360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击

就以这张图片作为开篇和问题引入吧

<options>问题解决办法请参考上一篇

如何获取360站长邀请码,360网站安全站长邀请码

首先360能够提供一个这样平台去检测还是不错的。但是当体检出来 看到漏洞报告,以为360会像windows上360安全卫士一样帮我们打好补丁。但是实际发现漏洞是要自己修复,并且php和asp aspx有360提供的补丁或者解决方案(想要看这些方案之前要申请为站长但是需要邀请码 这个可以在页面 页面左下角 360主机卫士感恩卡里面领取)。

进入修复方案后发现java几乎没有提供一些建议,只能自己处理。开始使用搜索引擎搜索 java防止xss攻击代码。

http://www.yihaomen.com/article/java/409.htm

查到了这个方案

. 可以采用spring 里面提供的工具类来实现.

一, 第一种方法。

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}

再实现 ServletRequest 的包装类

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It‘s highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src=‘...‘ type of e-xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\‘(.*?)\\\‘", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) e-xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid e-xpression(...) e-xpressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... e-xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... e-xpressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= e-xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

还需要到web.xml里面配置

<filter>
    <filter-name>XSSFilter</filter-name>
    <filter-class>com.shanheyongmu.XSSFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>XSSFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

放上去之后 出现了 Java.lang.UnsupportedClassVersionError还是classnotfound 项目跑起来就是首页404。 然后考虑了下linux环境是jdk 1.6而编译的都是maven3.3.0以后版本以及使用的jdk 1.7 版本问题(版本切换步骤可以参考【maven学习总结】里面的execption ,版本之前工作中遇到过所以有印象) 重新换jdk和eclipse设置jdk都是1.6之后编译。不报错了shell上,但是用360快速检测我已修复,还是存在漏洞。于是继续百度

http://www.what21.com/programming/java/javaweb-summary/xss3.html 发现了不同的XssFilter写法,尝试之后还是失败。

https://my.oschina.net/wanglu/blog/267069   Springmvc安全  ,尝试之后失败,当然有些人视图解析器不同 无加spring 的form标签 无法尝试。

http://www.cnblogs.com/Mainz/archive/2012/11/01/2749874.html  来到了本篇 本篇有3种解决方法

第二种方法

web.xml加上:

       <context-param>
 <param-name>defaultHtmlEscape</param-name>
 <param-value>true</param-value>
 </context-param>

Forms加上:很多人对forms到底是哪里不理解你可以 加在<form>标签之前 或者body之前

<spring:htmlEscape defaultHtmlEscape="true" />

因为是线上项目所以无法采用以下标签 https://my.oschina.net/wanglu/blog/267069

也就是spring的标签

<form:input path="someFormField" htmlEscape="true" />

但是<spring:htmlEscape defaultHtmlEscape="true" />在jsp视图解析中还是可以的,并且这个添加方法 可以不改变原有项目。

全部部署完成后,遗憾的是还是体检有原有漏洞。

从这篇得到了答案 并且修复了 http://huangpengpeng.iteye.com/blog/2091798

 <!--@分隔 -->
    <filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>com.yoro.core.web.XssFilter</filter-class>
        <init-param>
            <param-name>SplitChar</param-name>
            <param-value>@</param-value>
        </init-param>
        <init-param>
            <param-name>FilterChar</param-name>
            <param-value>>@&lt;@\‘@\"@\\@#@(@)</param-value>
        </init-param>
        <init-param>
            <param-name>ReplaceChar</param-name>
            <param-value>>‘@<@‘@“@\@#@(@)</param-value>
        </init-param>
    </filter>  

 <filter-mapping>  

        <filter-name>xssFilter</filter-name>  

  <url-pattern>/*</url-pattern>  

    </filter-mapping>  
package com.yoro.core.web;  

/**
 * @author zoro
 */
import java.io.IOException;  

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;  

public class XssFilter implements Filter {  

    private String filterChar;
    private String replaceChar;
    private String splitChar;
    FilterConfig filterConfig = null;
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterChar=filterConfig.getInitParameter("FilterChar");
        this.replaceChar=filterConfig.getInitParameter("ReplaceChar");
        this.splitChar=filterConfig.getInitParameter("SplitChar");
        this.filterConfig = filterConfig;
    }  

    public void destroy() {
        this.filterConfig = null;
    }  

    public void doFilter(ServletRequest request, ServletResponse response,  

    FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request,filterChar,replaceChar,splitChar), response);
    }
}  
package com.yoro.core.web;  

import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;  

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;  

/**
 * @author zoro
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private String[]filterChars;
    private String[]replaceChars;
    public XssHttpServletRequestWrapper(HttpServletRequest request,String filterChar,String replaceChar,String splitChar) {
        super(request);
        if(filterChar!=null&&filterChar.length()>0){
            filterChars=filterChar.split(splitChar);
        }
        if(replaceChar!=null&&replaceChar.length()>0){
            replaceChars=replaceChar.split(splitChar);
        }
    }
    public String getQueryString() {
        String value = super.getQueryString();
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }  

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }  

    public String[] getParameterValues(String name) {
        String[]parameters=super.getParameterValues(name);
        if (parameters==null||parameters.length == 0) {
            return null;
        }
        for (int i = 0; i < parameters.length; i++) {
            parameters[i] = xssEncode(parameters[i]);
        }
        return parameters;
    }  

