XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。
一.过滤器方案
XSSFilter.java
package com.bijian.study.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
/**
* Servlet Filter implementation class XSSFilter
*/
@WebFilter("/XSSFilter")
public class XSSFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException,
ServletException {
chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
}
}
XSSRequestWrapper.java
package com.bijian.study.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringEscapeUtils;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
public XSSRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = stripXSS(values[i]);
}
return encodedValues;
}
@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return stripXSS(value);
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return stripXSS(value);
}
private String stripXSS(String value) {
value = StringEscapeUtils.escapeHtml(value);
value = StringEscapeUtils.escapeJavaScript(value);
value = StringEscapeUtils.escapeSql(value);
return value;
}
}
web.xml中的配置
<filter> <filter-name>XSSFilter</filter-name> <filter-class>com.bijian.study.filter.XSSFilter</filter-class> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.do</url-pattern> </filter-mapping> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>*.jsp</url-pattern> </filter-mapping>
二.JSP的EL表达式+JSTL标签库方案
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/";
String nameStr = request.getParameter("name");//用request得到
request.setAttribute("nameAttr", nameStr);
%>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Hello</title>
</head>
<body>
Hi,<c:out value="${nameAttr}"/>
<!--
Hi,<%=nameStr%>
Hi,${param.name}
-->
</body>
</html>
XSS更详细的背景及方案,请参看:http://www.cnblogs.com/flyingeagle/articles/6746732.html
相关推荐
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止)Xss攻击 web.xml,需要的...
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
三、Web安全系列之防御 1、常见防御方案(1天) 2、安全开发(2天) 开发自检、测试自检、部署自检 开发工具:安全框架Spring security、 shiro、Spring boot 3、安全工具和设备(2天) DDos防护、WAF、主机入侵...
全书分4 篇共16 章,除介绍Web 安全的基础知识外,还介绍了Web 应用程序中最常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些...
OWASP Java编码器项目 上下文输出编码是停止跨站点脚本编写所必需的计算机编程技术。 该项目是Java 1.5+易于使用的嵌入式高性能编码器类,几乎没有负担。开始使用OWASP Java编码器您可以从下载JAR。 JSP标签和EL函数...
Lucy-XSS:XssFilter,XssPreventer Lucy-XSS是一个包含两个防御模块的开源库,用于保护Web应用程序免受XSS攻击。 它支持基于白名单规则的安全策略。 当前的默认规则是Naver的标准。 您可以根据需要更改默认规则。...
基于SpringBoot+Mybatis开发的分布式校园租赁系统 ,项目经过严格测试,确保可以运行!项目基于Java Web,前端用网页展现。该系统包括两个子系统:一是后台管理系统,供管理员使用。...使用AOP技术进行XSS防御
如何防御XSS攻击 将脚本特殊字符,转换成html源代码进行展示。 汉字编码: 步骤:编写过滤器拦截所有getParameter参数,重写XssHttpServletRequestWrapper,将参数特殊字符转换成html源代码保存。 @WebFilter...
基于OWASP组织提供的WEB项目中跨站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
后端:springboot项目开发,md5加密,XSS防御技术 前端:bootstrap前端框架+jsp技术 主要实现功能: 用户:注册登陆,在线搜索简历,申请岗位,收藏中心,进度查看,问卷测试,个人中心,简历管理等功能 管理员:...
CSRF和XSS防御 Basic Auth和Authorization 支持插件扩展 支持 webjars 资源 基于cron表达式的任务 内置多种常用中间件 内置 JSON 输出 JDK8+ 概述 » 简单:设计简单,易于理解,并且不会在您和标准库之间引入很多层...
CSRF和XSS防御 Basic Auth和Authorization 支持插件扩展 支持 webjars 资源 基于cron表达式的任务 内置多种常用中间件 内置 JSON 输出 JDK8+ 概述 » 简单:设计简单,易于理解,并且不会在您和标准库之间引入很多层...
CSRF和XSS防御 Basic Auth和Authorization 支持插件扩展 支持 webjars 资源 基于任务的cron表达式 内置多种常用中间件 内置 JSON 输出 JDK8+ 概述 » 简单:设计简单,易于理解,并且不会在您和标准库之间引入很多层...
CSRF和XSS防御 Basic Auth和Authorization 支持插件扩展 支持 webjars 资源 基于任务的cron表达式 内置多种常用中间件 内置 JSON 输出 JDK8+ 概述 » 简单:设计简单,易于理解,并且不会在您和标准库之间引入很多层...
CSRF和XSS防御 Basic Auth和Authorization 支持插件扩展 支持 webjars 资源 基于任务的cron表达式 内置多种常用中间件 内置 JSON 输出 JDK8+ 概述 » 简单:设计简单,易于理解,并且不会在您和标准库之间引入很多层...
此外,资料包中的源码往往遵循良好的编程规范,有助于新手学习如何组织代码、处理Web请求和防御常见的安全威胁,比如SQL注入和跨站脚本攻击(XSS)。通过分析和实践这些源码,学习者能够加深对JSP及相关Web技术的...
常见的Web攻击手段和防御方法,如XSS、CRSF、SQL注入等。 常见的一些安全算法,如数字摘要、对称加密、非对称加密、数字签名、数字证书等。 如何采用摘要认证方式防止信息篡改、通过数字签名验证通信双方的...
经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三。与前两者相比,CSRF相对来说受到的关注要小很多,但是危害却非常大。通常情况下,有三种方法被广泛用来防御CSRF攻击:验证token,验证...