说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题。那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下。


旧方案


公司的測试团队发现这个问题之后,就要求尽快的解决,在网上查了非常多相关的资料,也翻阅了基本安全方面的书,基于 XSS 的攻击原理,自己写了一个 Filter,并在该 Filter 中增加了对各种请求的处理代码。首先是拦截浏览器发出的请求,然后对拦截到的请求进行过滤,获取參数列表,參数值列表(包含表单提交),然后对这些參数值进行危急字符的过滤处理,处理的过程中分为两种情况。

当中一种是把危急字符进行转换,保留原来的语意,在适当的时候进行还原,当然,这样的情况下危急字符还是存在的,仅仅只是是换了一种相对安全的形式。这样的情况的优点是,保证了请求的原始性,可是对数据库或文件系统产生一些不必要的垃圾信息。为什么这么说呢,由于普通的用户在正常的操作下是不会包括这些非法字符的,仅仅有在非法入侵的情况下才会出现这样的情况,而对于危急字符的转换就是一种间接的保护措施。

对于另外一种情况,不是对危急字符进行转换,而是把请求中的危急字符进行过滤,使得请求纯净化,把非法的字符过滤掉,这样以来,进入数据库或文件系统的就不过合法的语句。这样的情况也会有他的利弊。比方,在过滤的过程中,可能把用户的某些正常请求參数值也给清理掉,这样就不能保证请求的原始性。但系统的安全性方面却大大的提高了。为了避免用户的请求失真,我们能做的就是尽量的避开用户能够输入的特殊字符,在注冊、登录、或者其它的请求中,规定用户能够使用的特殊字符,对那些不提倡使用的字符进行过滤和处理。


问题


在旧的的方案提交给測试团队之后,非常大一部分的 XSS 攻击问题已经不存在了,但又出现了另外一个问题,在登录的过程中,偶尔会把验证码给过滤掉,另一些不定的 URL 会时不时的漏掉,尽管在 web.xml 配置了全局的请求,但还是会出现这种问题。測试团队给出的报告中显示,还有少量的 XSS 攻击存在,让我尽快解决。

针对这个问题,我又研究了问题所在区域的源码,并结合自己写的 XSSFilter,发现了2点问题。

其一,是后台的验证逻辑并不完整,对于提交过来的请求,并没有进行对应的处理。

其二,是 XSSFilter 写的有问题,正如我上面讲到的情况一,仅仅是把危急字符进行转换,并没有从根本上解决这个问题。

俗话说,久病成良医。那么,总想着一件事,问题解决起来也总会是事半功倍的。


新方案


对于出现的问题,我这里有两点须要说,其一就是针对后台的验证逻辑,这个没有必要再具体说了,无非即可完好验证逻辑,针对可能出现的情况进行抽象,抽出通用的验证逻辑,对于个别的验证就单独处理,只是还是要考虑代码的复用性。

其二,是关于 XSS 攻击全局处理的。我这里给出两种解决方式,详述例如以下。

方案一

假设你遇到的情况,对与用户的输入、输出有明白的限制,并且对于特殊字符也有明白的规定,那么你能够自己写一个 XSSFilter,使用上面提到的情况二,对不建议输入的特殊字符进行过滤和清理,包含 SQL 注入的一些敏感信息,都是要过滤掉的。主要的 Filter 网上都有,你要做的就是针对自己的业务,再增加对危急字符的处理就可以。

方案二

想到一句老话,站在巨人的肩膀上。另外一种方案,就是站在巨人的肩膀上。推荐一款开源插件,xssProject,详细作者不详。GoogleCode 中提供对应了的源码。想研究的能够自己去找一下。以下着重讲一下,怎样在项目中集成 xssProject,并使之为我们服务。

