跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

攻击实例

下面为一个Input标签:

<input type="text" value="value"></input>

当用输入值为" onfocus="alert(document.cookie)  时,input标签内容变为 <input type="text" value=""onfocus="alert(document.cookie)"></input>

当input中的可以执行的js脚本被存储到数据库中。用户再次取出显示时。就会取到用户的cookie。从而得到用户名和密码。

 (1)添加用户

(2)数据库中存储可执行脚本

 (3)编辑用户(XSS攻击发生)

攻击危害

以上获取用户名和密码只是个简单的xss攻击,还有跟多的XSS攻击实例。例如将用户导航到其他网站,后台挂马操作等

攻击预防

 原理:主要采用过滤器对请求中的特殊字符进行编码转化。从而将可以执行的script代码变为不可以执行的script脚本存储到数据库中。

示例:开发环境采用的SSH框架。所以采用过滤器,注意这里采用装饰者模式对请求request对象进行了包装。

注:由于使用了struts2.所以要自定义的装饰者对象继承StrutsRequestWrapper类。但是这样对于上传文件获得不到参数。因为上传文件请求类型为MultiPart

所以包装对象为原始的请求HttpServletRequestWrapper

具体代码:

 public class XssFilter implements Filter {

     public void destroy() {

     }

     public void doFilter(ServletRequest servletRequest,  ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

            XssStrutsRequestWrapper xssRequest = new XssStrutsRequestWrapper((HttpServletRequest) servletRequest);

            HttpServletResponse response = (HttpServletResponse)servletResponse;

            filterChain.doFilter(xssRequest, response);

     }

     public void init(FilterConfig arg0) throws ServletException {

     }

 }
 public class XssStrutsRequestWrapper extends HttpServletRequestWrapper{

     private HttpServletRequest orgRequest;

     public XssStrutsRequestWrapper(HttpServletRequest request) {

         super(request);

         this.orgRequest = request;

     }

     /**

     * 获取最原始的request

     * @return

     */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

     * 获取最原始的request的静态方法

     * @return

     */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssStrutsRequestWrapper) {

             return ((XssStrutsRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

      * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

      * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

      */

      @Override

      public String getParameter(String name) {

          String value = super.getParameter(xssEncode(name));

          if (value != null) {

              value = xssEncode(value);

          }

          return value;

      }  

      /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

      * getHeaderNames 也可能需要覆盖

      */

      @Override

      public String getHeader(String name) {

          String value = super.getHeader(xssEncode(name));

          if (value != null) {

              value = xssEncode(value);

          }

          return value;

      }

     /**

      * 覆盖getParamterMap方法,

      */

     @Override

     @SuppressWarnings("unchecked")

     public Map<String, String[]> getParameterMap() {

         Map<String, String[]> paramMap = super.getParameterMap();

             Set<String> keySet = paramMap.keySet();

             for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {

                 String key = (String) iterator.next();

                 String[] str = paramMap.get(key);

                 for(int i=0; i<str.length; i++) {

                    // 对参数值进行编码过滤

                    str[i] = xssEncode(str[i]);

                 }

             }

             return paramMap ;

      }

      public String xssEncode(String source){

          if (source == null) {

              return "";

          }

          String html = "";

          StringBuffer buffer = new StringBuffer();

          for (int i = 0; i < source.length(); i++) {

              char c = source.charAt(i);

              switch (c) {

                  case '<':

                      //buffer.append("&lt;");

                      buffer.append("<");

                      break;

                  case '>':

                      //buffer.append("&gt;");

                      buffer.append(">");

                      break;

                  case '&':

                      //buffer.append("&amp;");

                      buffer.append("&");

                      break;

                  case '"':

                      //buffer.append("&quot;");

                      buffer.append(""");

                      break;

                  default:

                      buffer.append(c);

                  }

          }

          html = buffer.toString();

          return html;

      }

 }

这里编码实现主要是xssEncode(String source)方法。XssStrutsRequestWrapper必须重写getParameterMap()方法。并调用xssEncode(String source)编码。

结果:

数据中内容将英文的“变为全角" 。从而将可以执行的js脚本并未不可执行的脚本存储在数据库中。

XSS攻击及预防的更多相关文章

  1. Spring MVC里面xss攻击的预防

    关于xss的介绍可以看 Asp.net安全架构之1:xss(跨站脚本)和 腾讯微博的XSS攻击漏洞 网页, 具体我就讲讲Spring MVC里面的预防: 第一种方法,使用Spring MVC web. ...

