XSS漏洞 解决

最新推荐文章于 2023-02-07 14:08:05 发布
最新推荐文章于 2023-02-07 14:08:05 发布
阅读量996 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yyl388569/article/details/67637894

转译参数


     将容易引起xss漏洞的半角字符直接替换成全角字符 

    public String xssEncode(String s)  
    {  
        if (s == null || s.isEmpty())  
        {  
            return s;  
        }  
          
        String result = stripXSS(s);  
        if (null != result)  
        {  
            result = escape(result);  
        }  
          
        return result;  
    }  
      
    private String stripXSS(String value)   
    {  
                if (value != null)   
                {  
                    // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to  
                    // avoid encoded attacks.  
                    // value = ESAPI.encoder().canonicalize(value);  
                    // Avoid null characters  
                    value = value.replaceAll("", "");  
                    // Avoid anything between script tags  
                    Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid anything in a src='...' type of expression  
                    scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome </script> tag  
                    scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome <script ...> tag  
                    scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid eval(...) expressions  
                    scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid expression(...) expressions  
                    scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid javascript:... expressions  
                    scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid vbscript:... expressions  
                    scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Avoid onload= expressions  
                    scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                      
                    scriptPattern = Pattern.compile("<iframe>(.*?)</iframe>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                      
                    scriptPattern = Pattern.compile("</iframe>", Pattern.CASE_INSENSITIVE);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                    // Remove any lonesome <script ...> tag  
                    scriptPattern = Pattern.compile("<iframe(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);  
                    value = scriptPattern.matcher(value).replaceAll("");  
                }  
                return value;  
        } 
php xss漏洞解决方案,解析检查 —— 存储型XSS漏洞解决方案
weixin_39917291的博客
04-04 734
TSRC编者按:Web2.0时代,XSS漏洞不容小觑。特别是在UGC业务,支持“安全的”HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞。腾讯安全中心从2007年就面向内部UGC业务推出“安全API”项目用于解决这类场景,原理是对用户提交内容进行预解析,过滤掉产生安全问题的语句。大马胖子在这方面经验丰富,大家可以看看这块是如何实现的。也欢迎实测demo,发...
XSS 存储漏洞解决
qq_33391644的博客
07-21 1561
XSS漏洞修复 网上方案不得不妨看一下,网上方案优化之后的代码
XSS跨站脚本攻击(二)
yansong_8686的专栏
12-07 947
在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来避免Xss问题。而由于开发人员的水平不一,加上在编写代码的过程中安全意识的差异,可能会粗心漏掉对用户输入内容进行encode处理。针对这种大量参数是不可能
Java Xss半角转全角防攻击
狮子座人生
10-22 1367
/** * 将容易引起xss漏洞的半角字符直接替换成全角字符 * * @param s * @return */ private String xssEncode(String s) { if (s == null || s.equals("")) { return s; } try { s = URLDecoder.dec...
xss漏洞之进制转换
:)
07-18 502
SQL注入的事件已经是上个世纪最令人头疼的攻击方法,21世纪又出现了HTML注入漏洞,随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。   1.HTML标签注入:     &lt;script&gt;alert('Hello World!')&lt;/script&gt;   ...
XSS(跨站脚本)漏洞详解之XSS跨站脚本攻击漏洞解决
热门推荐
飞上云端看彩虹
01-22 7万+
XSS(跨站脚本)漏洞详解 XSS的原理和分类 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户...
Java Web应用程序的反跨站点脚本(XSS)过滤器
最佳 Java 编程
05-09 366
