基于Antisamy项目实现防XSS攻击

最新推荐文章于 2024-09-23 18:36:41 发布
最新推荐文章于 2024-09-23 18:36:41 发布
阅读量917 收藏
点赞数
分类专栏: 运维 文章标签: XSS攻击
本文介绍如何使用OWASP的AntiSamy项目解决Web应用中的XSS安全问题。通过对用户提交的数据进行扫描和清理,确保HTML、CSS及JavaScript的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。

为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSamy是一个可以确保用户输入的HTML、CSS、JavaScript符合规范的API。它确保了用户无法在HTML中提交恶意代码,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。

AntiSamy的下载地址:

 官方网站:https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

          项目地址:https://code.google.com/p/owaspantisamy/downloads/list

 我们项目使用的Java,除了antisamy-1.5.3.jar包外,还需要下述jar包。

AntiSamy的使用如下:

定义一个XssFilter的Class,该类必须实现Filter类,在XssFilter类中实现doFilter函数。将策略文件放到和pom.xml同级目录下,然后开始编写XssFilter。

[java]  view plain  copy
  1.    public class XssFilter implements Filter {  
  2. @SuppressWarnings("unused")  
  3. private FilterConfig filterConfig;  
  4. public void destroy() {  
  5.     this.filterConfig = null;  
  6. }  
  7. public void doFilter(ServletRequest request, ServletResponse response,  
  8.         FilterChain chain) throws IOException, ServletException {  
  9.     chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);  
  10. }  
  11. public void init(FilterConfig filterConfig) throws ServletException {  
  12.     this.filterConfig = filterConfig;  
  13. }     
  14.    }  
我们需要重写request,新建一个类XssRequestWrapper,继承HttpServletRequestWrapper,需要重写getParameter(String param), getParameterValues(String param)以及getHeader(String param)方法,以及过滤非法html方法xssClean()

[java]  view plain  copy
  1. public class XssRequestWrapper extends HttpServletRequestWrapper {  
  2.       
  3.     private static Policy policy = null;  
  4.       
  5.     static{  
  6.         //String path = URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";  
  7.         String path =XssRequestWrapper.class.getClassLoader().getResource("antisamy-anythinggoes-1.4.4.xml").getFile();  
  8.         System.out.println("policy_filepath:"+path);  
  9.         if(path.startsWith("file")){  
  10.             path = path.substring(6);  
  11.         }  
  12.          try {  
  13.             policy = Policy.getInstance(path);  
  14.         } catch (PolicyException e) {  
  15.             e.printStackTrace();  
  16.         }  
  17.     }  
  18.   
  19.     public XssRequestWrapper(HttpServletRequest request) {  
  20.         super(request);  
  21.     }  
  22.       
  23.     @SuppressWarnings("rawtypes")  
  24.     public Map<String,String[]> getParameterMap(){  
  25.         Map<String,String[]> request_map = super.getParameterMap();  
  26.         Iterator iterator = request_map.entrySet().iterator();  
  27.         System.out.println("request_map"+request_map.size());  
  28.         while(iterator.hasNext()){  
  29.             Map.Entry me = (Map.Entry)iterator.next();  
  30.             //System.out.println(me.getKey()+":");  
  31.             String[] values = (String[])me.getValue();  
  32.             for(int i = 0 ; i < values.length ; i++){  
  33.                 System.out.println(values[i]);  
  34.                 values[i] = xssClean(values[i]);  
  35.             }  
  36.         }  
  37.         return request_map;  
  38.     }  
  39.      public String[] getParameterValues(String paramString)  
  40.       {  
  41.         String[] arrayOfString1 = super.getParameterValues(paramString);  
  42.         if (arrayOfString1 == null)  
  43.           return null;  
  44.         int i = arrayOfString1.length;  
  45.         String[] arrayOfString2 = new String[i];  
  46.         for (int j = 0; j < i; j++)  
  47.           arrayOfString2[j] = xssClean(arrayOfString1[j]);  
  48.         return arrayOfString2;  
  49.       }  
  50.   
  51.       public String getParameter(String paramString)  
  52.       {  
  53.         String str = super.getParameter(paramString);  
  54.         if (str == null)  
  55.           return null;  
  56.         return xssClean(str);  
  57.       }  
  58.   
  59.       public String getHeader(String paramString)  
  60.       {  
  61.         String str = super.getHeader(paramString);  
  62.         if (str == null)  
  63.           return null;  
  64.         return xssClean(str);  
  65.       }  
  66.         
  67.         
  68.     private String xssClean(String value) {  
  69.         AntiSamy antiSamy = new AntiSamy();  
  70.         try {  
  71.             //CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);   
  72.             final CleanResults cr = antiSamy.scan(value, policy);  
  73.             //安全的HTML输出  
  74.             return cr.getCleanHTML();  
  75.         } catch (ScanException e) {  
  76.             e.printStackTrace();  
  77.         } catch (PolicyException e) {  
  78.             e.printStackTrace();  
  79.         }  
  80.         return value;  
  81.     }  
  82. }  
在我们使用AntiSamy进行测试时,发现确实能够有效的控制xss攻击,用户的非法输入全部被删除或替换了,但是也发现会把“&nbsp;”转换成乱码,把双引号转换成"&quot;"

