跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

攻击实例

下面为一个Input标签:

<input type="text" value="value"></input>

当用输入值为" onfocus="alert(document.cookie)  时,input标签内容变为 <input type="text" value=""onfocus="alert(document.cookie)"></input>

当input中的可以执行的js脚本被存储到数据库中。用户再次取出显示时。就会取到用户的cookie。从而得到用户名和密码。

 (1)添加用户

(2)数据库中存储可执行脚本

 (3)编辑用户(XSS攻击发生)

攻击危害

以上获取用户名和密码只是个简单的xss攻击,还有跟多的XSS攻击实例。例如将用户导航到其他网站,后台挂马操作等

攻击预防

 原理:主要采用过滤器对请求中的特殊字符进行编码转化。从而将可以执行的script代码变为不可以执行的script脚本存储到数据库中。

示例:开发环境采用的SSH框架。所以采用过滤器,注意这里采用装饰者模式对请求request对象进行了包装。

注:由于使用了struts2.所以要自定义的装饰者对象继承StrutsRequestWrapper类。但是这样对于上传文件获得不到参数。因为上传文件请求类型为MultiPart

所以包装对象为原始的请求HttpServletRequestWrapper

具体代码:

 public class XssFilter implements Filter {

     public void destroy() {

     }

     public void doFilter(ServletRequest servletRequest,  ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

            XssStrutsRequestWrapper xssRequest = new XssStrutsRequestWrapper((HttpServletRequest) servletRequest);

            HttpServletResponse response = (HttpServletResponse)servletResponse;

            filterChain.doFilter(xssRequest, response);

     }

     public void init(FilterConfig arg0) throws ServletException {

     }

 }
 public class XssStrutsRequestWrapper extends HttpServletRequestWrapper{

     private HttpServletRequest orgRequest;

     public XssStrutsRequestWrapper(HttpServletRequest request) {

         super(request);

         this.orgRequest = request;

     }

     /**

     * 获取最原始的request

     * @return

     */

     public HttpServletRequest getOrgRequest() {

         return orgRequest;

     }

     /**

     * 获取最原始的request的静态方法

     * @return

     */

     public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

         if (req instanceof XssStrutsRequestWrapper) {

             return ((XssStrutsRequestWrapper) req).getOrgRequest();

         }

         return req;

     }

     /**

      * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

      * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

      * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

      */

      @Override

      public String getParameter(String name) {

          String value = super.getParameter(xssEncode(name));

          if (value != null) {

              value = xssEncode(value);

          }

          return value;

      }  

      /**

      * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

      * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

      * getHeaderNames 也可能需要覆盖

      */

      @Override

      public String getHeader(String name) {

          String value = super.getHeader(xssEncode(name));

          if (value != null) {

              value = xssEncode(value);

          }

          return value;

      }

     /**

      * 覆盖getParamterMap方法,

      */

     @Override

     @SuppressWarnings("unchecked")

     public Map<String, String[]> getParameterMap() {

         Map<String, String[]> paramMap = super.getParameterMap();

             Set<String> keySet = paramMap.keySet();

             for (Iterator iterator = keySet.iterator(); iterator.hasNext();) {

                 String key = (String) iterator.next();

                 String[] str = paramMap.get(key);

                 for(int i=0; i<str.length; i++) {

                    // 对参数值进行编码过滤

                    str[i] = xssEncode(str[i]);

                 }

             }

             return paramMap ;

      }

      public String xssEncode(String source){

          if (source == null) {

              return "";

          }

          String html = "";

          StringBuffer buffer = new StringBuffer();

          for (int i = 0; i < source.length(); i++) {

              char c = source.charAt(i);

              switch (c) {

                  case '<':

                      //buffer.append("&lt;");

                      buffer.append("<");

                      break;

                  case '>':

                      //buffer.append("&gt;");

                      buffer.append(">");

                      break;

                  case '&':

                      //buffer.append("&amp;");

                      buffer.append("&");

                      break;

                  case '"':

                      //buffer.append("&quot;");

                      buffer.append(""");

                      break;

                  default:

                      buffer.append(c);

                  }

          }

          html = buffer.toString();

          return html;

      }

 }

这里编码实现主要是xssEncode(String source)方法。XssStrutsRequestWrapper必须重写getParameterMap()方法。并调用xssEncode(String source)编码。

结果:

数据中内容将英文的“变为全角" 。从而将可以执行的js脚本并未不可执行的脚本存储在数据库中。

XSS攻击及预防的更多相关文章

  1. Spring MVC里面xss攻击的预防

    关于xss的介绍可以看 Asp.net安全架构之1:xss(跨站脚本)和 腾讯微博的XSS攻击漏洞 网页, 具体我就讲讲Spring MVC里面的预防: 第一种方法,使用Spring MVC web. ...

