防止xss攻擊的有效方法
來源:易賢網(wǎng) 閱讀:2568 次 日期:2016-08-03 14:34:50
溫馨提示:易賢網(wǎng)小編為您整理了“防止xss攻擊的有效方法”,方便廣大網(wǎng)友查閱!

這篇文章主要為大家介紹了防止xss攻擊的有效方法,何為xss攻擊,我們可以采取什么樣的措施去御防xss攻擊,感興趣的小伙伴們可以參考一下

最近,有個(gè)項(xiàng)目突然接到總部的安全漏洞報(bào)告,查看后知道是XSS攻擊。

問題描述:

在頁面上有個(gè)隱藏域:

XML/HTML Code

<input type = "hidden" id = "action" value = "${action}"/>    

當(dāng)前頁面提交到Controller時(shí),未對(duì)action屬性做任何處理,直接又回傳到頁面上

如果此時(shí)action被用戶惡意修改為:***"<script>alert(1);</script>"***

此時(shí)當(dāng)頁面刷新時(shí)將執(zhí)行alert(1),雖然錯(cuò)誤不嚴(yán)重,但是任何安全隱患都應(yīng)受到重視。

解決思路:

該問題是由于對(duì)用戶輸入數(shù)據(jù)(隱藏域)未做任何處理,導(dǎo)致非法數(shù)據(jù)被執(zhí)行,那么解決該問題的核心思路就是對(duì)用戶數(shù)據(jù)做嚴(yán)格處理,對(duì)任何頁面?zhèn)鬟f的數(shù)據(jù)都不應(yīng)過分信任,處理方法如下:

1.在頁面上對(duì)action參數(shù)做轉(zhuǎn)義處理,${action?html}(前端技術(shù)采用freemarker),但是此種方法只能對(duì)單個(gè)屬性有效,如果此時(shí)項(xiàng)目處于維護(hù)期且有大量此種問題,修復(fù)的難度較大且不便于統(tǒng)一維護(hù)

2.在服務(wù)端對(duì)用戶數(shù)據(jù)做轉(zhuǎn)義處理,此時(shí)需要?jiǎng)?chuàng)建一個(gè)filter,對(duì)request進(jìn)行二次封裝,核心代碼如下:

Java Code

import javax.servlet.http.HttpServletRequest;   

import javax.servlet.http.HttpServletRequestWrapper;   

import org.apache.commons.lang3.StringEscapeUtils;   

public class XssRequestWrapper extends HttpServletRequestWrapper {   

    public XssRequestWrapper(HttpServletRequest request) {   

        super(request);   

    }   

    public String getParameter(String name) {   

        String value = super.getParameter(name);   

        if (value == null) {   

            return null;   

        }   

        return StringEscapeUtils.escapeHtml4(value);   

    }   

    public String[] getParameterValues(String name) {   

        String[] values = super.getParameterValues(name);   

        if (values == null) {   

            return null;   

        }   

        String[] newValues = new String[values.length];   

        for (int i = 0; i < values.length; i++) {   

            newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);   

        }   

        return newValues;   

    }   

}   

XssRequestWrapper是對(duì)request進(jìn)行的二次封裝,最核心的作用是對(duì)request中的參數(shù)進(jìn)行轉(zhuǎn)義處理(需要用到commons-lang3.jar)

定義filter,核心的代碼如下:

Java Code

@Override  

public void doFilter(ServletRequest request,   

                     ServletResponse response,   

                     FilterChain chain) throws IOException, ServletException {   

    HttpServletRequest req = (HttpServletRequest) request;   

    chain.doFilter(new <span style="color: #000000;">XssRequestWrapper</span>(req), response);   

}  

在web.xml中配置指定請(qǐng)求進(jìn)行過濾,可以有效防止xss攻擊,希望本文所述對(duì)大家熟練掌握防止xss攻擊的方法有所幫助。

更多信息請(qǐng)查看技術(shù)文章
易賢網(wǎng)手機(jī)網(wǎng)站地址:防止xss攻擊的有效方法
由于各方面情況的不斷調(diào)整與變化,易賢網(wǎng)提供的所有考試信息和咨詢回復(fù)僅供參考,敬請(qǐng)考生以權(quán)威部門公布的正式信息和咨詢?yōu)闇?zhǔn)!

2025國考·省考課程試聽報(bào)名

  • 報(bào)班類型
  • 姓名
  • 手機(jī)號(hào)
  • 驗(yàn)證碼
關(guān)于我們 | 聯(lián)系我們 | 人才招聘 | 網(wǎng)站聲明 | 網(wǎng)站幫助 | 非正式的簡要咨詢 | 簡要咨詢須知 | 加入群交流 | 手機(jī)站點(diǎn) | 投訴建議
工業(yè)和信息化部備案號(hào):滇ICP備2023014141號(hào)-1 云南省教育廳備案號(hào):云教ICP備0901021 滇公網(wǎng)安備53010202001879號(hào) 人力資源服務(wù)許可證:(云)人服證字(2023)第0102001523號(hào)
云南網(wǎng)警備案專用圖標(biāo)
聯(lián)系電話:0871-65099533/13759567129 獲取招聘考試信息及咨詢關(guān)注公眾號(hào):hfpxwx
咨詢QQ:526150442(9:00—18:00)版權(quán)所有:易賢網(wǎng)
云南網(wǎng)警報(bào)警專用圖標(biāo)