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> getHeaderNames 也可能需要覆盖
     */
    public String getHeader(String name) {  

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value);
        }
        return value;
    }  

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     *
     * @param s
     * @return
     */
    private  String xssEncode(String s) {
        if (s == null || s.equals("")) {
            return s;
        }
        try {
            s = URLDecoder.decode(s, "UTF-8");
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        for (int i = 0; i < filterChars.length; i++) {
            if(s.contains(filterChars[i])){
                s=s.replace(filterChars[i], replaceChars[i]);
            }
        }
        return s;
    }
}

由于尝试较多,也比较混乱,也不确定哪个适用各位的情况,只能多查多参考。

此处再补充一个 其他防止Xss攻击代码写法 http://www.what21.com/programming/java/javaweb-summary/xss3.html。

后来搜索到了 http://www.cnblogs.com/wangdaijun/p/5652864.html Antisamy项目实现防XSS攻击

遗憾的是配置文件很难找 我在csdn找到了antisamy.xml,大家可以基于搜索关键字 Antisamy项目实现防XSS攻击多查查 。

小弟技术菜,并且思维一般,求大神勿喷,给予指导和共同交流进步还是可以的。

时间: 2024-12-26 02:34:13

360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击的相关文章

java web开发入门六(spring mvc)基于intellig idea

spring mvc ssm=spring mvc+spring +mybatis spring mvc工作流程 1A)客户端发出http请求,只要请求形式符合web.xml文件中配置的*.action的话,就由DispatcherServlet来处理. 1B)DispatcherServlet再将http请求委托给映射器的对象来将http请求交给对应的Action来处理 2)映射器根据客户的http请求,再对比<bean name="/hello.action如果匹配正确,再将http请

Spring MVC里面xss攻击的预防

关于xss的介绍可以看 Asp.net安全架构之1:xss(跨站脚本)和 腾讯微博的XSS攻击漏洞 网页, 具体我就讲讲Spring MVC里面的预防: 第一种方法,使用Spring MVC web.xml加上: 1 2 3 4 <context-param> <param-name>defaultHtmlEscape</param-name> <param-value>true</param-value> </context-param&

Excel导出学习之道:Java Web利用POI导出Excel简单例子

采用Spring mvc架构: Controller层代码如下 [java] view plaincopy @Controller public class StudentExportController{ @Autowired private StudentExportService studentExportService; @RequestMapping(value = "/excel/export") public void exportExcel(HttpServletReq

Java Web 基础 --- Filter 综述

摘要: 伴随J2EE一起发布的Servlet规范中还包括一个重要的组件--过滤器(Filter).过滤器可以认为是Servlet的一种加强版,它主要用于对用户请求进行预处理以及对服务器响应进行后处理,是个典型的处理链.Servlet规范使用了三个接口对过滤器进行了抽象,即Filter是对具体过滤器的抽象,FilterChain是基于AOP理念对责任链方面的抽象,FilterConfig则是对Filter配置的抽象.本文概述了Filter的提出动机.工作原理.使用流程和应用实例,并指出Java W

java web之Filter详解

java web之Filter详解 2012-10-20 0 个评论 作者:chenshufei2 收藏 我要投稿 .概念: Filter也称之为过滤器,它是Servlet技术中比较激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能.例如实现URL级别的权限访问控制.过滤敏感词汇.压缩响应信息等一些高级功能. 二.Filter简介 Servlet API中提供

[Java][web]利用Spring随时随地获得Request和Session

利用Spring随时随地获得Request和Session 一.准备工作: 在web.xml中添加 <listener> <listener-class> org.springframework.web.context.request.RequestContextListener </listener-class> </listener> 二.使用方法: 1.方法一:通过代码实现 HttpServletRequest request = ((ServletR

Java Web之Filter

Filter被称为过滤器或者拦截器,基本功能就是对调用servler过程的拦截,在servlet进行响应和处理前后实现一些特殊功能.其实,Filter过滤器就是一个实现了javax.servlet.Filter接口的类,在javax.servlet.Filter接口中定义了3个方法: init(FilterConfig filterConfig) : 用来初始化过滤器,可以在init()中完成与构造方法类似的初始化功能,如果初始化代码中要使用FilterConfig对象,那么,这些初始化代码就只

Java Web编程的主要组件技术——MVC设计模式

参考书籍:<J2EE开源编程精要15讲> MVC(Model View Controller),Model(模型)表示业务逻辑层,View(视图)代表表述层,Controller(控制)表示控制层. 在Java Web应用程序中, View部分一般用JSP和HTML构建.客户在View部分提交请求,在业务逻辑层处理后,把结果返回给View部分显示 Controller部分一般用Servlet组成,把用户的请求发给适当的业务逻辑组件处理:处理后又返回Controller,把结果转发给适当的Vie

java web开发入门四(spring)基于intellig idea

spring 1.spring简介 Spring框架,可以解决对象创建以及对象之间依赖关系的一种框架. 且可以和其他框架一起使用:Spring与Struts,  Spring与hibernate (起到整合(粘合)作用的一个框架) Spring提供了一站式解决方案: 1) Spring Core  spring的核心功能: IOC容器, 解决对象创建及依赖关系 2) Spring Web  Spring对web模块的支持. -à 可以与struts整合,让struts的action创建交给spr