XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

以下为Java web项目中的解决方案:

Filter代码:

import java.io.IOException;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import org.apache.commons.lang.StringUtils;

import com.fengling.core.web.util.URLHelper;

public class XssFilter implements Filter {

    private String filterChar;

    private String replaceChar;

    private String splitChar;

    private String excludeUrls;

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterChar=filterConfig.getInitParameter("FilterChar");

        this.replaceChar=filterConfig.getInitParameter("ReplaceChar");

        this.splitChar=filterConfig.getInitParameter("SplitChar");

        this.excludeUrls=filterConfig.getInitParameter("excludeUrls");

        this.filterConfig = filterConfig;

    }

    public void destroy() {

        this.filterConfig = null;

    }

    public void doFilter(ServletRequest request, ServletResponse response,

    FilterChain chain) throws IOException, ServletException {

        if(isExcludeUrl(request)){

            chain.doFilter(request, response);

        }else{

            chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);

        }

    }

    private boolean isExcludeUrl(ServletRequest request){

        boolean exclude=false;

        if(StringUtils.isNotBlank(excludeUrls)){

             String[]excludeUrl=excludeUrls.split(splitChar);

             if(excludeUrl!=null&&excludeUrl.length>0){

                 for(String url:excludeUrl){

                     if(URLHelper.getURI((HttpServletRequest)request).startsWith(url)){

                         exclude=true;

                     }

                 }

             }

        }

        return exclude;

    }

}

XssHttpServletRequestWrapper代码:

import java.io.UnsupportedEncodingException;

import java.net.URLDecoder;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private String[]filterChars;

    private String[]replaceChars;

    public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {

        super(request);

        if(filterChar!=null&&filterChar.length()>0){

            filterChars=filterChar.split(splitChar);

        }

        if(replaceChar!=null&&replaceChar.length()>0){

            replaceChars=replaceChar.split(splitChar);

        }

    }

    public String getQueryString() {

        String value = super.getQueryString();

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

     */

    public String getParameter(String name) {

        String value = super.getParameter(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    public String[] getParameterValues(String name) {

        String[]parameters=super.getParameterValues(name);

        if (parameters==null||parameters.length == 0) {

            return null;

        }

        for (int i = 0; i < parameters.length; i++) {

            parameters[i] = xssEncode(parameters[i]);

        }

        return parameters;

    }

    /**

     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖

     */

    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));

        if (value != null) {

            value = xssEncode(value);

        }

        return value;

    }

    /**

     * 将容易引起xss漏洞的半角字符直接替换成全角字符

     *

     * @param s

     * @return

     */

    private  String xssEncode(String s) {

        if (s == null || s.equals("")) {

            return s;

        }

        try {

            s = URLDecoder.decode(s, "UTF8");

        } catch (UnsupportedEncodingException e) {

            // TODO Auto-generated catch block

            e.printStackTrace();

        }

        for (int i = 0; i < filterChars.length; i++) {

            if(s.contains(filterChars[i])){

                s=s.replace(filterChars[i], replaceChars[i]);

            }

        }

        return s;

    }

}

web.xml中配置:

<!--@分隔-->

    <filter>

        <filter-name>XssFilter</filter-name>

        <filter-class>com.fengling.common.web.XssFilter</filter-class>

        <init-param>

            <param-name>excludeUrls</param-name>

            <param-value>/member/contribute@/admin/fengling@/flow_statistic</param-value>

        </init-param>

        <init-param>

            <param-name>SplitChar</param-name>

            <param-value>@</param-value>

        </init-param>

        <init-param>

            <param-name>FilterChar</param-name>

            <param-value>'@"@\@#@:@%@;@></param-value>

        </init-param>

        <init-param>

            <param-name>ReplaceChar</param-name>

            <param-value>‘@“@\@#@:@%@;@></param-value>

        </init-param>

    </filter>

    <filter-mapping>

        <filter-name>XssFilter</filter-name>

        <url-pattern>/*</url-pattern>

    </filter-mapping>

XSS跨站点脚本攻击的更多相关文章

  1. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  2. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  3. IBM Rational AppScan:跨站点脚本攻击深入解析

    IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以 ...

  4. CSRF跨站请求伪造与XSS跨域脚本攻击讨论

    今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享. CSRF(Cross-site request forgery):跨站请求伪造 ...

  5. HTTP攻击与防范-跨网站脚本攻击

    实验目的 1.了解XSS -跨网站脚本攻击带来的危险性. 2.掌握XSS -跨网站脚本攻击的原理与方法 3.掌握防范攻击的方法 实验原理 跨网站脚本攻击之所以会发生,是因为网站的Web应用程序对用户的 ...

  6. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  7. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  8. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  9. 网站跨站点脚本,Sql注入等攻击的处理

    从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...

随机推荐

  1. Hadoop---Google MapReduce(转)

    1. MapReduce是干啥的 因为没找到谷歌的示意图,所以我想借用一张Hadoop项目的结构图来说明下MapReduce所处的位置,如下图. Hadoop实际上就是谷歌三宝的开源实现,Hadoop ...

  2. java-生成印章swing

    案例1 package com; import java.awt.BorderLayout; import java.awt.Color; import java.awt.Font; import j ...

  3. Mac下Intellij IDEA Console中文是?

    Mac下Intellij IDEA Console中文是?,解决办法是在运行时的VM参数配置也加入: -Dfile.encoding=UTF-8

  4. [Unity3D] Normal map、Diffuse map 和 Speculer map

    Normal map : Normal map (法线贴图) 它的作用是模拟出高模上的一些细节纹理,特别是将高模上的圆滑和粗糙度投射到低模上,让低模也有高模的效果. 因为高模的面数非常多,导入引擎后电 ...

  5. coredump简介与coredump原因总结

    from:http://www.cnblogs.com/doctorqbw/archive/2011/12/21/2295962.html   千兵卫博士   coredump简介与coredump原 ...

  6. [Machine Learning] 国外程序员整理的机器学习资源大全

    本文汇编了一些机器学习领域的框架.库以及软件(按编程语言排序). 1. C++ 1.1 计算机视觉 CCV —基于C语言/提供缓存/核心的机器视觉库,新颖的机器视觉库 OpenCV—它提供C++, C ...

  7. [Python] Python中的一些特殊函数

    1. 过滤函数filter 定义:filter 函数的功能相当于过滤器.调用一个布尔函数bool_func来迭代遍历每个列表中的元素:返回一个使bool_func返回值为true的元素的序列. a=[ ...

  8. 【C语言入门教程】目录/大纲

    第一章 C语言编程基础 1.1 基本程序结构 1.2 函数库 和 链接 1.3 C语言“32个”关键字 第二章 数据类型.运算符和表达式 2.1 数据类型(5种基本数据类型),聚合类型与修饰符 2.2 ...

  9. Linux C fcntl()函数详解

    fcntl系统调用 功能描述:根据文件描述词来操作文件的特性. 用法: int fcntl(int fd, int cmd);  int fcntl(int fd, int cmd, long arg ...

  10. 【Alpha版本】冲刺阶段——Day 10

    我说的都队 031402304 陈燊 031402342 许玲玲 031402337 胡心颖 03140241 王婷婷 031402203 陈齐民 031402209 黄伟炜 031402233 郑扬 ...