使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别。以下针对Struts2的XSS攻击进行拦截过滤防御解决:

Struts2.3

本方案采用struts2的拦截器过滤,将提交上来的参数转码来解决。 
配置struts.xml:

  1. <package name="default" namespace="/"
  2. extends="struts-default, json-default">
  3. <!-- 配置拦截器 -->
  4. <interceptors>
  5. <!-- 定义xss拦截器 -->
  6. <interceptor name="xssInterceptor" class="...此处填写拦截器类名"></interceptor>
  7. <!-- 定义一个包含xss拦截的拦截栈 -->
  8. <interceptor-stack name="myDefault">
  9. <interceptor-ref name="xssInterceptor"></interceptor-ref>
  10. <interceptor-ref name="defaultStack"></interceptor-ref>
  11. </interceptor-stack>
  12. </interceptors>
  13. <!-- 这个必须配置,否则拦截器不生效 -->
  14. <default-interceptor-ref name="myDefault"></default-interceptor-ref>
  15. <action>
  16. ...此处省略n个action
  17. </action>
  18. </package>

Java代码,拦截器实现类:

  1. import java.util.Map;
  2. import org.apache.commons.lang3.StringEscapeUtils;
  3. import com.opensymphony.xwork2.ActionContext;
  4. import com.opensymphony.xwork2.ActionInvocation;
  5. import com.opensymphony.xwork2.interceptor.AbstractInterceptor;
  6.  
  7. public class XssInterceptor extends AbstractInterceptor{
  8.  
  9. @Override
  10. public String intercept(ActionInvocation invocation) throws Exception {
  11. // TODO Auto-generated method stub
  12. ActionContext actionContext = invocation.getInvocationContext();
  13. Map<String, Object> map = actionContext.getParameters();
  14. for (Map.Entry<String, Object> entry : map.entrySet()) {
  15. String value = ((String[])(entry.getValue()))[0];
  16. entry.setValue(StringEscapeUtils.escapeHtml4(value));//将提交上来的字符串进行转码
  17. //System.out.println((entry.getValue()));
  18. }
  19. return invocation.invoke();
  20. }
  21. }

Struts2.5

需要注意的是,根据测试,从Struts2.3升级到Struts2.5并不能平滑升级,也就是说不能向前兼容。 
Apache官方修改了invocation.getInvocationContext().getParameters();接口的实现,原来返回的是一个java.util.Map,现在返回了一个org.apache.struts2.dispatcher.HttpParameters类型的对象,总体来说更加合理。 
2.5版本的拦截器与2.3版本的差异主要在XssInterceptor.java这个类的intercept方法的具体实现,简单测试了一下,应该问题不大。

  1. public class XssInterceptor extends AbstractInterceptor {
  2.  
  3. @Override
  4. public String intercept(ActionInvocation invocation) throws Exception {
  5. ActionContext actionContext = invocation.getInvocationContext();
  6. HttpParameters parameters = actionContext.getParameters();
  7. for (Map.Entry<String,Parameter> entry : parameters.entrySet()) {
  8. if (!entry.getValue().isMultiple() && entry.getValue().isDefined()){
  9. if (!entry.getValue().getValue().equals(StringEscapeUtils.escapeHtml4(entry.getValue().getValue()))){
  10. entry.setValue(new Parameter.Request(entry.getValue().getName(),StringEscapeUtils.escapeHtml4(entry.getValue().getValue())));
  11. }
  12. }
  13. }
  14. return invocation.invoke();
  15. }
  16. }

测试结果:

输入值:

  1. payload:<script>alert(1)</script>

数据库查看入库:


经测试,上述方式能够有效防御XSS的攻击。

原文:https://blog.csdn.net/huplion/article/details/49001151

拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式的更多相关文章

  1. 防御XSS攻击的七条原则

    本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:<Stored and Reflected XSS ...

