XSS(Cross Site Scripting)-跨站指令碼攻擊
阿新 • • 發佈:2018-11-19
XSS(Cross Site Scripting)-跨站指令碼攻擊
[科普]如何防止跨站點指令碼攻擊
XSS介紹
XSS是跨站指令碼攻擊(Cross Site Scripting)的縮寫。為了和層疊樣式表CSS(Cascading Style Sheets)加以區分,因此將跨站指令碼攻擊縮寫為XSS。XSS是因為有些惡意攻擊者往Web頁面中插入惡意Script程式碼,當用戶瀏覽該頁面時,嵌入的Script程式碼將會被執行,從而達到惡意攻擊使用者的特殊目的
XSS攻擊目的及原理
由於對XSS攻擊瞭解不是很深入,暫時羅列兩條危害:
- 被惡意使用者發現惡意提交表單。
- 其他使用者看到這個包括惡意指令碼的頁面並執行,獲取使用者的cookie等敏感資訊。
攻擊原理圖如下所示:
解決方案
使用org.apache.commons.lang包中的StringEscapeUtils方法
- 建立HttpServletRequestWapper的包裝類。繼承servlet的HttpServletRequestWrapper,並重寫相應的幾個有可能帶xss攻擊的方法
import javax.servlet.http.HttpServletRequest; - XssFilter 的實現方式是實現servlet的Filter介面
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
/**
* 反射型跨站指令碼攻擊過濾器
* @author LiHaowu
* @date 2018-11-15 14:53
*
*/
public class XssFiliter implements Filter{
@Override
public void init(FilterConfig filterconfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}
@Override
public void destroy() {
}
}
- 在web.xml加一個filter
<!-- XSS反射型指令碼攻擊過濾器 start -->
<filter>
<filter-name>XssFilter</filter-name>
<filter-class>com.hxb.servlet.XssFiliter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/appServerInfo/*</url-pattern>
</filter-mapping>
<!-- XSS反射型指令碼攻擊過濾器 end -->
這篇文章是用Apache為我們封裝好的工具類StringEscapeUtils進行了攔截,如果不能滿足業務所需要,可以在XssHttpServletRequestWrapper 中進行不同的處理,如:
import java.util.Map;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
/**
* 覆蓋getParameter方法,將引數名和引數值都做xss過濾。
* 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] value = super.getParameterValues(name);
if(value != null){
for (int i = 0; i < value.length; i++) {
value[i] = xssEncode(value[i]);
}
}
return value;
}
@Override
public Map getParameterMap() {
// TODO Auto-generated method stub
return super.getParameterMap();
}
/**
* 覆蓋getHeader方法,將引數名和引數值都做xss過濾。
* 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取
* getHeaderNames 也可能需要覆蓋
* 這一段程式碼在一開始沒有註釋掉導致出現406錯誤,原因是406錯誤是HTTP協議狀態碼的一種,
* 表示無法使用請求的內容特性來響應請求的網頁。一般是指客戶端瀏覽器不接受所請求頁面的 MIME 型別。
*
@Override
public String getHeader(String name) {
String value = super.getHeader(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
**/
/**
* 將容易引起xss漏洞的半形字元直接替換成全形字元 在保證不刪除資料的情況下儲存
* @param s
* @return 過濾後的值
*/
private static String xssEncode(String value) {
if (value == null || value.isEmpty()) {
return value;
}
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
return value;
}
}