防止XSS攻击解决办法_存储型xss解决方案资源-CSDN文库

共9个文件

java：7个

xml：2个

4星 · 超过85%的资源需积分: 50 191 浏览量 2018-01-20 14:44:32 上传评论 2 收藏 8KB RAR 举报

XSS（Cross-site scripting）攻击是一种常见的网络安全威胁，它利用了网站对用户输入的不当处理，使得攻击者能够注入恶意脚本，进而控制或者窃取用户的浏览器数据。防止XSS攻击是保护Web应用安全的重要一环，对于任何Web开发者来说都是必备的知识。一、XSS攻击类型 XSS攻击主要分为三类：反射型XSS、存储型XSS和DOM型XSS。 1. 反射型XSS：攻击者通过构造恶意链接，诱使用户点击，恶意脚本在当前页面立即执行。这种攻击通常出现在URL参数中。 2. 存储型XSS：恶意脚本被存储在服务器上，当其他用户访问该内容时，脚本在用户的浏览器中执行。这种类型的XSS危害更大，因为它可以长期存在。 3. DOM型XSS：不依赖服务器，而是利用了JavaScript的DOM（Document Object Model）来改变页面内容，从而注入并执行恶意脚本。二、XSS攻击的危害 XSS攻击可能导致以下危害： - 用户cookie、会话令牌等敏感信息被盗取，导致身份冒用。 - 用户被重定向到恶意网站，进一步遭受其他攻击。 - 浏览器被控制，执行恶意操作，如安装恶意插件。三、防止XSS攻击的策略 1. 输入验证与编码：对用户提交的数据进行严格的验证，拒绝非法字符和格式。同时，对输出的数据进行编码，例如使用HTML实体编码，避免恶意脚本被执行。 2. 使用HTTP头部的Content-Security-Policy：设置CSP可以限制浏览器只加载指定来源的资源，有效防止跨站脚本执行。 3. 启用HTTP-only cookies：将敏感的session信息存放在HTTP-only的cookie中，阻止JavaScript访问，降低cookie被窃取的风险。 4. 使用X-XSS-Protection响应头：开启浏览器内置的XSS过滤功能，虽然效果有限，但可以作为额外的防护层。 5. 框架和库的选择：使用已内置安全机制的开发框架，如Spring Security，它们提供了XSS防御的功能。四、Web.xml配置过滤器在Java Web应用中，可以使用过滤器（Filter）来拦截并处理请求，过滤掉可能的XSS攻击。以下是两种常用的过滤器： 1. OWASP Java Encoder库：这是一个开源项目，提供了针对不同场景的编码函数，可以将用户输入转义为安全的HTML、CSS、JavaScript等。 2. CSP Filter：可以生成并添加CSP头部，限制浏览器加载资源的行为。配置Web.xml的方法如下： ```xml <filter> <filter-name>XSSFilter</filter-name> <filter-class>com.example.XSSFilterClass</filter-class> </filter> <filter-mapping> <filter-name>XSSFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 替换`com.example.XSSFilterClass`为实际的过滤器类名。五、总结防止XSS攻击需要从输入验证、输出编码、使用安全框架和配置服务器等多个层面进行。理解XSS攻击的原理和类型，结合实际应用，选择合适的防护策略，是保障Web应用安全的关键。通过Web.xml配置过滤器是其中一种简单实用的方法，但全面的安全措施应包括多个方面，以确保用户的浏览体验不受威胁。

