360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击

最新推荐文章于 2024-09-07 20:58:17 发布
最新推荐文章于 2024-09-07 20:58:17 发布
阅读量302 收藏
点赞数
文章标签: 测试 web.xml shell
本文介绍了一种通过修改Java代码来防止XSS攻击的方法,包括自定义过滤器和使用Antisamy项目等多种方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

就以这张图片作为开篇和问题引入吧

     <options>问题解决办法请参考上一篇

  如何获取360站长邀请码,360网站安全站长邀请码

     首先360能够提供一个这样平台去检测还是不错的。但是当体检出来 看到漏洞报告,以为360会像windows上360安全卫士一样帮我们打好补丁。但是实际发现漏洞是要自己修复,并且php和asp aspx有360提供的补丁或者解决方案(想要看这些方案之前要申请为站长但是需要邀请码 这个可以在页面 页面左下角 360主机卫士感恩卡里面领取)。

   进入修复方案后发现java几乎没有提供一些建议,只能自己处理。开始使用搜索引擎搜索 java防止xss攻击代码。

http://www.yihaomen.com/article/java/409.htm

查到了这个方案

. 可以采用spring 里面提供的工具类来实现.

   一, 第一种方法。

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}

再实现 ServletRequest 的包装类

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

还需要到web.xml里面配置

<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.shanheyongmu.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

放上去之后 出现了 Java.lang.UnsupportedClassVersionError还是classnotfound 项目跑起来就是首页404。 然后考虑了下linux环境是jdk 1.6而编译的都是maven3.3.0以后版本以及使用的jdk 1.7 版本问题(版本切换步骤可以参考【maven学习总结】里面的execption ,版本之前工作中遇到过所以有印象) 重新换jdk和eclipse设置jdk都是1.6之后编译。不报错了shell上,但是用360快速检测我已修复,还是存在漏洞。于是继续百度

http://www.what21.com/programming/java/javaweb-summary/xss3.html 发现了不同的XssFilter写法,尝试之后还是失败。

https://my.oschina.net/wanglu/blog/267069   Springmvc安全  ,尝试之后失败,当然有些人视图解析器不同 无加spring 的form标签 无法尝试。

http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html  来到了本篇 本篇有3种解决方法

第二种方法

web.xml加上:

       <context-param>
 <param-name>defaultHtmlEscape</param-name>
 <param-value>true</param-value>
 </context-param>

Forms加上:很多人对forms到底是哪里不理解你可以 加在<form>标签之前 或者body之前

<spring:htmlEscape defaultHtmlEscape="true" />
因为是线上项目所以无法采用以下标签 https://my.oschina.net/wanglu/blog/267069
也就是spring的标签 
<form:input path="someFormField" htmlEscape="true" />

但是<spring:htmlEscape defaultHtmlEscape="true" />在jsp视图解析中还是可以的,并且这个添加方法 可以不改变原有项目。

全部部署完成后,遗憾的是还是体检有原有漏洞。

 

从这篇得到了答案 并且修复了 http://huangpengpeng.iteye.com/blog/2091798

 <!--@分隔 -->  
    <filter>  
        <filter-name>xssFilter</filter-name>  
        <filter-class>com.yoro.core.web.XssFilter</filter-class>  
        <init-param>  
            <param-name>SplitChar</param-name>  
            <param-value>@</param-value>  
        </init-param>  
        <init-param>  
            <param-name>FilterChar</param-name>  
            <param-value>>@&lt;@\'@\"@\\@#@(@)</param-value>  
        </init-param>  
        <init-param>  
            <param-name>ReplaceChar</param-name>  
            <param-value>>'@<@‘@“@\@#@(@)</param-value>  
        </init-param>  
    </filter>  
      
 <filter-mapping>  
    
        <filter-name>xssFilter</filter-name>  
          
  <url-pattern>/*</url-pattern>  
   
    </filter-mapping>  
package com.yoro.core.web;  
  