首先,项目中须要引入 xssProtect-0.1.jar、antlr-3.0.1.jar、antlr-runtime-3.0.1.jar 等3个 jar 包。

然后,封装 request,代码例如以下。

<span style="font-family:Comic Sans MS;">public class NewXssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	HttpServletRequest orgRequest = null;

	public NewXssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
orgRequest = request;
} /**
* 覆盖getParameter方法,将參数名和參数值都做xss过滤。<br/>
* 假设须要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
* getParameterNames,getParameterValues和getParameterMap也可能须要覆盖
*/
@Override
public String getParameter(String name)
{
System.out.println("NewXssFilter处理前的 Value = " + super.getParameterValues(name)); String value = super.getParameter(xssEncode(name));
if (value != null)
{
value = xssEncode(value);
} System.out.println("NewXssFilter处理后的 Value = " + value); return value;
} /**
* 覆盖getHeader方法,将參数名和參数值都做xss过滤。<br/>
* 假设须要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能须要覆盖
*/
@Override
public String getHeader(String name)
{ String value = super.getHeader(xssEncode(name));
if (value != null)
{
value = xssEncode(value);
}
return value;
} /**
* 将easy引起xss漏洞的半角字符直接替换成全角字符
*
* @param s
* @return
*/
private static String xssEncode(String s)
{
if (s == null || s.isEmpty())
{
return s;
} StringReader reader = new StringReader( s );
StringWriter writer = new StringWriter();
try {
HTMLParser.process( reader, writer, new XSSFilter(), true ); return writer.toString();
}
catch (NullPointerException e) {
return s;
}
catch(Exception ex)
{
ex.printStackTrace();
} return null; } /**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest()
{
return orgRequest;
} /**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req)
{
if (req instanceof NewXssHttpServletRequestWrapper)
{
return ((NewXssHttpServletRequestWrapper) req).getOrgRequest();
} return req;
} }</span>

再然后,创建过滤器 NewXssFilter 。

<span style="font-family:Comic Sans MS;">public class NewXssFilter implements Filter {

	FilterConfig filterConfig = null;

	@Override
public void destroy() {
this.filterConfig = null;
} @Override
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
String path = ((HttpServletRequest) request).getContextPath();
String basePath = request.getScheme() + "://" + request.getServerName()
+ ":" + request.getServerPort() + path + "/"; // HTTP 头设置 Referer过滤
String referer = ((HttpServletRequest) request).getHeader("Referer"); // REFRESH
if (referer != null && referer.indexOf(basePath) < 0) {
((HttpServletRequest) request).getRequestDispatcher(
((HttpServletRequest) request).getRequestURI()).forward(
((HttpServletRequest) request), response);
System.out.println("referer不为空,referer >>>>>>>>>>>>>> " + referer);
}
NewXssHttpServletRequestWrapper xssRequest = new NewXssHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(xssRequest, response);
} @Override
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
} }</span>

最后,在 web.xml 中配置过滤器 。


<span style="font-family:Comic Sans MS;"><filter>
<filter-name>XssSqlFilter</filter-name>
<filter-class>com.***.web.common.NewXssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssSqlFilter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
</filter-mapping></span>

结束语


以上这些就是所有的内容了,针对 XSS 攻击的解决方式,写出来跟大家分享,个人建议使用 xssProject 来解决这一问题。毕竟 xssProject 已经提供了非常完好的过滤、处理方案,你能够通过研究他的代码来进行扩展,假设须要的话。最后附上 xssProject 所需的三个 jar 包。




WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)的更多相关文章

  1. 使用 PHP 构建的 Web 应用如何避免 XSS 攻击

    本文首先简单介绍开发测试人员如何对 Web 应用进行 XSS 漏洞测试,如何借助工具绕过客户端 JavaScript 校验输入恶意数据:然后针对使用 PHP 语言构建的 Web 站点,从在输出端对动态 ...

  2. Java Web使用过滤器防止Xss攻击,解决Xss漏洞

    转: Java Web使用过滤器防止Xss攻击,解决Xss漏洞 2018年11月11日 10:41:27 我欲乘风,直上九天 阅读数:2687   版权声明:本文为博主原创文章,转载请注明出处!有时候 ...