为了解决这两个错误转换,我们修改了xssClean(String value)方法。

[java]  view plain  copy
  1. <p align="left">  
  2. </p>  


转载自:https://blog.youkuaiyun.com/gavinloo/article/details/40863449

Antisamy(XSS御)的学习
qq_461491877的博客
01-16 3655
AntisamyXSS御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
xss站点攻击过滤jar包antisamy-1.5.1
10-17
ntisamy是owasp的开源项目,它用来确保用户输入的HTML/CSS符合应用规范的API,可以有效xss攻击。它提供了用于验证用户输入的富文本以御跨站脚本的API
antisamy XML 简介
周碧银
09-29 1993
1) antisamy-slashdot.xml Slashdot (http://www.slashdot.org/)是一个提供技术新闻的网站,它允许用户用有限 的 HTML 格式的内容匿名回帖。Slashdot 不仅仅是目前同类中最酷的网站之一,而 且同时也曾是最容易被成功攻击的网站之一。更不幸的是,导致大部分用户遭受攻 击的原由是臭名昭着的 goatse.cx 图片(请你不要
XSS脚本攻击御(Antisamy)(下)
Vi_error.nextval
01-12 1364
上篇写了怎么使用antisamyxss脚本攻击,下篇简单分析一下antisamy过滤的原理。 基础步骤的分析 项目源码 扫描流程 html解析成dom的流程基础步骤的分析从上篇的最基础的实现逻辑分析具体的实现,下面这段最基础实现非常好理解,看注释就能知道实现步骤。//定义过滤的策略 Policy policy = Policy.getInstance("file"); //此处的file指使用的
Beetl解决XSS问题(AntiSamy
weixin_33775582的博客
08-11 434
2019独角兽企业重金招聘Python工程师标准>>> ...
XSS跨域攻击在web项目中的范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的范,基于antisamy技术。
基于antisamy技术的XSS跨域攻击范策略
XSS攻击对Web安全构成重大威胁,基于antisamy技术的范策略能够有效地减少这种威胁。通过细致地配置和应用antisamy规则集,能够将用户输入中的潜在风险降到最低。同时,开发者应该保持警惕,持续关注新的安全威胁,...
AntiSamy.NET:NET Core的基于策略的反XSS
05-08
反萨米网 一个.net标准库,用于执行来自不受信任来源HTML的可配置清除。 换句话说,它是一个API,可以帮助您确保客户端不会在其提供给个人资料,注释等HTML中提供恶意的货物代码,这些代码会持久保存在服务器上。 关于Web应用程序的术语“恶意代码”通常表示“ JavaScript”。 通常,级联样式表仅在调用JavaScript时才被认为是恶意的。 但是,在许多情况下,可能以恶意方式使用“正常” HTML和CSS。 如何使用 首先,从Nuget添加依赖项 install-package AntiSamy Policy antiSamyPolicy = Policy . FromFile ( " <your> " ) AntiSamy antiSamy = new AntiSamy (); string yourDirtyInput =
AntiSamy Xss攻击过滤封装WebService源码
11-08
将开源的 AntiSamy Xss 跨站脚本攻击工具封装为 Java WebService,可以运行在 Tomcat 下。 压缩包里是源码及所有依赖的dll,开发环境是 eclipse jdk 6.0。 如使用 asp.net 开发,可简单部署一个 TOMCAT 服务器,使用WebService调用接口做XSS(跨站脚本攻击)过滤。
AntiSamy Xss跨站脚本攻击WebService War包下载
11-08
.net环境里,一直没有好的Xss跨站脚本攻击过滤工具,于是将Java下的AntiSamy封装成了WebService,供.net程序调用。 运行环境是TOMCAT 7,JDK 1.6。 将War包复制到Tomcat安装目录下的webapps目录,然后启动Tomcat即可。 启动Tomcat后,会自动解压缩War包,如需更改过滤配置,可以修改 webapps\XssFilter3\WEB-INF\conf\antisamy-config.xml 保存后,重启Tomcat即可生效。 默认WebService地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter .net环境下得到wsdl的地址是 http://[youserver]:[yourport]/XssFilter3/services/AntiSamyFilter?wsdl
XSS-使用AntiSamy配置文件
02-02
XSS-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS御中
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xmlantisamy-ebay.xmlantisamy-myspace.xmlantisamy-anythinggoes.xmlantisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
ThingsBoard源码阅读 - 基于antisamy自定义validation注解实现xss攻击
最新发布
m0_56555119的博客
09-23 713
ThingsBoard源码阅读 - 基于antisamy自定义validation注解实现xss攻击
深入解析antisamy策略文件XSS跨域攻击
Antisamy是一个开源的XSS护库,通过定义一系列的策略(即规则集)来XSS攻击。策略文件定义了哪些HTML标签和属性是允许的,哪些是禁止的,以及如何对不安全的内容进行清洗。 在本文件中,列举了四种特定的...
【SpringBoot应用篇】SpringBoot集成AntiSamyXSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1754
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
Antisamy 集成
small_MQ的博客
04-28 262
文章目录导入坐标写过滤器创建XssRequestWrapper 类配置类 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS御中。 导入坐标 <dependency> <groupId>org.owasp.antisamy</groupId> <artifactId>antisamy&l
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值