  2. Jsoup代码解读之六-防御XSS攻击

    Jsoup代码解读之八-防御XSS攻击 防御XSS攻击的一般原理 cleaner是Jsoup的重要功能之一,我们常用它来进行富文本输入中的XSS防御. 我们知道,XSS攻击的一般方式是,通过在页面输入 ...

  3. 认识与防御XSS攻击

    什么是xss攻击? XSS,即(Cross Site Scripting)中文名称为“跨站脚本攻击”.XSS的重点不在于跨站攻击而在于脚本攻击.攻击者可以利用 web应用的漏洞或缺陷之处,向页面注入恶 ...

  4. WEB安全 - 认识与防御XSS攻击

    目录 什么是xss攻击? XSS的危害 XSS攻击分类 xss攻击示例 反射型攻击 - 前端URL参数解析 反射型攻击 - 后端URL参数解析 注入型攻击 - 留言评论 如何规避xss攻击? 总结 什 ...

  5. 8. 博客系统| 富文本编辑框和基于bs4模块防御xss攻击

    views.py @login_required def cn_backend(request): article_list = models.Article.objects.filter(user= ...

  6. Asp.net防御XSS攻击组件库

    一.AntiXss 翻看mvc4高级编程,偶看到作者强烈推荐使用AntiXss防御XSS攻击,收集资料看下. 目前类库已融入到.netframework中,类库主页不再更新. 使用方法:使用Nuget ...

  7. PHP不过过滤防止xss攻击的方法

    PHP不过过滤防止xss攻击的方法<pre> $content=htmlspecialchars($content); $pos=strpos($content,"\u" ...

  8. Spring mvc拦截器防御CSRF攻击

    CSRF(具体参考百度百科) CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSR ...

  9. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

随机推荐

  1. IIS应用程序池权限与虚拟目录身份验证权限

    IIS应用程序池用户权限决定了IIS进程对资源的访问权限.例如在服务器aspx代码中修改web.config或者在某个目录写入文件,就需要应用程序池用户对指定文件或目录修改权限. 虚拟目录身份验证权限 ...

  2. 监听 input 内容 改变

    html: <input class="query_str_input" placeholder="搜索您的需求" type="text&quo ...

  3. 正则求解@" (?<=^\[length=)(\d+)(?=\])"

    举个例子 [length=1548]这个正则 就是匹配 length的值了(1548)(?<=exp)匹配之后的(?=exp)匹配表达式之前的^是边界,在行首例如 aa[length=1548] ...

  4. WKWebView使用方法

    基本使用方法 WKWebView有两个delegate,WKUIDelegate 和 WKNavigationDelegate.WKNavigationDelegate主要处理一些跳转.加载处理操作, ...

  5. 删除N天前的文件(夹)与拷贝文件到共享盘的批处理

    rem ======= 删除目录 7天前目录 ========= forfiles /P "E:\Folder" /S /D -7 /C "Cmd /C If @isdi ...

  6. Java中的升序和降序

    package ah; import java.util.Arrays; import java.util.Collections; import java.util.Comparator; impo ...

  7. 2018-2019-2 20165205 《网络对抗技术》 Exp6 信息收集与漏洞扫描

    2018-2019-2 20165205 <网络对抗技术> Exp6 信息收集与漏洞扫描 实验目标 掌握信息收集的最基本技能与常用工具的方式 实验内容 各种搜索技巧的应用 DNS IP注册 ...

  8. 【python】django上传文件

    参考:https://blog.csdn.net/zahuopuboss/article/details/54891917 参考:https://blog.csdn.net/zzg_550413470 ...

  9. thinkphp3.2.3集成腾讯云短信文档流程

    昨天晚上折腾了一个小时没解决 今天折腾了20分钟就搞定了 看了thinkphp3.2.3的命名空间解释方法  把文件放到这里 /ThinkPHP/Library/Org/ 把新建了一个Sms文件夹 把 ...

  10. matlab-单位圆内射线数次反射

    转载自 https://zhidao.baidu.com/question/2268408219692883828.html 先贴代码和放图,然后我再做出一点解释(其实只是觉得这个思路好厉害,所以想保 ...