java 防止 XSS 攻擊的常用方法總結

原創 Jeenyyin 2020-07-07 07:19

項目中遇到的關於XSS注入:查閱資料如下:

Java 今天要記錄的 XSS 攻擊, XSS 攻擊的專業解釋,可以在網上搜索一下,參考百度百科的解釋 http://baike.baidu.com/view/2161269.htm, 但在實際的應用中如何去防止這種攻擊呢,下面給出幾種辦法.

  1. 自己寫 filter 攔截來實現,但要注意的時,在WEB.XML 中配置 filter 的時候,請將這個 filter 放在第一位.

  2. 採用開源的實現 ESAPI library ,參考網址: https://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API

  3. 可以採用spring 裏面提供的工具類來實現.

一, 第一種方法。
配置過濾器
public class XSSFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void destroy() {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
}
}

再實現 ServletRequest 的包裝類
import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
public class XSSRequestWrapper extends HttpServletRequestWrapper {
public XSSRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
@Override
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = stripXSS(values[i]);
}
return encodedValues;
}
@Override
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
return stripXSS(value);
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
return stripXSS(value);
}
private String stripXSS(String value) {
if (value != null) {
// NOTE: It’s highly recommended to use the ESAPI library and uncomment the following line to
// avoid encoded attacks.
// value = ESAPI.encoder().canonicalize(value);
// Avoid null characters
value = value.replaceAll("", “”);
// Avoid anything between script tags
Pattern scriptPattern = Pattern.compile("", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Remove any lonesome <script …> tag
scriptPattern = Pattern.compile("<script(.?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid eval(…) e­xpressions
scriptPattern = Pattern.compile(“eval\((.?)\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid e­xpression(…) e­xpressions
scriptPattern = Pattern.compile("e­xpression\((.?)\)”, Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid javascript:… e­xpressions
scriptPattern = Pattern.compile(“javascript:”, Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid vbscript:… e­xpressions
scriptPattern = Pattern.compile(“vbscript:”, Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll("");
// Avoid οnlοad= e­xpressions
scriptPattern = Pattern.compile(“onload(.*?)=”, Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
}
return value;
}
}

例子中註釋的部分,就是採用 ESAPI library 來防止XSS攻擊的,推薦使用.

當然,我還看到這樣一種辦法,將所有的編程全角字符的解決方式,但個人覺得並沒有上面這種用正則表達式替換的好

private static String xssEncode(String s) {
if (s == null || s.equals("")) {
return s;
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch © {
case ‘>’:
sb.append(‘>’);// 全角大於號
break;
case ‘<’:
sb.append(‘<’);// 全角小於號
break;
case ‘’’:
sb.append(’\’);
sb.append(’’’);
sb.append(’\’);
sb.append(’’’);
break;
case ‘"’:
sb.append(’\’);
sb.append(’"’);// 全角雙引號
break;
case ‘&’:
sb.append(’&’);// 全角
break;
case ‘\’:
sb.append(’\’);// 全角斜線
break;
case ‘#’:
sb.append(’#’);// 全角井號
break;
case ‘:’:
sb.append(’:’);// 全角冒號
break;
case ‘%’:
sb.append("\\%");
break;
default:
sb.append©;
break;
}
}
return sb.toString();
}

當然,還有如下更簡單的方式:
private String cleanXSS(String value) {
//You’ll need to remove the spaces from the html entities below
value = value.replaceAll("<", “& lt;”).replaceAll(">", “& gt;”);
value = value.replaceAll("\(", “& #40;”).replaceAll("\)", “& #41;”);
value = value.replaceAll("’", “& #39;”);
value = value.replaceAll(“eval\((.*)\)”, “”);
value = value.replaceAll("[\"\’][\s]javascript:(.)[\"\’]", “”"");
value = value.replaceAll(“script”, “”);
return value;
}

在後臺或者用spring 如何實現呢:
首先添加一個jar包:commons-lang-2.5.jar ,然後在後臺調用這些函數:
StringEscapeUtils.escapeHtml(string);
StringEscapeUtils.escapeJavaScript(string);
StringEscapeUtils.escapeSql(string);

