义。更困难的是,应用程序对如...
Web常见漏洞及防范
烈火成冰
09-29 4248
一、SQL注入漏洞  SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。  通常情况下,SQL注入
java csrf解决方案_CSRF的几种防御方法的利弊分析
weixin_42303285的博客
02-16 1173
本文直接从防御方式开始讨论,防御CSRF有4种方法:使用POST替代GET检验HTTP Referer验证码Token使用POST替代GET一些程序员在开发的时候都是用GET、POST通用的函数来接收客户端的数据,这样也是某些接口有CSRF的原因之一,但是将全部接口都改成只允许POST方式访问,就能防范CSRF了吗?答案是:不能。只能说提高了一些成本。原本是GET方式访问的接口,攻击者只需要构造接...
XSSCSRF漏洞源码练习及HTML注入案例分析
总结来说,对于网络安全专业人士、Web开发人员对网络安全感兴趣的爱好者而言,理解掌握XSSCSRFHTML注入的知识防御技术是必不可少的。通过实际操作练习源码,可以更深入地理解实践这些概念,从而在实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值