2. 程式人生 > >java介面防止XSS攻擊的常用方法總結

java介面防止XSS攻擊的常用方法總結

阿新 發佈:2019-01-05

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百科的解釋 http://baike.baidu.com/view/2161269.htm, 但在實際的應用中如何去防止這種攻擊呢,下面給出幾種辦法.
1. 自己寫 filter 攔截來實現,但要注意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.
2. 採用開源的實現 ESAPI library ,參考網址:

https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

3. 可以採用spring 裡面提供的工具類來實現.

一, 第一種方法。
配置過濾器

public class XSSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }
    @Override
    public void destroy() {
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }
}

再實現 ServletRequest 的包裝類

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }
        return encodedValues;
    }
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return stripXSS(value);
    }
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }
    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);
            // Avoid null characters
            value = value.replaceAll("", "");
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("(.*?)", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome  tag
            scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome  tag
            scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... e­xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

例子中註釋的部分,就是採用 ESAPI library 來防止XSS攻擊的,推薦使用.

當然,我還看到這樣一種辦法,將所有的程式設計全形字元的解決方式,但個人覺得並沒有上面這種用正則表示式替換的好

private static String xssEncode(String s) {
        if (s == null || s.equals("")) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
            case '>':
                sb.append('>');// 全形大於號
                break;
            case '<':
                sb.append('<');// 全形小於號
                break;
            case '\'':
                sb.append('\\');
                sb.append('\'');
                sb.append('\\');
                sb.append('\'');
                break;
            case '\"':
                sb.append('\\');
                sb.append('\"');// 全形雙引號
                break;
            case '&':
                sb.append('&');// 全形
                break;
            case '\\':
                sb.append('\');// 全形斜線
                break;
            case '#':
                sb.append('#');// 全形井號
                break;
            case ':':
                sb.append(':');// 全形冒號
                break;
            case '%':
                sb.append("\\\\%");
                break;
            default:
                sb.append(c);
                break;
            }
        }
        return sb.toString();
    }

當然,還有如下更簡單的方式:

private String cleanXSS(String value) {
                //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

在後臺或者用spring 如何實現呢:
首先新增一個jar包:commons-lang-2.5.jar ,然後在後臺呼叫這些函式:

StringEscapeUtils.escapeHtml(string); 
StringEscapeUtils.escapeJavaScript(string); 
StringEscapeUtils.escapeSql(string);

當然,我記得在spring 裡面好像有一個 HtmlUtils.htmlEscape , 同樣可以做到 過濾 XSS 攻擊。從上面的介紹可以看出,防止 XSS 攻擊並不難,就是要小心。

以下是我們專案中使用的替換XSS敏感字元的公用方法:

	private static final String[] dangerCharacters = {"<",">","\"","\'","%","(",")","\\", "."};
	
	public static String filterParameter(String parameter){
		if(StringUtils.isEmpty(parameter))return null;
		StringBuffer sb = new StringBuffer(parameter);
		for(String s : dangerCharacters){
			while(sb.indexOf(s) > -1){
				sb.deleteCharAt(sb.indexOf(s));
			}
		}
		return sb.toString();
	}

相關推薦

java介面防止XSS攻擊常用方法總結

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百

php防止xss攻擊方法

其實就是過濾從表單提交來的資料,使用php過濾函式就可以達到很好的目的。 <?php   if (isset($_POST['name'])){       $str = trim($_POST['name']);  //清理空格     $str = stri

java 防止 XSS 攻擊常用方法總結.

在前面的一篇文章中,講到了java web應用程式防止 csrf 攻擊的方法,參考這裡 java網頁程式採用 spring 防止 csrf 攻擊. ,但這只是攻擊的一種方式,還有其他方式,比如今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百

java 防止 XSS 攻擊常用方法總結

import java.util.regex.Pattern; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XSSReques

java 防止 XSS 攻擊常用方法

javax 編程 cape sap ins servlet space javascrip throws 1. 自己寫 filter 攔截來實現,但要註意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.2. 采用開源的實現 ESAP

java防止跨站點XSS攻擊方法

com.frameworkset.common.filter.CharsetEncodingFilter CharsetEncodingFilter是不具備防止跨站攻擊功能的,但是為其增加兩個init-param引數後就可以了:     wallfilterrules 指定

java 防止xss攻擊

urn .cn lee lan 轉義 chain archive quest itl http://www.cnblogs.com/TankXiao/archive/2012/03/21/2337194.html#xsshappen 這裏說下最近項目中我們的解決方案,

Java防止XSS攻擊

stream false end public catch while one 數據 tro 方法一: 1.添加XssFilter @Configuration public class XssFilter implements Filter { @Overr

Java-String類的常用方法總結

一、String類 String類在java.lang包中,java使用String類建立一個字串變數,字串變數屬於物件。java把String類宣告的final類,不能有類。String類物件建立後不能修改,由0或多個字元組成,包含在一對雙引號之間。二、String類物件的建立 字串宣告:Stri

Java實用方法整理(十七)——File類常用方法總結

一,建立功能 1,public boolean createNewFile() throws IOException     建立新檔案 2,public boolean mkdirs()    建立新的目錄,若父目錄不存在,會自動建立 3,public boolean

JAVA多執行緒機制第四彈:(末篇)執行緒常用方法總結和執行緒同步

執行緒的常用方法: 這裡我覺得這個老師的教案總結的很舒胡(主要是懶~):  執行緒同步: 在處理多執行緒問題時,有一個Bug問題啊:當兩個或多個執行緒同時訪問一個父類變數時,並且一個執行緒需要修改這個變數,(一個執行緒讓變數A增加,另一個執行緒讓變數A減少)。 所

Java Web使用過濾器防止Xss攻擊,解決Xss漏洞

web.xml新增過濾器 <!-- 解決xss漏洞 --> <filter> <filter-name>xssFilter</filter-nam

django 防止xss攻擊標記為安全的二種方法

str='<a href="/page?page=1">1</a>' 一,在前端模板語言中實現,只須用到幫助函式safe.如:   {{ str|safe }}   二,在後端views中實現:   from django.utils.safestring impo

JAVA中sort()常用方法總結

一、Arrays.sort()的用法 import java.util.Arrays; public class Main{ public static void main(String args[

[前端]防止xss攻擊的最簡單方法

xss攻擊:跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻

Java集合類Collections常用方法總結

public class CollectionsTest { public static void main(String[] args) { List<Integer> list = new ArrayList<In

java字串和常用方法總結

Java字串類(java.lang.String) String 類的常用的建立方式一般兩種 1、String s1=”abc”; 2、String s2=new String(“abc”); 這兩中方式區別在於 : 1中先是在常量池檢查是否有這個字串

java中陣列常用方法總結

Java和C陣列的一些異同: 相同點:陣列名都是首元素的地址 不同點:C語言宣告變數可以直接定義陣列長度,java不可以                 java只有在為陣列分配變數時,可以宣告陣列長度                 java:int  [] a;    

防止SpringMVC的XSS攻擊方法

XSS攻擊,即Cross Site Script,跨指令碼攻擊,往web頁面注入html程式碼或者script程式碼,造成頁面混亂。 HttpServletRequestWrapper 是HttpSe

Java-String類的作用和常用方法總結

String    String類是所有語言最常用的一個類,用於描述字串事物。     String類在Java中被設計成final的,類不能被繼承和修改,至於為什麼要將String設計成final可以