/** 
 * @author zoro 
 */  
import java.io.IOException;  
  
import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
  
public class XssFilter implements Filter {  
      
    private String filterChar;  
    private String replaceChar;  
    private String splitChar;  
    FilterConfig filterConfig = null;  
    public void init(FilterConfig filterConfig) throws ServletException {  
        this.filterChar=filterConfig.getInitParameter("FilterChar");  
        this.replaceChar=filterConfig.getInitParameter("ReplaceChar");  
        this.splitChar=filterConfig.getInitParameter("SplitChar");  
        this.filterConfig = filterConfig;  
    }  
  
    public void destroy() {  
        this.filterConfig = null;  
    }  
  
    public void doFilter(ServletRequest request, ServletResponse response,  
  
    FilterChain chain) throws IOException, ServletException {  
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);  
    }  
}  
package com.yoro.core.web;  
  
  
  
import java.io.UnsupportedEncodingException;  
import java.net.URLDecoder;  
  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletRequestWrapper;  
  
  
/** 
 * @author zoro 
 */  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    private String[]filterChars;  
    private String[]replaceChars;  
    public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {  
        super(request);  
        if(filterChar!=null&&filterChar.length()>0){  
            filterChars=filterChar.split(splitChar);  
        }  
        if(replaceChar!=null&&replaceChar.length()>0){  
            replaceChars=replaceChar.split(splitChar);  
        }  
    }  
    public String getQueryString() {  
        String value = super.getQueryString();  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
      
    /** 
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
     */  
    public String getParameter(String name) {  
        String value = super.getParameter(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
      
    public String[] getParameterValues(String name) {  
        String[]parameters=super.getParameterValues(name);  
        if (parameters==null||parameters.length == 0) {  
            return null;  
        }  
        for (int i = 0; i < parameters.length; i++) {  
            parameters[i] = xssEncode(parameters[i]);  
        }  
        return parameters;  
    }  
      
    /** 
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖 
     */  
    public String getHeader(String name) {  
  
        String value = super.getHeader(xssEncode(name));  
        if (value != null) {  
            value = xssEncode(value);  
        }  
        return value;  
    }  
      
    /** 
     * 将容易引起xss漏洞的半角字符直接替换成全角字符 
     *  
     * @param s 
     * @return 
     */  
    private  String xssEncode(String s) {  
        if (s == null || s.equals("")) {  
            return s;  
        }  
        try {  
            s = URLDecoder.decode(s, "UTF-8");  
        } catch (UnsupportedEncodingException e) {  
            e.printStackTrace();  
        }  
        for (int i = 0; i < filterChars.length; i++) {  
            if(s.contains(filterChars[i])){  
                s=s.replace(filterChars[i], replaceChars[i]);  
            }  
        }  
        return s;  
    }  
}

由于尝试较多,也比较混乱,也不确定哪个适用各位的情况,只能多查多参考。

此处再补充一个 其他防止Xss攻击代码写法 http://www.what21.com/programming/java/javaweb-summary/xss3.html。

 