这是为Java Web应用程序编写的一个好简单的反跨站点脚本(XSS)过滤器。 它的主要作用是从请求参数中删除所有可疑字符串,然后将其返回给应用程序。 这是我以前关于该主题的帖子的改进。 您应该将其配置为链(web.xml)中的第一个过滤器,通常最好让它捕获对您站点的所有请求。 实际的实现包括两个类,实际的过滤器非常简单,它将HTTP请求对象包装在一个专门的HttpServle...
XSS漏洞解决方案实例
08-30
跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类...
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
项目防止脚本攻击sxx存储性漏洞
kang1011的博客
10-21 2461
项目防止脚本攻击sxx存储性漏洞 <a 标签跳转,等等 现象: 如上页面一些更新修改添加操作,输入js一些可执行脚本,对网站进行攻击。 解决: 可引入以下的工具类,对保存的字段做过滤拦截,防止js脚本攻击。 package com.xx; import java.util.regex.Pattern; public class XSSUtils { public static String striptXSS(String value) { if (va
XSS(Cross Site Scripting,跨站脚本攻击)
weixin_45760365的博客
03-31 1344
XSS(Cross Site Scripting,跨站脚本攻击)
XSS原理和攻防
HHH's Blogs
05-10 449
参考来源:av32599703 Cross Site Scripting 跨站脚本攻击。XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 涉及...
防止链接注入( XSS跨站脚本攻击)、跨站点脚本编制
zou493451860的专栏
06-27 2794
import java.util.HashMap; import java.util.Iterator; import java.util.Map; import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWr
【SpringBoot学习】23、SpringBoot 防止SQL注入、XSS攻击、CSRF/CROS恶意访问
Tellsea
03-18 4032
文章目录一、SQL注入问题(1)什么是SQL注入(2)防止SQL注入二、XSS攻击问题(1)什么是XSS攻击(2)防止XSS攻击三、CSRF/CROS恶意访问(1)什么是CSRF/CROS恶意访问(2)解决办法四、解决方案微信公众号 一、SQL注入问题 (1)什么是SQL注入 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3746
springboot项目防止XSS攻击和sql注入
java接口防止XSS攻击的常用方法总结
分享传递价值
08-16 1万+
在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击, XSS 攻击的专业解释,可以在网上搜索一下,参考百度百科的解释 http://baike.baidu.com/view/2161269.htm, 但在实际的应用中如何去防止这种攻...
XSS漏洞03】XSS漏洞验证、语句构造与绕过方法
Fighting_hawk的博客
02-24 1万+
1. 了解漏洞验证相关概念含义; 2. 掌握XSS漏洞验证的方法; 3. 掌握XSS语句构造的5种方法; 4. 掌握XSS语句绕过的8种方法。
javascript 过滤字符串中script并且替换xss注入攻击
gyq04551的博客
12-05 2227
function scriptReplace(str) { if (new RegExp(".*?script[^>]*?.*?(<\/.*?script.*?>)*", "ig").test(str)) {//包含 var str1 = str.replace('script', '</*script*/>');//替换的内容 return st...
springboot 解决xss漏洞
最新发布
01-11
### 解决Spring Boot中XSS漏洞的方法 #### 防御措施概述 避免XSS攻击最有效的方式是对用户输入的数据进行转义,再将其存入数据库。当数据在视图层用于渲染HTML页面时,经过转义处理的文字不会作为JavaScript被执行,从而可以抵御XSS攻击[^3]。 #### 导入必要的依赖库 为了增强应用程序的安全性,建议引入专门针对安全性的库来帮助预防潜在的威胁。对于基于Maven构建工具管理的Spring Boot项目而言,可以在`pom.xml`文件内加入如下配置: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- OWASP Java HTML Sanitizer --> <dependency> <groupId>com.googlecode.owasp-java-html-sanitizer</groupId> <artifactId>owasp-java-html-sanitizer</artifactId> <version>20211018.2</version> </dependency> ``` 上述代码片段展示了如何添加OWASP提供的Java HTML清理器至项目的依赖列表之中,该组件能够有效地过滤掉有害标签和属性,确保只允许特定范围内的标记存在。 #### 对用户提交的内容实施严格的验证与净化策略 除了简单的字符替换外,更推荐采用白名单机制对所有来自客户端的信息进行全面审查;即仅接受已知无害且必需的部分,其余一律丢弃或拒绝接收。具体实现方式取决于业务逻辑需求以及所使用的模板引擎类型(Thymeleaf/JSP等),下面给出一段利用Apache Commons Lang中的StringEscapeUtils类来进行基本编码转换的例子: ```java import org.apache.commons.lang3.StringEscapeUtils; // 假设input是从HTTP请求参数获取到的一串字符串形式的数据 public String sanitizeInput(String input){ return StringEscapeUtils.escapeHtml4(input); } ``` 这段示例函数会把传入的任意文本序列转化为符合HTML标准的安全版本,其中任何特殊符号都会被替换成对应的实体表示法,比如 `<` 变成 `<`, `>` 成为 `>` 等等。 #### 设置响应头以增加额外防护层次 通过调整服务器端发出的HTTP头部信息也能起到辅助作用,例如启用Content Security Policy (CSP),它能精确控制哪些资源是可以信任并加载执行的,极大地降低了遭受反射型或存储型XSS侵害的风险程度。可在全局配置文件application.properties里指定相应选项: ```properties server.servlet.session.cookie.http-only=true security.headers.frame-options=DENY management.endpoints.web.exposure.include=* management.endpoint.health.show-details=always # CSP policy example server.error.whitelabel.enabled=false server.servlet.context-path=/secure-app # Add this line to enforce strict CSP rules server.servlet.jsp.init-parameters.default-csp-directive="default-src 'self'; script-src 'self' https://apis.google.com;" ``` 以上设置不仅强化了Cookie安全性、阻止点击劫持尝试,还定义了一套较为严谨的内容安全方针,限制外部脚本加载路径仅为当前域本身加上谷歌API服务地址[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值