存儲型跨站腳本漏洞,過濾特殊字符, SpringMvc防範XSS攻擊。

原創 安静读书 2020-06-14 12:57

公司最近在搞測試,請的第三方測試機構。。。一頓操作猛如虎。。。

記錄一次現在很多項目都容易忽略的存儲型跨站腳本漏洞處理,就是XSS攻擊漏洞,只要有用戶輸入的地方,就可能會有XSS漏洞,比如我們在留言板,或者發佈文章的地方輸入:

  1. <script>alert(1);</script>

當這條數據被存儲到數據庫,並且在頁面上再次顯示的時候,就會彈窗輸出“1”,這只是簡單的script腳本,嚴重的可能會出現reload到釣魚網站,讓用戶輸入密碼、sql注入,獲取數據或者刪庫、獲取當前的cookie,並將數據發送到指定郵箱等問題,後果不堪設想。

很多網站爲了避免XSS的攻擊,對用戶的輸入都採取了過濾,最常見的就是對<>轉換,轉換成大於號,小於號,驗證了一下CSDN的留言板,是將<script>轉換成[removed],經過轉換以後<>雖然可在正確顯示在頁面上,但是已經不能構成代碼語句了。

我們的項目是用的SpringMvc框架,所以就記錄在SpringMvc項目中如何解決XSS攻擊問題:

主要邏輯:

  1. 建一個過濾器,過濾來自頁面的請求
  2. 在過濾器中,將原本的request替換成我們自己包裝好的request
  3. 我們寫一個request的裝飾類,裏面重寫獲取參數的方法,對參數進行轉義和替換

具體代碼:

  1. reqeust包裝類,重寫getParameter()等方法,這裏面對參數的轉義和替換,根據實際需求更改

    package com.study.util;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.regex.Pattern;


/**
 * @Auther: 安靜讀書
 * @Date: 2019/9/26 09:34
 * @Description:重寫getParameter方法
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest request;

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    /**
     * 重寫getParameter方法
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        value = format(value);
        return value;
    }

    /**
     * 重寫getParameterMap
     */
    @Override
    @SuppressWarnings("unchecked")
    public Map<String, String[]> getParameterMap() {
        HashMap<String, String[]> paramMap = new HashMap<>(super.getParameterMap());
        paramMap = (HashMap<String, String[]>) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry<String, String[]> entry = (Map.Entry<String, String[]>) iterator.next();
            String [] values = entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if(values[i] instanceof String){
                    values[i] = format(values[i]);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }

    /**
     * 重寫getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] encodedValues = null;
        String[] values = super.getParameterValues(name);
        if(values != null){
            int count = values.length;
            encodedValues = new String[count];
            for (int i = 0; i < count; i++) {
                encodedValues[i] = format(values[i]);
            }
        }
        return encodedValues;
    }

    /**
     * 重寫getHeader
     */
    @Override
    public String getHeader(String name) {
        return format(super.getHeader(name));
    }

    public String filter(String message) {
        if (message == null)
            return (null);
        message = format(message);
        return message;
    }

    /**
     *  @desc 統一處理特殊字符的方法,替換掉sql和js的特殊字符
     *  @param name 要替換的字符
     */
    private String format(String name) {
        return xssEncode(name);
    }

    /**
     * 將容易引起xss & sql漏洞的半角字符直接替換成全角字符
     *
     * @param s
     * @return
     */
    private static String xssEncode(String s) {
        if (s == null || s.isEmpty()) {
            return s;
        }else{
            s = stripXSSAndSql(s);
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append(">");// 轉義大於號
                    break;
                case '<':
                    sb.append("<");// 轉義小於號
                    break;
//            case '\'':
//                sb.append("'");// 轉義單引號
//                break;
//            case '\"':
//                sb.append(""");// 轉義雙引號
//                break;
//            case '&':
//                sb.append("&");// 轉義&
//                break;
//            case '#':
//                sb.append("#");// 轉義#
//                break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }

    /**
     * 防止xss跨腳本攻擊(替換,根據實際情況調整)
     */
    public static String stripXSSAndSql(String value) {
        if (value != null) {
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid e-xpression(...) expressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

     

  2. 過濾器類

    package com.study.util;

import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @Auther: 安靜讀書
 * @Date: 2019/9/26 09:33
 * @Description: 處理xss攻擊的過濾器
 */
public class RequestFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain)
            throws ServletException, IOException {
        // 將request通過自定義的裝飾類進行裝飾
        com.study.om.util.XssRequestWrapper xssRequest = new com.study.om.util.XssRequestWrapper((HttpServletRequest) request);
        filterChain.doFilter(xssRequest, response);
    }
}

     

  3. 在web.xml中加入自己的過濾器,可以加到filter後面

    <!-- xss注入過濾器 -->
    <filter>
        <filter-name>xssRequestFilter</filter-name>
        <filter-class>com.study.util.RequestFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>xssRequestFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    完成之後可以啓動項目進行驗證,我們找一個有輸入框的地方,輸入<script>alert(1);</script>,不會有顯示,而且也沒有進行保存,這樣就可以避免存儲型腳本了,解決xss攻擊。

當然,如果項目不是SpringMVC的模式,而且輸入的地方很少,也可以加一層簡單的過濾工具類:

package com.study.util;

import java.util.regex.Pattern;

