java登入過濾 跨站指令碼攻擊問題解決
一,web.xml 檔案新增過濾,要加在登陸驗證之前
<!-- 特殊字元過濾驗證或轉義 --> <filter> <filter-name>XSSFilter</filter-name> <filter-class>com.web.system.filter.XSSFilter</filter-class> <init-param> <param-name>validate</param-name> <param-value> <![CDATA[ expression|prompt|iframe|frame|SYS.TAB|script|alert|src|href|%|<|>|\\x|%5Cx|\*/|/\*|\> |\<|\‘|\“|\\|\/|\(|\) ]]> </param-value> </init-param> <init-param> <param-name>ignoreurl</param-name> <param-value></param-value> </init-param> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>/loginCheck</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
二,新增自定義攔截 XSSFilter.java
import java.io.IOException; import java.io.UnsupportedEncodingException; import java.util.Iterator; import java.util.Map; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import org.apache.log4j.Logger; /** * <p> * Title: XSSFilter * </p> * <p> * Description: XSS防禦過濾器 * </p> * * @author msCall * @date 2018-9-12 */ public class XSSFilter implements Filter { private static Logger logger = Logger.getLogger(XSSFilter.class); private FilterConfig config = null; private static String validate = "--|'"; private String ignoreurl = ""; @Override public void init(FilterConfig config) throws ServletException { this.config = config; validate = config.getInitParameter("validate"); ignoreurl = config.getInitParameter("ignoreurl"); } @Override public void destroy() { config = null; } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { XSSHttpServletRequestWraper wrapper = new XSSHttpServletRequestWraper((HttpServletRequest) request); String comKey = null; String comStr = null; String[] arrStr = null; String checkRs = null; String method = ((HttpServletRequest) wrapper).getMethod(); /** * 攔截get請求 */ if (method != null && "get".compareToIgnoreCase(method) == 0) { // String requestUrl = ((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase(); // if (!"".equals(((HttpServletRequest) wrapper).getQueryString()) // && null != ((HttpServletRequest) wrapper).getQueryString()) { // requestUrl = ((HttpServletRequest) wrapper).getQueryString().toLowerCase(); // } else { // chain.doFilter(wrapper, response); // return; // } // /** // * 如果是白名單就直接跳過 // */ // if (isIgnoreUrl(((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase())) { // chain.doFilter(wrapper, response); // return; // } // // try { // requestUrl = java.net.URLDecoder.decode(requestUrl, "UTF-8"); // } catch (Exception e) { // e.printStackTrace(); // } // checkRs = dataAutoCheck(requestUrl); // if (!"RSRIGHT".equals(checkRs)) { // wrapper.getRequestDispatcher("/pages/err_str_limite.jsp").forward(request, response); // return; // } chain.doFilter(wrapper, response); return; } /** * 攔截POST請求 */ else { checkRs = null; /** * 如果是白名單就直接跳過 */ if (isIgnoreUrl(((HttpServletRequest) wrapper).getRequestURL().toString().toLowerCase())) { chain.doFilter(wrapper, response); return; } Map allFormDateMap = (Map) wrapper.getParameterMap(); // 獲取表單提交過來的資料 for (Iterator i = allFormDateMap.entrySet().iterator(); i.hasNext();) { Map.Entry entry = (Map.Entry) i.next(); Object ob = (Object) entry.getValue(); Object key = (Object) entry.getKey(); /** * 驗證表單的key */ if (key instanceof String) { comKey = (String) key; if(comKey.equals("content"))continue; //如果是公告管理的內容欄位content,則跳過過濾 checkRs = dataAutoCheck(comKey); } /** * 驗證表單的value */ if (ob != null && ob instanceof String) { comStr = (String) ob; checkRs = dataAutoCheck(comStr); } else if (ob != null && ob instanceof String[]) { arrStr = (String[]) ob; for (int j = 0; j < arrStr.length; j++) { comStr = arrStr[j]; checkRs = dataAutoCheck(comStr); if (!"RSRIGHT".equals(checkRs)) break; } } if (!"RSRIGHT".equals(checkRs)) { wrapper.getRequestDispatcher("/err_str_limite.jsp.jsp").forward(request, response); // response.setCharacterEncoding("utf-8"); // PrintWriter out = response.getWriter(); // Map<String, String> map = new HashMap<>(); // map.put("errtype", "xss"); // map.put("errinfo", "輸入資訊中包含非法資料!"); // out.print(JSON.toJSONString(map)); // out.close(); return; } } } chain.doFilter(wrapper, response); } private boolean isIgnoreUrl(String url) { String param[] = ignoreurl.split(","); for (int i = 0; i < param.length; i++) { if (url.indexOf(String.valueOf(param[i]).toLowerCase()) > 0) { return true; } } return false; } /** * * @description 根據過濾規則過濾XSS攻擊字元 * @author msCall * @date 2018-9-12 * @param str 表單提交的值 * @return 驗證結果 */ public static String dataAutoCheck(String str) throws UnsupportedEncodingException { Pattern p = null; // 正則表示式 Matcher m = null; // 操作的字串 String[] sp = validate.split("\\|"); for (int i = 0; i < sp.length; i++) { p = Pattern.compile(sp[i].trim().toLowerCase()); m = p.matcher(str.toLowerCase()); if (m.find()) return sp[i].trim(); } return "RSRIGHT"; } }
三,新增XSSHttpServletRequestWraper.java
import java.util.HashMap; import java.util.Iterator; import java.util.Map; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang.StringUtils; /** * <p> * Title: XSSHttpServletRequestWraper * </p> * <p> * Description: XSS防禦請求處理類 * </p> * * @author msCall * @date 2018-9-12 */ public class XSSHttpServletRequestWraper extends HttpServletRequestWrapper{ public XSSHttpServletRequestWraper(HttpServletRequest request) { super(request); } /** *覆蓋基類的getParameter()方法,對請求引數的值進行過濾。 */ @Override public String getParameter(String name) { String value = super.getParameter(name); //Constants.MY_LOG.debug("getParameter----->轉義處理"); //return clearXss(super.getParameter(name));// 保留勿刪 if (null == value) return null; return xssEncode(value.trim()); } /** *覆蓋基類的getHeader()方法,對請求引數的值進行過濾。 */ @Override public String getHeader(String name) { String value = super.getHeader(name); //Constants.MY_LOG.debug("getHeader----->轉義處理"); //return clearXss(super.getHeader(name)); // 保留勿刪 if (null == value) return null; return xssEncode(value); } /** *覆蓋基類的getParameterValues()方法,對請求引數的值進行過濾。 */ @Override public String[] getParameterValues(String name) { //Constants.MY_LOG.debug("getParameterValues----->轉義處理"); if(!StringUtils.isEmpty(name)){ String[] values = super.getParameterValues(name); if(values != null && values.length > 0){ String[] newValues = new String[values.length]; for(int i =0; i< values.length; i++){ //newValues[i] = clearXss(values[i]);// 保留勿刪 newValues[i] = xssEncode(values[i]); } return newValues; } } return null; } @SuppressWarnings("unchecked") public Map<String,String[]> getParameterMap() { Map<String,String[]> map = new HashMap<String,String[]>(); Map<String,String[]> paramMap = (Map<String,String[]>) super.getParameterMap(); for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) { Map.Entry<String,String[]> entry = (Map.Entry<String,String[]>) iterator.next(); String [] values = entry.getValue(); for (int i = 0; i < values.length; i++) { if(values[i] instanceof String){ values[i] = xssEncode(values[i]); } } //entry.setValue(values);//不支援tomcat7 map.put(entry.getKey(), values); } return map; } /** * * 處理字元轉義【勿刪,請保留該註釋程式碼】 * @param value * @return private String clearXss(String value){ if (value == null || "".equals(value)) { return value; } value = value.replaceAll("<", "<").replaceAll(">", ">"); value = value.replaceAll("\\(", "(").replace("\\)", ")"); value = value.replaceAll("'", "'"); value = value.replaceAll("eval\\((.*)\\)", ""); value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\""); value = value.replace("script", ""); return value; }*/ /** * 將特殊字元替換為全形 * @param s * @return */ private String xssEncode(String s) { if (s == null || s.isEmpty()) { return s; } StringBuilder sb = new StringBuilder(); for (int i = 0; i < s.length(); i++) { char c = s.charAt(i); switch (c) { //將特殊字元替換為全形 case '>': sb.append('>');// 全形大於號 |\>|\<|\‘|\“|\\|\/|\(|\) break; case '<': sb.append('<');// 全形小於號 break; case '\'': sb.append('‘');// 全形單引號 break; //case '\"': // sb.append('“');// 全形雙引號 // break; //case '&': // sb.append('&');// 全形& // break; case '\\': sb.append('\');// 全形斜線 break; case '/': sb.append('/');// 全形斜線 break; //case '#': // sb.append('#');// 全形井號 // break; case '(': sb.append('(');// 全形(號 break; case ')': sb.append(')');// 全形)號 break; default: sb.append(c); break; } } return sb.toString(); } }
四,err_str_limite.jsp 跳轉頁面展示
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<%@ page contentType="text/html;charset=utf-8"%><html>
<style type="text/css">
#tip2 {
position: absolute;
right: 450px;
bottom: 0px;
height: 100px;
width: 260px;
border: 1px solid #CCCCCC;
background-color: #eeeeee;
padding: 1px;
overflow: hidden;
display: none;
font-size: 12px;
z-index: 10;
}
#tip2 p {
padding: 6px;
}
#tip2 h1,#detail h1 {
font-size: 14px;
height: 25px;
line-height: 25px;
background-color: #0066CC;
color: #FFFFFF;
padding: 0px 3px 0px 3px;
filter: Alpha(Opacity = 100);
}
#tip2 h1 a,#detail h1 a {
float: right;
text-decoration: none;
color: #FFFFFF;
}
</style>
<script type="text/javascript">
window.onload = function() {
var divTip = document.createElement("div");
divTip.id = "tip2";
divTip.style.top = '0px';
divTip.style.margin = '0,auto,0,0';
divTip.style.height = '0px';
divTip.style.bottom = '0px';
divTip.style.position = 'fixed';
document.body.appendChild(divTip);
start();
setInterval("start()", 300000);
}
var handle;
function start() {
var obj = document.getElementById("tip2");
obj.innerHTML = "<h1><a href='javascript:void(0)' onclick='start()'>×</a>提示</h1><p>輸入包含非法資料,</br>例如,--,',\",\\,;,%,>,!,<,</br>iframe,frame,SYS.TAB,script,</br>alert,src,href等</p>";
if (parseInt(obj.style.height) == 0) {
obj.style.display = "block";
handle = setInterval("changeH('up')", 20);
}else {
handle = setInterval("changeH('down')", 20)
}
}
function changeH(str) {
var obj = document.all ? document.all["tip2"] : document.getElementById("tip2");
if (str == "up") {
if (parseInt(obj.style.height) > 150) {
clearInterval(handle);
} else {
obj.style.height=(parseInt(obj.style.height) + 8).toString() + "px";
}
}
if (str == "down") {
if (parseInt(obj.style.height) < 8) {
