XSS攻击预防 - 江南听雨 - ITeye博客

`

zengshaotao

浏览: 752839 次
性别:
来自: 上海

最近访客更多访客>>

njdccy

AK1343794853

chehaoj

jstl1point0

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

zengshaotao： jstl1point0 写道很好啊，如果有带Session会话 ...
Nginx+Tomcat搭建高性能负载均衡集群
jstl1point0：很好啊，如果有带Session会话的怎么搞呢
Nginx+Tomcat搭建高性能负载均衡集群

XSS攻击预防

博客分类：

开发小记

阅读更多

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

orgRequest = request;

}

/**

* 覆盖getParameter方法，将参数名和参数值都做xss过滤。<br/>

* 如果需要获得原始的值，则通过super.getParameterValues(name)来获取<br/>

* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

*/

@Override

public String getParameter(String name) {

String value = super.getParameter(stripXSS(name));

if (value != null) {

value = xssEncode(value);

value = stripXSS(value);

}

return value;

}

/**

* 覆盖getHeader方法，将参数名和参数值都做xss过滤。<br/>

* 如果需要获得原始的值，则通过super.getHeaders(name)来获取<br/>

* getHeaderNames 也可能需要覆盖

*/

@Override

public String getHeader(String name) {

String value = super.getHeader(stripXSS(name));

if (value != null) {

value = stripXSS(value);

value = xssEncode(value);

}

return value;

}

/**

* 将容易引起xss漏洞的半角字符直接替换成全角字符

*

* @param s

* @return

*/

private static String xssEncode(String s) {

if (s == null || s.isEmpty()) {

return s;

}

StringBuilder sb = new StringBuilder(s.length() + 16);

for (int i = 0; i < s.length(); i++) {

char c = s.charAt(i);

switch (c) {

/*case '>':

sb.append("＞");// 转义大于号

break;

case '<':

sb.append("＜");// 转义小于号

break;

case '\'':

sb.append("＇");// 转义单引号

break;

case '\"':

sb.append("＂");// 转义双引号

break;

case ';':

sb.append("；");// 转义&

break;*/

default:

sb.append(c);

break;

}

}

return sb.toString();

}

private String stripXSS(String value) {

if (value != null) {

// Avoid anything between script tags

Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid anything in a

// expression

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome </script> tag

scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Remove any lonesome <script ...> tag

scriptPattern = Pattern.compile("<script(.*?)>",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid eval(...) expressions

scriptPattern = Pattern.compile("eval\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid expression(...) expressions

scriptPattern = Pattern.compile("expression\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid javascript:... expressions

scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid vbscript:... expressions

scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid onload= expressions

scriptPattern = Pattern.compile("onload(.*?)=",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid alert()

scriptPattern = Pattern.compile("alert\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid confirm()

scriptPattern = Pattern.compile("confirm\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid prompt()

scriptPattern = Pattern.compile("prompt\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid onfocus()

scriptPattern = Pattern.compile("onfocus\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid onmouseover()

scriptPattern = Pattern.compile("onmouseover\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid onerror()

scriptPattern = Pattern.compile("onerror\\((.*?)\\)",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

// Avoid xss()

scriptPattern = Pattern.compile("/xss/",

Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);

value = scriptPattern.matcher(value).replaceAll("");

}

return value;

}

/**

* 获取最原始的request

*

* @return

*/

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

/**

* 获取最原始的request的静态方法

*

* @return

*/

public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

if (req instanceof XssHttpServletRequestWrapper) {

return ((XssHttpServletRequestWrapper) req).getOrgRequest();

}

return req;

}

}

分享到：

APPScan安全漏洞扫描 | MySQL优化总结

2018-04-09 11:43
浏览 428
评论(0)
分类:Web前端
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

预防XSS攻击和SQL注入XssFilter: 一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...

预防xss攻击，过滤标签.js: 预防xss攻击，过滤标签.js

Java防止xss攻击jar包: Java防止xss攻击依赖jar包

java 预防XSS攻击: Java开发项目，预防XSS攻击后台编写

XSS跨站脚本攻击剖析与防御: 第8章防御XSS攻击，介绍了一些防范XSS攻击的方法，例如，运用XSS Filter进行输入过滤和输出编码，使用Firefox浏览器的Noscript插件抵御XSS攻击，使用HTTP-only的Cookies同样能起到保护敏感数据的作用。

xss跨站脚本攻击与预防: xss跨站脚本攻击与预防.rar,包含《XSS跨站脚本攻击剖析与防御(完整版).pdf》与 xss-html-filter-master.zip 针对跨站脚本有详细说明与预防工具

一个典型的XSS框架注入攻击的分析和预防.pdf: 一个典型的XSS框架注入攻击的分析和预防.pdf

XSS跨站脚本gj剖析与防御.pdf: 《XSS跨站脚本攻击剖析与防御》，完整版本。作者：邱永华，出版社：人民邮电出版社，ISBN：9787115311047，PDF 格式，扫描版，大小 67MB。本资源带有PDF书签，方便...第8章防御XSS攻击，介绍了一些防范XSS攻击的方法

XSS跨站脚本攻击剖析与防御.pdf: 第5章 XSS Worm，讲解了Web 2.0的最大威胁——跨站脚本蠕虫，剖析了Web 2.0相关概念和其核心技术，这些知识对于理解和预防XSS Worm十分重要。第6章 Flash应用安全，就当前的Flash应用安全做出了深入阐述。第7章深入...

springboot整合XSS: springboot 整合预防xss攻击

AntiXss攻击防止的C#代码文件: AntiXss攻击防止的C#代码文件，AntiXss攻击防止的C#代码文件

xss跨站脚本攻击: 描述了一些xss跨站脚本攻击的原理以及预防。

Web攻防实验报告: Web攻防实验报告，设计WebGoat攻击和预防以及XSS攻击预防的详细实验步骤，了解Web攻防原理

调查：XSS攻击Web应用程序-研究论文: 如今，Web应用程序对于在许多领域（例如，资金，基于Web的业务，人力资源等）的利用具有巨大的价值和惊人的价值，因此必须对其进行... 在本文中，我们调查了XSS攻击，预防基于存储的XSS和基于DOM的XSS的原因和方法。

整理php防注入和XSS攻击通用过滤: 对网站发动XSS攻击的方式有很多种，仅仅使用php的一些内置过滤函数是对付不了的，即使你将filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags这些函数都使用上了也不一定能保证绝对的...

一个典型的XSS框架注入攻击的分析和预防.zip: 一个典型的XSS框架注入攻击的分析和预防

非富文本XSS漏洞预防和修复代码规范: XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的

使用AngularJS中的SCE来防止XSS攻击的方法: 主要介绍了使用AngularJS中的SCE来防止XSS攻击的方法,依靠合理地转码为HTML来预防跨站脚本漏洞共计,需要的朋友可以参考下

eblog:eblog是一个基于Springboot2.1.2开发的博客学习项目，为了让项目融合更多的知识点，达到学习目的，编写了详细的从0到1开发文档。主要学习包括：自定义Freemarker标签，redis的zset结构完成本周热议排行榜，t-io + websocket完成即时消息通知和群聊，rabbitmq + elasticsearch完成博客内容搜索引擎等。值得学习的地方很多！: 多内容内容的，通常是xss攻击预防等安全方面的。项目结构： eblog│├─src│ ├─main│ │ ├─java│ │ │ └─com│ │ │ └─markerhub│ │ │ │ CodeGenerator.java #代码生成│ │ │ ││ │ │ ├─...

Global site tag (gtag.js) - Google Analytics