/**
 * @Auther: 安靜讀書
 * @Date: 2019/9/26 14:17
 * @Description:解決存儲型跨站腳本漏洞,過濾特殊字符
 */
public class XSSUtil {
    public static String striptXSS(String value) {
        if (value != null) {
            value = value.replaceAll("", "");
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile(".*<.*", Pattern.CASE_INSENSITIVE );
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SpringBoot 瘦包

不摸魚了,直接上代碼! 也參考了網上很多資料,請理解! <build> <plugins> <plugin> <artifactId>maven-compiler-plugin</arti

中了代码的毒 2020-07-08 11:45:05

根據其他線程返回值繼續執行當前線程

import java.util.concurrent.FutureTask; public class Test { public static void main(String[] args) throws Exce

t0hka 2020-07-08 10:21:00

反射初識

反射 1. 反射概述 1.1 Java文件和.class文件的關係 Java文件 Java文件中包含代碼的所有內容,類,接口,成員變量,成員方法.... .class字節碼問題 .java文件 通過 javac編譯工具生成對

t0hka 2020-07-08 09:40:15

TCP服務器和客戶端學生管理系統功能分析

TCP服務器和客戶端學生管理系統 1. 服務器功能分析 1.1 數據處理模塊 1. 驗證用戶登陸 2. 完成最基本的增刪改查功能 3. 考慮鎖操作 1.2 數據存儲模塊 1. JSON文件格式存儲和讀取 2. 定時更新操作 1

t0hka 2020-07-08 09:40:15

構建自己的簡單微服務架構

總體介紹 隨着業務需求的快速發展變化,需求不斷增長,迫切需要一種更加快速高效的軟件交付方式。微服務可以彌補單體應用不足,是一種更加快速高效軟件架構風格。單體應用被分解成多個更小的服務,每個服務有自己的獨立模塊,單獨部署,然後共同組

CacoCode 2020-07-08 09:08:45

mybatis-reflection反射包解析

反射包解析 概述 mybatis反射包,提供了反射相關的工具,爲啥要提供這些工具呢,java不是已經提供反射的功能了嗎? java反射雖然已經很強大,但是api偏底層,要想使用好可能會需要大量重複代碼,可能使用不當也會產生性能問題

请叫我程序猿大人 2020-07-08 08:38:26

在SpringBoot中使用MockMvc和Junit進行單元測試

Mock 在面向對象的程序設計中,模擬對象(英語:mock object)是以可控的方式模擬真實對象行爲的假對象。在編程過程中,通常通過模擬一些輸入數據,來驗證程序是否達到預期結果。 使用Mockito一般分三個步驟: 1、模擬測

计科11231 2020-07-08 07:48:00

Java訪問SAP(RFC連接)接口

項目基於Spring 4.3.7 + Hibernate 4.3.11 1. 前端ajax調用 Z_PLM_SAP_CRM_MASTER接口前端調用 //根據項目編碼,獲取項目描述 function changeProjectCo

计科11231 2020-07-08 07:48:00

InnoDB雜談

目錄   一、索引算法 1、B+樹 1.1B+樹的插入 1.2B+樹的刪除 2、B+樹索引 2.1聚集索引 2.2輔助索引 2.3創建索引 2.4Online DDL 2.5Cardinality 2.6MRR 2.7哈希索引 二、鎖 1

我不是小康 2020-07-08 04:32:03

谷歌文件系統(The Google File System譯)(第3章)

3. 系統交互 我們是出於最大限度地減少master在所有操作中的參與度來設計系統的。在此背景之下,現在我們再來描述客戶端、master,以及chunkserver是如何進行交互以實現數據變更,原子性記錄追加和快照的操作 3.1

E_Mlls 2020-07-08 03:37:08

python 學習入門之更新鏡像源問題

先更新pip  命令:pip install --upgrade pip  系統自帶的鏡像源都是國外的下載速度慢,建議更換爲國內鏡像源,下面是永久更換鏡像源的方法: windows 環境更換pip鏡像源 第一步:在C:\Users\Adm

Python_LZ 2020-07-08 02:56:20

python文件讀寫r r+ w w+ a a+ 的區別,光標定位seek的作用。

最近有朋友剛學python 問我一個關於 r+ 是否可以對文件內容覆蓋的問題,所以就大致整理了一下,如果有啥差異,可以指出,多謝指導 1、python 中 r 是隻讀模式,文件必須是已經存在的否則會報 no such file or di

Python_LZ 2020-07-08 02:56:20

Java 繼承(子類構造函數重載的問題)

下面請看一段代碼,父類(基類)SuperClass,子類(派生類)SubClass class SuperClass { private int n; SuperClass(int n) {

shaojingxiang 2020-07-08 02:25:24

軟件&系統架構總綱

軟件&系統架構總綱 分層分割分佈式 異步集羣有緩存 安全冗餘自動化 伸縮擴展全能用  AOP  與   IOC MVC    +     DI 設計模式均負載 熔斷限流雅啓停 事務分佈ACID 離線計算與AI   軟件架構 分層:分層是計

wyg_031113 2020-07-08 01:12:25

java項目中使用oshi搭建監控系統

官網地址:https://github.com/oshi/oshi 首先引入jar包 <dependency> <groupId>com.github.oshi</groupId>

beyond丿qq:1559810637 2020-07-07 23:49:29