XSS攻击及漏洞解决方案 | Java跨站脚本攻击防范
赞
踩
首先,简单介绍一下XSS定义:
一 、 XSS介绍
XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。
二、XSS攻击目的及原理
由于对XSS攻击了解不是很深入,暂时罗列两条危害:
1) 被恶意用户发现恶意提交表单。
2) 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。
攻击原理图如下所示:
三、解决方案
1、简立HttpServletRequestWapper的包装类。
这个类的目的是对用户发送的请求进行包装,把request中包含XSS代码进行过滤
importjava.util.Map;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;public class XssHttpServletRequestWrapper extendsHttpServletRequestWrapper {
HttpServletRequest orgRequest= null;publicXssHttpServletRequestWrapper(HttpServletRequest request) {super(request);
}/*** 覆盖getParameter方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖*/@OverridepublicString getParameter(String name) {
String value= super.getParameter(xssEncode(name));if (value != null) {
value=xssEncode(value);
}returnvalue;
}
@OverridepublicString[] getParameterValues(String name) {
String[] value= super.getParameterValues(name);if(value != null){for (int i = 0; i < value.length; i++) {
value[i]=xssEncode(value[i]);
}
}returnvalue;
}
@OverridepublicMap getParameterMap() {//TODO Auto-generated method stub
return super.getParameterMap();
}/*** 覆盖getHeader方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取
* getHeaderNames 也可能需要覆盖
* 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,
* 表示无法使用请求的内容特性来响应请求的网页。一般是指客户端浏览器不接受所请求页面的 MIME 类型。
*
@Override
public String getHeader(String name) {
String value = super.getHeader(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
**/
/*** 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存
*@params
*@return过滤后的值*/
private staticString xssEncode(String value) {if (value == null ||value.isEmpty()) {returnvalue;
}
value= value.replaceAll("eval\\((.*)\\)", "");
value= value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value= value.replaceAll("(?i).*?", "");
value= value.replaceAll("(?i).*?", "");
value= value.replaceAll("(?i)<.>.*?", "");
value= value.replaceAll("(?i)<.>.*?", "");returnvalue;
}
}
2、Filter过滤器实现对Request的过滤
importjava.io.IOException;importjavax.servlet.Filter;importjavax.servlet.FilterChain;importjavax.servlet.FilterConfig;importjavax.servlet.ServletException;importjavax.servlet.ServletRequest;importjavax.servlet.ServletResponse;importjavax.servlet.http.HttpServletRequest;importcom.lyms.wxyl.base.wrapper.XssHttpServletRequestWrapper;public class XssFilter implementsFilter {public voiddestroy() {//TODO Auto-generated method stub
}/*** 过滤器用来过滤的方法*/
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throwsIOException, ServletException {//包装request
XssHttpServletRequestWrapper xssRequest = newXssHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}public void init(FilterConfig filterConfig) throwsServletException {//TODO Auto-generated method stub
}
}
3、在Web.xml中定义好Filter
XssFilter
包名.XssFilter
XssFilter
/*
4、由于Filter类需要引入javax.servlet.api的jar包,因此还得在pom.xml配置jar包
javax.servlet
servlet-api
${servlet.version}
provided
javax.servlet
jsp-api
2.0
provided
3.0-alpha-1