原文鏈接:侵刪 http://ju.outofmemory.cn/entry/54043

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

(原創) odoo各版本對視圖中節點groups屬性的處理差別

1.14版(含14)視圖節點groups屬性的處理結果表現在可見性上(invisible),如果當前用戶不在指定的角色中,則設置可見性標記invisible爲"1"         2.16版(含16)以後對視圖節點groups屬性的處理

yier 2024-06-08 14:35:45

lightdb hash index的性能和限制

  除了btree外,lightdb是支持hash index的,但是總體來說支持的特性範圍均不如btree索引,比如parallel沒有btree索引智能,不支持=之外的操作,不支持bitmap index scan,不支持哈希唯一索引(

zhjh256 2024-06-08 14:32:04

pathlib and difflib

pathlib.Path("a.crt").write_text(a[0]) p.chmod(0o444) Path.cwd() p.write_bytes(b'Binary file contents') p.read_bytes()

root- 2024-06-08 14:31:34

利用WinSW將Nginx 作爲可正常啓動/停止的windows服務

下載winsw程序,Releases · winsw/winsw (github.com) 將下載的exe文件放置到nginx.exe的同級目錄,名字可以修改爲nginx-service.exe(也可不修改) 新建txt文本文檔,並將其名

漫漫人生路總會錯幾步 2024-06-08 14:30:54

純CSS+單個div實現抖音LOGO

純CSS+單個div就能繪製抖音LOGO 關鍵點: 主要藉助了兩個僞元素實現了整體結構,藉助了 drop-shadow 生成一層整體陰影 drop-shadow 只能是單層陰影,所以另一層陰影需要多嘗試 contrast(150%) br

劉漢貴 2024-06-08 14:30:14

告別Word,用Python打造你的專業簡歷!

今天給大家介紹下一個在純 python 中構建簡歷的實用工具,工具的連接地址https://github.com/koek67/resume-builder/blob/main/readme.md 用法介紹 要求 Python 3.7 或更

十月狐狸 2024-06-08 14:24:54

一款.NET開源、免費、實用的多功能原神工具箱(改善桌面端玩家的遊戲體驗)

前言 今天大姚給大家分享一款.NET開源(MIT License)、免費、實用的多功能原神工具箱,旨在改善桌面端玩家的遊戲體驗:胡桃工具箱。 工具箱介紹 胡桃工具箱是一款.NET開源(MIT License)、免費、實用的多功能原神工具箱

追逐時光 2024-06-08 14:24:33

輻射3刷藥

去megaton裏面的屍鬼.那裏買藥, 把破爛賣給他. 然後傳送到其他地圖, 再傳送回來, 他就又有錢和新藥了.繼續賣破爛, 買藥.刷幾次就夠了.

張博的博客 2024-06-08 14:22:03

重新研究go的併發模型.

go裏面可以實現很多併發模型的優雅解決方案. 總結起來. package main import ( "fmt" "time" ) var bufChan chan int = make(chan int, 1000) var

張博的博客 2024-06-08 14:22:03

Python 潮流週刊#54:ChatTTS 強大的文本生成語音模型

本週刊由 Python貓 出品,精心篩選國內外的 250+ 信息源,爲你挑選最值得分享的文章、教程、開源項目、軟件工具、播客和視頻、熱門話題等內容。願景:幫助所有讀者精進 Python 技術,並增長職業和副業的收入。 本期週刊分享了 12

豌豆花下貓 2024-06-08 14:21:23

kafka知識整理——部署

一、部署 (1)zk配置 修改zk配置文件config/zookeeper.properties,修改dataDir或端口 dataDir=/home/kafka/kafka3.7/data/zookeeper clientPort=218

鄭某 2024-06-08 14:16:43

Asp .Net Core 系列:詳解鑑權(身份驗證)以及實現 Cookie、JWT、自定義三種鑑權 (含源碼解析)

什麼是鑑權(身份驗證)? https://learn.microsoft.com/zh-cn/aspnet/core/security/authentication/?view=aspnetcore-8.0 定義 鑑權,又稱身份驗證,是

IT技術派 2024-06-08 14:15:33

cdn到oss,根據用戶終端是手機和電腦等不同分別訪問兩套前端代碼

    使用規則引擎 其中一個配置了很多瀏覽器,另外一個配置匹配所有 ,這樣就能正常訪問。如果這兩個網站,有一個沒有使用規則引擎,那麼就會兩個網站都匹配上,然後第四條規則目標path和第一條的會拼接起來作爲oss的key,肯定不存在,所以

馬昌偉 2024-06-08 14:14:22

Codeforces Round 950 (Div. 3)G. Yasya and the Mysterious Tree(字典樹處理區間異或值)

Problem - G - Codeforces 存個字典樹板子。 1 #include <bits/stdc++.h> 2 3 using i64 = long long; 4 5 constexpr int N

SnowLove 2024-06-08 14:10:12

Codeforces Round 949 (Div. 2)D. Turtle and Multiplication(歐拉路徑、線性篩、思維構造)

Problem - D - Codeforces    思路 補充官方正解,主要解釋一下爲什麼可以轉化爲求完全圖的歐拉路徑。題目要求構造的數的種數最少,相當於對於當前的m來說要儘可能構造出最長的序列長度,所以一定儘量要是完全圖。其次要求不

SnowLove 2024-06-08 14:10:12