  3. 使用Typescript重构axios(十九)——请求取消功能:实现第二种使用方式

    0. 系列文章 1.使用Typescript重构axios(一)--写在最前面 2.使用Typescript重构axios(二)--项目起手,跑通流程 3.使用Typescript重构axios(三) ...

  4. python_并发编程——多进程的第二种启动方式

    1.多进程的第二种启动方式 import os from multiprocessing import Process # 创建一个自定义类,继承Process类 class MyProcess(Pr ...

  5. Web 安全漏洞之 XSS 攻击

    什么是 XSS 攻击 XSS(Cross-Site Scripting)又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行.XSS是一种经常出现在 Web 应用程序中的计算机安全漏洞,是由于 ...

  6. Web Api全局预防Xss攻击

    本文转载自https://www.cnblogs.com/ruanyifeng/p/4739807.html.对第二种过滤方法的代码进行了一些修改和注释,记录一下免得以后忘了.已经测试过,应该可以直接 ...

  7. Web APi之认证(Authentication)两种实现方式后续【三】(十五)

    前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不进则退,之前学的东西没怎么用,也忘记了一点,不过至少由于是切身研究,本质以及原理上的脉络 ...

  8. Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话. 序言 对于所谓的认证说到底 ...

  9. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再废叙述废话. 序言 对于所谓的认证说到 ...

随机推荐

  1. Unity3d 实时折射和反射

    这里只是张贴在实时折射和脚本反思shader, 大约NGUI第一部分请下载. 这个版本的主要缺点是折射平面部Layer必须是water层.假设有专家谁可以摆脱这一个.请记得把代码回该条,谢谢! Wat ...

  2. Ehcache BigMemory: 摆脱GC困扰(转)

    问题 使用java开源项目经常需要调优jvm,以优化gc.对于gc,如果对象都是短时对象,那么jvm相对容易优化,假如碰上像solr使用自带java cache的项目,那么gc严重受限于cache,因 ...

  3. windows cmd命令行下创建文件和文件夹

    在window下无法通过 右键=>新建 命令来创建以点开头的文件和文件夹 比如 .log ,会提示必须输入文件名. 可以通过命令行来创建 新建文件夹 mkdir .vs 新建文件 type NU ...

  4. Repository、IUnitOfWork

    Repository.IUnitOfWork 在领域层和应用服务层之间的代码分布与实现 本来早就准备总结一下关于Repository.IUnitOfWork之间的联系以及在各层中的分布,直到看到田园里 ...

  5. 求N!末尾的0的个数(找规律+递归)

    0\'s Time Limit: 1000ms   Memory limit: 65536K  有疑问?点这里^_^ 题目描写叙述 计算整数n!(n的阶乘)末尾有多少个0. 输入 第一行输入一个数T代 ...

  6. 王立平-NGUI

    NGUI: UI插入 UI : 人机交互界面 UI大部分是2D 眼下就我们总结这些.也许会增加 版权声明:本文博主原创文章,博客,未经同意不得转载.

  7. jdk和cglib简单理解(转)

    之前使用cglib的时候不需要将classLoader作为参数传入,但动态代理却要,带着这个疑惑进入这个方法: Proxy.newProxyInstance(classLoader, interfac ...

  8. P90

    #include<stdio.h> #define N 4 int fun(int a[][N]) { int i,j,max=a[0][0]; for(i=0;i<2;i++) f ...

  9. jQuery形式可以计算,它包含了无线电的变化价格,select价格变化,删除行动态计算加盟

    jQuery能够计算的表单,包含单选改变价格,select改变价格,动态加入删除行计算 各种表单情况的计算 演示 JavaScript Code <script type="text/ ...

  10. ArrayList实现根据某属性大小相间排序

    Java本身提供了一个集合的帮助类java.util.Collections,提供了对集合操作一些方法,借助于此类提供的sort方法可以实现对List进行排序操作 import java.util.A ...