如何杜绝跨站脚本
• 输入输出过滤元字符
– <>
– ()
– &、#、%、?
• 输入输出转义元字符
– '<' → < '>' → >
– '&' → &
– ' → %#027; " → "
方法一、过滤特殊字符
如<script>、<img>、<iframe>……
示例代码:
import java.io.IOException; import java.util.ArrayList; import java.util.Enumeration; import java.util.List; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; /** * 防止XSS(Cross Site Script)攻击的Filter * * */ public class XSSDefendFilter implements Filter { public static List<String> arrTagList = new ArrayList<String>(); // public static boolean filterSwitch = // com.travelsky.caair.common.Para.xssFilterB2C; public XSSDefendFilter() { super(); if (arrTagList.size() == 0) {// 过滤敏感HTML TAG arrTagList.add("<script"); arrTagList.add("<embed"); arrTagList.add("<style"); arrTagList.add("<frame"); arrTagList.add("<object"); arrTagList.add("<iframe"); arrTagList.add("<frameset"); arrTagList.add("<meta"); arrTagList.add("<xml"); arrTagList.add("<applet"); arrTagList.add("<link"); arrTagList.add("onload"); arrTagList.add("<img"); arrTagList.add("<a"); arrTagList.add("onmouse"); arrTagList.add("onblur"); arrTagList.add("onchange"); arrTagList.add("onclick"); arrTagList.add("ondblclick"); arrTagList.add("onkey"); arrTagList.add("onfocus"); arrTagList.add("onselect"); } } public void init(FilterConfig cfg) throws ServletException { // TODO Auto-generated method stub } @SuppressWarnings("unchecked") public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // TODO Auto-generated method stub boolean flag = false; Enumeration en = request.getParameterNames(); String prtName = "-"; String prtValue = "-"; while (en.hasMoreElements()) { prtName = (String) en.nextElement(); prtValue = request.getParameter(prtName); if (prtValue != null) { if (judgeTagByRegular(prtValue.toLowerCase())) { System.out.println("ERROR Filter:" + prtName + "=" + prtValue); flag = true; break; } } } if (!flag) { chain.doFilter(request, response); } else {// Error Process,如果有错误,大家自己定向到一个位置 System.out.println("ERROR Filter:" + ((HttpServletRequest) request).getRequestURI()); ((javax.servlet.http.HttpServletResponse) response) .sendRedirect(((HttpServletRequest) request).getContextPath()+ "/index.jsp"); } } /** * 对arrTagList 的tag 用正则表达式封装 * * @param obj * @return */ private boolean judgeTagByRegular(String obj) { Pattern pattern = Pattern .compile( "(.*\\s*)((<\\s*script\\s*)|(<\\s*embed\\s*)|(<\\s*style\\s*)|(<\\s*img\\s*)|(<\\s*image\\s*)|(<\\s*frame\\s*)|(<\\s*object\\s*)|(<\\s*iframe\\s*)|(<\\s*a\\s*)|(<\\s*frameset\\s*)|(<\\s*meta\\s*)|(<\\s*xml\\s*)|(<\\s*applet\\s*)|(\\s*onmouse\\s*)|(<\\s*link\\s*)|(\\s*onload\\s*)|(\\s*onblur\\s*)|(\\s*onchange\\s*)|(\\s*onclick\\s*)|(\\s*ondblclick\\s*)|(\\s*onfocus\\s*)|(\\s*onkey\\s*)|(\\s*onselect\\s*)|(\\s*alert\\s*\\())(.*\\s*)", Pattern.CASE_INSENSITIVE); return pattern.matcher(obj).matches(); } @SuppressWarnings("unused") private boolean judgeHasTag(String obj) { for (int i = 0; i < arrTagList.size(); i++) { String tt = arrTagList.get(i).toString(); if (obj.indexOf(tt) >= 0) { return true; } } return false; } /* * (non-Java-doc) * * @see javax.servlet.Filter#destroy() */ public void destroy() { // TODO Auto-generated method stub } }
此方法有一定局限性,有很多可以绕过的方式:
<scRIpt> <scr%00ript> <scr\nript> eval('<scr'+'ipt>') < script > ...
方法二:还可以使用HTML和URL编码来避免问题。
可以使用apache-lang包中的提供的方法,如下:
System.out.println(StringEscapeUtils.escapeHtml("<iframe src='http://www.baidu.com'/>")); System.out.println(StringEscapeUtils.escapeHtml("<script>alert('ok');</script>"));
使用以上方法会得到下面的结果:
<iframe src='http://www.baidu.com'/> <script>alert('ok');</script>
这样经过html转义就可以防止html元素代码执行。方式XSS攻击。
相关推荐
对用户输入的所有数据进行拦截,检测是否含有XSS攻击关键字,如果存在XSS攻击关键字,对一些特殊字符,如:“<”、“>”、“&”等进行转义。 实现方案 自定义一个Filter拦截器,使用 Filter来过滤浏览器发出的...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
Mall4j开源商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的开源商城。...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。Mall4j项目致力于...
第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。
《XSS跨站脚本攻击剖析与防御》,完整版本。作者:邱永华,出版社:人民邮电出版社,ISBN:9787115311047,PDF 格式,扫描版,大小 67MB。本资源带有PDF书签,方便...第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
XSS的攻击与防范 XSS的攻击与防范
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSS跨站脚本攻击在Java开发中防范的方法
php编辑器或者文本域获取js传值 js写入防止被攻击XSS;有demo使用手册
基于机器学习建模的 XSS 攻击防范检测.docx
XSS的攻击与防范2 XSS的攻击与防范2
防范json xss的方法 - 黑白网络 防范json xss的方法 - 黑白网络
本文实例讲述了ThinkPHP2.x防范XSS跨站攻击的方法。分享给大家供大家参考。具体如下: 一直使用ThinkPHP2.x,通过乌云有向提交了ThinkPHP XSS攻击的bug,抽时间看了一下。 原理是通过URL传入script标签,ThinkPHP...
Mall4j开源商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的开源商城
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、 一个完整、易于维护的开源的电商系统,采用现阶段流行技术实现。后台管理系统包含商品管理、订单管理、运费模板、规格...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城 前言 Mall4j项目...
一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的完全开源商城。
”Mall4j开源商城,一个基于spring boot、spring oauth2.0、mybatis、redis的轻量级、前后端分离、防范xss攻击、拥有分布式锁,为生产环境多实例完全准备,数据库为b2b2c设计,拥有完整sku和下单流程的开源商城