  2. XSS 攻击的预防

    XSS 攻击有两大要素: 1.攻击者提交恶意代码. 2.浏览器执行恶意代码. 针对第一个要素:我们是否能够在用户输入的过程,过滤掉用户输入的恶意代码呢? 输入过滤 在用户提交时,由前端过滤输入,然后提 ...

  3. 前端安全系列(一):如何防止XSS攻击?

    原文:https://my.oschina.net/meituantech/blog/2218539 前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全 ...

  4. 转:前端安全之XSS攻击

    前端安全 原文链接:https://www.freebuf.com/articles/web/185654.html 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企 ...

  5. 如何防止XSS攻击?

    来自: https://www.freebuf.com/articles/web/185654.html 前端安全 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业 ...

  6. 这一次,彻底理解XSS攻击

    希望读完本文大家彻底理解XSS攻击,如果读完本文还不清楚,我请你吃饭慢慢告诉你~ 话不多说,我们进入正题. 一.简述 跨站脚本(Cross-site scripting,简称为:CSS, 但这会与层叠 ...

  7. 一文搞懂│XSS攻击、SQL注入、CSRF攻击、DDOS攻击、DNS劫持

    目录 XSS 攻击 SQL 注入 CSRF 攻击 DDOS 攻击 DNS 劫持 XSS 攻击 全称跨站脚本攻击 Cross Site Scripting 为了与重叠样式表 CSS 进行区分,所以换了另 ...

  8. 通过 Beautiful Soup 4 预防 XSS 攻击

    通过beautifulsoup4预防XSS攻击 借助beautifulsoup4将用户输入内容进行过滤 实际使用时需要采用单例模式 步骤: 实例化对象,对页面进行解析 查找目标标签 将非法标签进行清空 ...

  9. 如何让Asp.net Web Api全局预防Xss攻击

    一.概述 二.什么是XSS 三.预防方法 四.在WebApi中如何实现 在实现之前,需要了解ASP.NET WEB API的pipeline机制. 如上,可以采用多种方式进行参数的过滤 1.重写Del ...

随机推荐

  1. bootstrap使用模板

    Bootstrap下载地址: - https://github.com/twbs/bootstrap/releases/download/v3.3.6/bootstrap-3.3.6-dist.zip ...

  2. ArcGIS API for JavaScript 4.2学习笔记[30] 点和线高程查询(第八章完结)

    终于到最后一篇了,可喜可贺. 本例先说明了如何进行单点的高程差分析,然后说明了道路的起伏分析.前者很直观地比较了两个年份的高程数据之间的差值,体现山区的高程变化(有啥用啊?)后者,一条路上的起点终点起 ...

  3. JavaScript Break 和 Continue 语句

    1.break:终止本层循坏,继续执行本次循坏后面的语句: 当循坏有多层时,break只会跳过一层循坏 2.continue:跳过本次循坏,继续执行下次循坏 对于for循环,continue执行后,继 ...

  4. iOS开发 - 啰嗦讲解 Runloop

    写在前面的 为什么要了解 RunLoop?如果你想成为一个高级iOS开发工程师,那这是你必须了解的东西,他能帮助你更好的理解底层实现的原理,可以利用它的特性做出一些高效又神奇的功能.RunLoop这个 ...

  5. jquery 中 eq()遍历方法 和:eq()选择器的区别

    <!DOCTYPE html><html lang="en"><head> <meta charset="UTF-8" ...

  6. ROS使用常见问题

    1.Q:查看ros版本 A:先在终端输入roscore,打开新终端,再输入,rosparam list,再输入rosparam get /rosdistro,就能得到版本. 2.Q:运行命令$ ros ...

  7. [Oracle]审计Audit

    1.Audit的概念 Audit是监视和记录用户对数据库进行的操作,以供DBA进行问题分析.利用Audit功能,可以完成以下任务: 监视和收集特定数据库活动的数据.例如管理员能够审计哪些表被更新,在某 ...

  8. jQuery animate()动画效果

    1.jQuery动画效果 jQuery animate()方法用于创建自定义动画 $(selector).animate({params},speed,callback); //必需的 params ...

  9. 前端随手优化不完全篇-SEO篇

    一代码优化概述 关于代码优化的知识是纯理论的知识,学习的很枯燥.在学到CSS时,不免遇到CSS+div进行代码优化的知 识,因此在网上看了一些关于这方面的知识,简单的整合一下,梳理自己所了解的代码优化 ...

  10. node.js系列(实例):原生node.js实现接收前台post请求提交数据

    前台界面: 前台代码: <form class="form-horizontal" method="post" action="http:127 ...