clearInterval(handle);
obj.style.display = "none";
} else {
obj.style.height = (parseInt(obj.style.height) - 8).toString() + "px";
}
}
}
</script>五,驗證成功。
相關推薦
java登入過濾 跨站指令碼攻擊問題解決
一,web.xml 檔案新增過濾,要加在登陸驗證之前 <!-- 特殊字元過濾驗證或轉義 --> <filter> <filter-name>XSSFilter</filter-name>
如何解決跨站指令碼攻擊
分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!
XSS跨站指令碼攻擊以及解決辦法
來源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全稱為Cross Site Script,跨站指令碼攻擊,是WEB程式中一種常見的漏洞。其主要的攻擊手段是在在利用網站上的可由使用者輸入資訊的地方,惡意注入含有攻擊性的指令碼,達到攻擊網
JAVA WEB中處理防SQL注入|防XSS跨站指令碼攻擊(咋個辦呢 zgbn)
JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程
跨站指令碼攻擊(XSS)幾種解決方案淺析
一、概述 Cross-site scripting(CSS or XSS)跨站指令碼不像其他攻擊只包含兩個部分:攻擊者和web站點,跨站指令碼包含三個部分:攻擊者,客戶和web站點。跨站指令碼攻擊的目的是竊取客戶的cookies,或者其他可以證明使用者身份的敏
跨站指令碼攻擊-----為什麼要過濾危險字串
不算前言的前言好像已經很久沒有寫過安全方面的文章了,所謂安全圈子裡面,大家也許認為玄貓消失了,不過,我想,作為駭客的玄貓也許從來沒有出現過吧。沒錯的,我是玄貓,如果前兩年你看過《黑客X檔案》或者《黑客手冊》這樣的民間安全雜誌,那麼你也許見過這個名字。或者,很抱歉的,你的站點
ASP.NET 下 XSS 跨站指令碼攻擊的過濾方法
做 WEB 開發當然要防止跨站指令碼攻擊了,尤其是開發BLOG、論壇、購物平臺等可以讓使用者新增自定義內容的網站。 有些開發者選擇了將所有Html內容都過濾掉,但是這些不適合有些需要將自定義內容開放給使用者的網站,比如淘寶、cnblogs、CSDN這樣的網站。 在 .net
跨站指令碼攻擊xss學習
0、認識跨站指令碼 舉一個跨站指令碼的簡單例子。 假設一個頁面將使用者輸入的引數直接顯示到頁面之中。(比如有如下程式碼) 在實際的瀏覽器中,在param中提交的引數正常會展示到頁面之中。比如輸入下面的URL: 然後發現瀏覽器頁面的提供會變成這樣: 此時如果提交下面的URL: 會發現
XSS(Cross Site Scripting)-跨站指令碼攻擊
XSS(Cross Site Scripting)-跨站指令碼攻擊 XSS介紹 XSS攻擊目的及原理 解決方案 [科普]如何防止跨站點指令碼攻擊 XSS介紹 XSS是跨站指令碼攻擊(Cross Site Scripting)的縮
web安全(1)-- XSS(跨站指令碼攻擊)
XSS攻擊,通常指黑客通過“html注入” 篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁的時候,控制使用者瀏覽器的一種攻擊。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)一段惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程式碼會自動執行,從而達到攻擊的目的。如,盜取使用者Co
DVWA之DOM XSS(DOM型跨站指令碼攻擊)
LOW 原始碼: <?php # No protections, anything goes ?> 從原始碼可以看出,這裡low級別的程式碼沒有任何的保護性措施! 頁面本意是叫我們選擇預設的語言,但是對default引數沒有進行任何的過濾 所以我們
跨站指令碼攻擊(XSS) 漏洞原理及防禦方法
注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/83745195 XSS跨站指令碼攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用程式碼儲存在資料庫或檔案中,當web程式讀取利用程
XSS跨站指令碼攻擊----XSS攻擊的三種類型
一、簡介 什麼是XSS? 百度百科的解釋: XSS又叫CSS (Cross Site Script) ,跨站指令碼攻擊。它指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面的html程式碼會被執行,從而達到惡意使用者的特殊目的。
XSS跨站指令碼攻擊
閱讀目錄 1、簡介 2、原因解析 3、XSS攻擊分類 3.1、反射型xss攻擊 3.2、存貯型xss攻擊 3.3、DOMBasedXSS(基於dom的跨站點指令碼攻擊) 4、XSS攻擊例項分析 例1、簡單XSS攻擊 例2、盜取cookie 5
PHP漏洞全解(四)-xss跨站指令碼攻擊【轉】
轉自:https://www.cnblogs.com/pingliangren/p/5586977.html XSS(Cross Site Scripting),意為跨網站指令碼攻擊,為了和樣式表css(Cascading Style Sheet)區別,縮寫為XSS 跨站指令碼主
【XSS技巧拓展】————4、淺談跨站指令碼攻擊與防禦
跨站指令碼簡稱xss(cross-site scripting),利用方式主要是藉助網站本身設計不嚴謹,導致執行使用者提交的惡意js指令碼,對網站自身造成危害。xss漏洞是web滲透測試中最常見而又使用最靈活的一個漏洞,近期在拜讀了《白帽子講web安全》、《Web實戰篇》、《XSS跨站指令碼
《白帽子講Web安全》3-跨站指令碼攻擊(XSS)
第3章 跨站指令碼攻擊(XSS) 3.1 XSS簡介 Cross Site Script,跨站指令碼攻擊,簡稱XSS。 XSS攻擊,通常是指黑客通過“HTML注入”篡改了網頁,插入了惡意的指令碼,從而在客使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。
【安全測試】Web應用安全之XSS跨站指令碼攻擊漏洞相關
閱讀目錄 歡迎轉載,也請註明出處 :http://www.cnblogs.com/Detector/p/8811216.html 謝謝!前言 以前都只是在各類文件中見到過XSS,也進行過相關的學習,但是都是一知半解,過了一段時間就忘了。 前幾天我們收到了了一份標題為《XX賬號暱稱引數中存在儲存XSS漏洞
跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)阿里雲防護
漏洞描述: 跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的程式碼放到伺服器上作為一個網頁內容, 使得其他網站使用
XSS 跨站指令碼攻擊 學習筆記 (一) 概念與簡單XSS構造
XSS是個啥? ### XSS 跨站指令碼攻擊。通過HTML注入篡改網頁,插入惡意指令碼。 啥是XSS? 首先我們寫了一個PHP <?php $input = $_GET["id"]; echo "<div>".$input."&l