资源推荐

资源详情

资源评论

收起资源包目录

Xss.rar （9个子文件）

Xss

来自孙浩

XSSSecurityFilter.java 3KB

XSSSecurityManager.java 5KB

XSSSecurityCon.java 944B

web.xml 2KB

XSSHttpRequestWrapper.java 3KB

XSSSecurityConfig.java 599B

我的解决办法

XssHttpServletRequestWrapper.java 4KB

XssFilter.java 807B

web.xml 2KB

/** * */ package com.sg.security; import java.util.Iterator; import java.util.regex.Pattern; import javax.servlet.FilterConfig; import org.apache.log4j.Logger; import org.dom4j.DocumentException; import org.dom4j.Element; import org.dom4j.io.SAXReader; /** * @author winnie * @date * @describe 安全过滤配置管理类，由XSSSecurityManger修改 */ public class XSSSecurityManager { private static Logger logger = Logger.getLogger(XSSSecurityManager.class); /** * REGEX：校验正则表达式 */ public static String REGEX; /** * 特殊字符匹配 */ private static Pattern XSS_PATTERN ; private XSSSecurityManager(){ //不可被实例化 } public static void init(FilterConfig config){ logger.info("XSSSecurityManager init(FilterConfig config) begin"); //初始化过滤配置文件 String xssPath = config.getServletContext().getRealPath("/") + config.getInitParameter("securityconfig"); // 初始化安全过滤配置 try { if(initConfig(xssPath)){ // 生成匹配器 XSS_PATTERN = Pattern.compile(REGEX); } } catch (DocumentException e) { logger.error("安全过滤配置文件xss_security_config.xml加载异常",e); } logger.info("XSSSecurityManager init(FilterConfig config) end"); } /** * 读取安全审核配置文件xss_security_config.xml * 设置XSSSecurityConfig配置信息 * @param path 配置文件地址 eg C:/apache-tomcat-6.0.33/webapps/security_filter/WebRoot/config/xss/xss_security_config.xml * @return * @throws DocumentException */ @SuppressWarnings("unchecked") public static boolean initConfig(String path) throws DocumentException { logger.info("XSSSecurityManager.initConfig(String path) begin"); Element superElement = new SAXReader().read(path).getRootElement(); XSSSecurityConfig.IS_CHECK_HEADER = new Boolean(getEleValue(superElement,XSSSecurityCon.IS_CHECK_HEADER)); XSSSecurityConfig.IS_CHECK_PARAMETER = new Boolean(getEleValue(superElement,XSSSecurityCon.IS_CHECK_PARAMETER)); XSSSecurityConfig.IS_LOG = new Boolean(getEleValue(superElement,XSSSecurityCon.IS_LOG)); XSSSecurityConfig.IS_CHAIN = new Boolean(getEleValue(superElement,XSSSecurityCon.IS_CHAIN)); XSSSecurityConfig.REPLACE = new Boolean(getEleValue(superElement,XSSSecurityCon.REPLACE)); Element regexEle = superElement.element(XSSSecurityCon.REGEX_LIST); if(regexEle != null){ Iterator<Element> regexIt = regexEle.elementIterator(); StringBuffer tempStr = new StringBuffer("^"); //xml的cdata标签传输数据时，会默认在\前加\，需要将\\替换为\ while(regexIt.hasNext()){ Element regex = (Element)regexIt.next(); String tmp = regex.getText(); tmp = tmp.replaceAll("\\\\\\\\", "\\\\"); tempStr.append(tmp); tempStr.append("|"); } if(tempStr.charAt(tempStr.length()-1)=='|'){ REGEX= tempStr.substring(0, tempStr.length()-1)+"$"; logger.info("安全匹配规则"+REGEX); }else{ logger.error("安全过滤配置文件加载失败:正则表达式异常 "+tempStr.toString()); return false; } }else{ logger.error("安全过滤配置文件中没有 "+XSSSecurityCon.REGEX_LIST+" 属性"); return false; } logger.info("XSSSecurityManager.initConfig(String path) end"); return true; } /** * 从目标element中获取指定标签信息，若找不到该标签，记录错误日志 * @param element 目标节点 * @param tagName 制定标签 * @return */ private static String getEleValue(Element element, String tagName){ if (isNullStr(element.elementText(tagName))){ logger.error("安全过滤配置文件中没有 "+XSSSecurityCon.REGEX_LIST+" 属性"); } return element.elementText(tagName); } /** * 对非法字符进行替换 * @param text * @return */ public static String securityReplace(String text){ if(isNullStr(text)){ return text; }else{ return text.replaceAll(REGEX, XSSSecurityCon.REPLACEMENT); } } /** * 匹配字符是否含特殊字符 * @param text * @return */ public static boolean matches(String text){ if(text==null){ return false; } return XSS_PATTERN.matcher(text).matches(); } /** * 释放关键信息 */ public static void destroy(){ logger.info("XSSSecurityManager.destroy() begin"); XSS_PATTERN = null; REGEX = null; logger.info("XSSSecurityManager.destroy() end"); } /** * 判断是否为空串，建议放到某个工具类中 * @param value * @return */ public static boolean isNullStr(String value){ return value == null || value.trim().equals(""); } }

评论收藏

内容反馈