后来搜索到了 http://www.cnblogs.com/wangdaijun/p/5652864.html Antisamy项目实现防XSS攻击

遗憾的是配置文件很难找 我在csdn找到了antisamy.xml,大家可以基于搜索关键字 Antisamy项目实现防XSS攻击多查查 。

小弟技术菜,并且思维一般,求大神勿喷,给予指导和共同交流进步还是可以的。

Java Web应用中的跨站脚本攻击XSS)防护策略
shrgegrb的博客
02-25 1156
XSS攻击是指攻击者将恶意脚本注入到Web页面中,利用浏览器执行这些脚本,从而窃取用户数据、劫持用户会话、篡改页面内容等。存储型XSS(Stored XSS):攻击者将恶意脚本永久性地存储在目标服务器上(如数据库),并在页面加载时执行。反射型XSS(Reflected XSS):恶意脚本作为请求的一部分反射回浏览器,并立即执行。DOM型XSS(DOM-based XSS):攻击者通过修改页面的DOM结构来执行恶意脚本,通常通过JavaScript引发。
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
存储型跨站脚本漏洞,过滤特殊字符, SpringMvc防范XSS攻击
weixin_42267411的博客
09-26 2445
公司最近在搞测试,请的第三方测试机构。。。一顿操作猛如虎。。。 记录一次现在很多项目都容易忽略的存储型跨站脚本漏洞处理,就是XSS攻击漏洞,只要有用户输入的地方,就可能会有XSS漏洞,比如我们在留言板,或者发布文章的地方输入: <script>alert(1);</script> 当这条数据被存储到数据库,并且在页面上再次显示的时候,就会弹窗输出“1”,这只是简单的sc...
SpringMVC防止XSS攻击
热门推荐
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 .web.xml中添加Filter XssFilter com.xbz.filter.XssF
360 跨站脚本攻击漏洞
hyhyct的专栏
09-03 1680
漏洞证据: 漏洞地址: http://www.10000xc.com/member/login.aspx
360webscan解决xss漏洞
05-26
解决360检查wordpress的xss漏洞问题
springmvc4配置防止XSS攻击的方法
04-05
特别是在Web应用中,跨站脚本攻击XSS)和SQL注入攻击是常见的安全威胁。XSS攻击是指攻击者通过在网页中嵌入恶意脚本代码,当其他用户浏览该网页时,恶意代码会执行,导致用户信息泄露、网站内容篡改等问题。而SQL...
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 2477
XSS跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSSWeb应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
spring mvc 过滤用户输入的非法字符是防止跨站脚本攻击(Cross-Site Scripting,简称XSS)和防止SQL注入等恶意攻击的重要措施
最新发布
01-22
为了有效防范跨站脚本攻击 (XSS) 和 SQL 注入攻击,在 Spring MVC 应用程序中可以采用多种策略来处理用户输入。一种常见做法是通过创建自定义 `HttpServletRequestWrapper` 来对 POST 请求中的参数进行清理,替换...
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET)
09-06
360_safe3通用XSS/SQL防注入源代码(ASP/PHP/C#ASP.NET),下载后,每个开发语言都对应着使用办法,一般是在全站文档中INCLUDE使用。已核实,代码可用且有效,更新到最新版。
java方面xss跨站脚本
11-05
工具:xss-html-filter-master的源码 书籍:XSS跨站脚本攻击剖析与防御(完整版) 所需jar: antlr-3.0.1.jar antlr-runtime-3.0.1.jar xssProtect-0.1.jar
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
ZeroTier One v1.4.4.rar
02-13
zerotier强大的免费组网,小米安卓手机组网虚拟网延时500sm左右,手机系统不支持这app吗?其它客户端正常
SpringMVC 跨站脚本攻击防护(防止XSS攻击
Michean的博客
01-02 2271
SpringMVC 跨站脚本攻击防护(防止XSS攻击) 定义一个基础controller import org.springframework.beans.propertyeditors.StringTrimmerEditor; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.b...
解析如何防止XSS跨站脚本攻击
centos的博客
10-10 1200
2012-11-20 09:03 (分类:网络安全)这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。    不可信数据   不可信数据通常是来自HTTP请求的数据,以URL参数、表单字段、标头或者Coo
XSS脚本攻击及防御
u012925323的博客
11-22 936
最近是学校网页设计大赛作品提交阶段,我们寝室负责作品的部署和展示,室友就一 一对网站进行攻击,比如说,浏览网页死循环出现弹窗至浏览器奔溃,或者跳转网页,删除网页节点,让整个网页变成空白。然后我也学会了几招,最后赶紧处理了自己的网站漏洞,下面我就来分享一下我的经验(原谅室友的不杀之恩,嘿嘿)。所谓的XSS就是跨站脚本攻击。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web
360 网站安全通用防护脚本分享,可修复漏洞
weixin_34034261的博客
09-15 253
2019独角兽企业重金招聘Python工程师标准>>> ...
JAVA WEB中处理防SQL注入|防XSS跨站脚本攻击(咋个办呢 zgbn)
咋个办呢 zgbn
11-28 3756
JAVA WEB中处理防SQL注入|防XSS跨站脚本在java web项目中,必然会涉及到从客户端向服务端提交数据,那么由于服务端对数据的处理等动作,会因为字符串拼接和使用的特殊性,存在一些漏洞被人利用。这篇文章,主要介绍一下在java web项目中,程序设计上在什么位置进行集中处理,我想这一点还是比较重要的,我经常遇到一些新手也知道对提交数据进行处理,但是苦于不知道在什么位置处理,最终用了很low
Java实现的高效XSS攻击防御系统源码分析
XSS攻击跨站脚本攻击)是一种常见的Web安全攻击方式,攻击者通过在Web页面中嵌入恶意脚本,当用户浏览该页面时,恶意脚本执行,从而导致用户信息泄露、恶意脚本执行等安全问题。 2. XSS攻击过滤器 XSS攻击过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值