這篇文章主要為大家介紹了防止xss攻擊的有效方法,何為xss攻擊,我們可以采取什么樣的措施去御防xss攻擊,感興趣的小伙伴們可以參考一下
最近,有個(gè)項(xiàng)目突然接到總部的安全漏洞報(bào)告,查看后知道是XSS攻擊。
問題描述:
在頁面上有個(gè)隱藏域:
XML/HTML Code
<input type = "hidden" id = "action" value = "${action}"/>
當(dāng)前頁面提交到Controller時(shí),未對(duì)action屬性做任何處理,直接又回傳到頁面上
如果此時(shí)action被用戶惡意修改為:***"<script>alert(1);</script>"***
此時(shí)當(dāng)頁面刷新時(shí)將執(zhí)行alert(1),雖然錯(cuò)誤不嚴(yán)重,但是任何安全隱患都應(yīng)受到重視。
解決思路:
該問題是由于對(duì)用戶輸入數(shù)據(jù)(隱藏域)未做任何處理,導(dǎo)致非法數(shù)據(jù)被執(zhí)行,那么解決該問題的核心思路就是對(duì)用戶數(shù)據(jù)做嚴(yán)格處理,對(duì)任何頁面?zhèn)鬟f的數(shù)據(jù)都不應(yīng)過分信任,處理方法如下:
1.在頁面上對(duì)action參數(shù)做轉(zhuǎn)義處理,${action?html}(前端技術(shù)采用freemarker),但是此種方法只能對(duì)單個(gè)屬性有效,如果此時(shí)項(xiàng)目處于維護(hù)期且有大量此種問題,修復(fù)的難度較大且不便于統(tǒng)一維護(hù)
2.在服務(wù)端對(duì)用戶數(shù)據(jù)做轉(zhuǎn)義處理,此時(shí)需要?jiǎng)?chuàng)建一個(gè)filter,對(duì)request進(jìn)行二次封裝,核心代碼如下:
Java Code
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang3.StringEscapeUtils;
public class XssRequestWrapper extends HttpServletRequestWrapper {
public XssRequestWrapper(HttpServletRequest request) {
super(request);
}
public String getParameter(String name) {
String value = super.getParameter(name);
if (value == null) {
return null;
}
return StringEscapeUtils.escapeHtml4(value);
}
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values == null) {
return null;
}
String[] newValues = new String[values.length];
for (int i = 0; i < values.length; i++) {
newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
}
return newValues;
}
}
XssRequestWrapper是對(duì)request進(jìn)行的二次封裝,最核心的作用是對(duì)request中的參數(shù)進(jìn)行轉(zhuǎn)義處理(需要用到commons-lang3.jar)
定義filter,核心的代碼如下:
Java Code
@Override
public void doFilter(ServletRequest request,
ServletResponse response,
FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
chain.doFilter(new <span style="color: #000000;">XssRequestWrapper</span>(req), response);
}
在web.xml中配置指定請(qǐng)求進(jìn)行過濾,可以有效防止xss攻擊,希望本文所述對(duì)大家熟練掌握防止xss攻擊的方法有所幫助。