也想出现在这里? 联系我们

防止xss攻击的有效方法

作者 : 小编 本文共1648个字,预计阅读时间需要5分钟 发布时间: 2021-06-6 共4.56K人阅读
也想出现在这里? 联系我们

最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。

问题描述:

页面上有个隐藏域:

XML/HTML Code复制内容到剪贴板
  1. <inputtype="hidden"id="action"value="${action}"/>  

当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上

如果此时action被用户恶意修改为:***"<script>alert(1);</script>"***

此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。

解决思路:

该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:

1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:

Java Code复制内容到剪贴板
  1. importjavax.servlet.http.HttpServletRequest;
  2. importjavax.servlet.http.HttpServletRequestWrapper;
  3. importorg.apache.commons.lang3.StringEscapeUtils;
  4. publicclassXssRequestWrapperextendsHttpServletRequestWrapper{
  5. publicXssRequestWrapper(HttpServletRequestrequest){
  6. super(request);
  7. }
  8. publicStringgetParameter(Stringname){
  9. Stringvalue=super.getParameter(name);
  10. if(value==null){
  11. returnnull;
  12. }
  13. returnStringEscapeUtils.escapeHtml4(value);
  14. }
  15. publicString[]getParameterValues(Stringname){
  16. String[]values=super.getParameterValues(name);
  17. if(values==null){
  18. returnnull;
  19. }
  20. String[]newValues=newString[values.length];
  21. for(inti=0;i<values.length;i++){
  22. newValues[i]=StringEscapeUtils.escapeHtml4(values[i]);
  23. }
  24. returnnewValues;
  25. }
  26. }

XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)

定义filter,核心的代码如下:

Java Code复制内容到剪贴板
  1. @Override
  2. publicvoiddoFilter(ServletRequestrequest,
  3. ServletResponseresponse,
  4. FilterChainchain)throwsIOException,ServletException{
  5. HttpServletRequestreq=(HttpServletRequest)request;
  6. chain.doFilter(new<spanstyle="color:#000000;">XssRequestWrapper</span>(req),response);
  7. }

在web.xml中配置指定请求进行过滤,可以有效防止xss攻击,希望本文所述对大家熟练掌握防止xss攻击的方法有所帮助。

1. 本站所提供的源码模板(主题/插件)等资源仅供学习交流,若使用商业用途,请购买正版授权,否则产生的一切后果将由下载用户自行承担,有部分资源为网上收集或仿制而来,若模板侵犯了您的合法权益,请来信通知我们(Email: rayer@88.com),我们会及时删除,给您带来的不便,我们深表歉意!
2. 分享目的仅供大家学习和交流,请不要用于商业用途!
3. 如果你也有好源码或者教程,可以到用户中心发布投稿,分享有金币奖励和额外收入!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务 请大家谅解!
5. 如有链接无法下载、失效或广告,请联系站长,可领回失去的金币,并额外有奖!
6. 如遇到加密压缩包,默认解压密码为"www.zyfx8.cn",如遇到无法解压的请联系管理员!
本站部分文章、资源来自互联网,版权归原作者及网站所有,如果侵犯了您的权利,请及时联系我站删除。免责声明
资源分享吧 » 防止xss攻击的有效方法

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
织梦模板使用说明
你下载的织梦模板并不包括DedeCMS使用授权,根据DedeCMS授权协议,除个人非盈利站点外,均需购买DedeCMS商业使用授权。购买地址: http://www.desdev.cn/service-dedecms.html

发表评论

Copyright 2015-2020 版权所有 资源分享吧 Rights Reserved. 蜀ICP备14022927号-1
开通VIP 享更多特权,建议使用QQ登录