  2. XSS 攻击的预防

    XSS 攻击有两大要素: 1.攻击者提交恶意代码. 2.浏览器执行恶意代码. 针对第一个要素:我们是否能够在用户输入的过程,过滤掉用户输入的恶意代码呢? 输入过滤 在用户提交时,由前端过滤输入,然后提 ...

  3. 前端安全系列(一):如何防止XSS攻击?

    原文:https://my.oschina.net/meituantech/blog/2218539 前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全 ...

  4. 转:前端安全之XSS攻击

    前端安全 原文链接:https://www.freebuf.com/articles/web/185654.html 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企 ...

  5. 如何防止XSS攻击?

    来自: https://www.freebuf.com/articles/web/185654.html 前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业 ...

  6. 这一次,彻底理解XSS攻击

    希望读完本文大家彻底理解XSS攻击,如果读完本文还不清楚,我请你吃饭慢慢告诉你~ 话不多说,我们进入正题. 一.简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠 ...

  7. 一文搞懂│XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持

    目录 XSS 攻击 SQL 注入 CSRF 攻击 DDOS 攻击 DNS 劫持 XSS 攻击 全称跨站脚本攻击 Cross Site Scripting 为了与重叠样式表 CSS 进行区分,所以换了另 ...

  8. 通过 Beautiful Soup 4 预防 XSS 攻击

    通过beautifulsoup4预防XSS攻击 借助beautifulsoup4将用户输入内容进行过滤 实际使用时需要采用单例模式 步骤: 实例化对象,对页面进行解析 查找目标标签 将非法标签进行清空 ...

  9. 如何让Asp.net Web Api全局预防Xss攻击

    一.概述 二.什么是XSS 三.预防方法 四.在WebApi中如何实现 在实现之前,需要了解ASP.NET WEB API的pipeline机制. 如上,可以采用多种方式进行参数的过滤 1.重写Del ...

随机推荐

  1. 使用Yeoman generator来规范工程的初始化

    前言 随着开发团队不断发展壮大,在人员增加的同时也带来了协作成本的增加:业务项目越来越多,类型也各不相同.常见的类型有基础组件.业务组件.基于React的业务项目.基于Vue的业务项目等等.如果想要对 ...

  2. 转:Java中finally和return的执行关系

    finally可以分两方面理解 1.执行时机问题.finally总会执行(除非是System.exit()),正常情况下在try后执行,抛异常时在catche后面执行 2.返回值问题.可以认为try( ...

  3. Appium手势密码滑动之Z字形走势(java篇)

    1.直接使用负的偏移量appium会报错,在后面加上moveto(1,1)就行了 2.直接看图说话 废话少说看代码如: List<AndroidElement> element = dri ...

  4. 【一通百通】C/C++的std标准总结

    C/C++发展很多版本标准,sunsky(本人)早就想理理std标准了,让大家有个清晰的了解. 适用C(或C源代码,如C ++,Objective-C和Objective-C ++)的标准: -ans ...

  5. 关于CO中的processRequest和processFormRequest的区别

    在OAF开发中会有许多的CO,而一般情况下CO中的有两个基本的方法那就是processRequest和processFormRequest,processRequest是页面执行初始化的时候执行的方法 ...

  6. 老李推荐:第4章1节《MonkeyRunner源码剖析》ADB协议及服务: ADB协议概览 1

    老李推荐:第4章1节<MonkeyRunner源码剖析>ADB协议及服务: ADB协议概览   poptest是国内唯一一家培养测试开发工程师的培训机构,以学员能胜任自动化测试,性能测试, ...

  7. POPTEST 测试开发 免费培训课程报名

    poptest是国内唯一一家培养测试开发工程师的培训机构,以学员能胜任自动化测试,性能测试,测试工具开发等工作为目标.如果对课程感兴趣,请大家咨询qq:908821478,咨询电话010-845052 ...

  8. Android通过AOP实现防止按钮连续点击

    防止连续点击的实现方式有很多种,比如,在所有的onclick里面加上防多次点击的代码,或者定义一个新的OnClickListener,在里面加上防多次点击的代码,然后项目中的所有OnClickList ...

  9. python 语句:条件、循环、break、continue...

    1. 条件语句 执行条件:判断条件"成立时(非零),则执行后面的语句,而执行内容可以多行,以缩进来区分表示同一范围. [Python程序语言指定任何非0和非空(null)值为true,0 或 ...

  10. 深拷贝/浅拷贝之Js / AngularJs

    var a = [1,2,3,4]; var b = a; b[1] = 8; console.log("a:" + a );//1,8,3,4 consloe.log(" ...