基于Antisamy项目实现防XSS攻击

最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。

为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSamy是一个可以确保用户输入的HTML、CSS、JavaScript符合规范的API。它确保了用户无法在HTML中提交恶意代码,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。

AntiSamy的下载地址:

官方网站:https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

项目地址:https://code.google.com/p/owaspantisamy/downloads/list

我们项目使用的Java,除了antisamy-1.5.3.jar包外,还需要下述jar包。

AntiSamy的使用如下:

定义一个XssFilter的Class,该类必须实现Filter类,在XssFilter类中实现doFilter函数。将策略文件放到和pom.xml同级目录下,然后开始编写XssFilter。

    public class XssFilter implements Filter {
	@SuppressWarnings("unused")
	private FilterConfig filterConfig;
	public void destroy() {
		this.filterConfig = null;
	}
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
	}
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
	}
    }

我们需要重写request,新建一个类XssRequestWrapper,继承HttpServletRequestWrapper,需要重写getParameter(String param), getParameterValues(String param)以及getHeader(String param)方法,以及过滤非法html方法xssClean()

public class XssRequestWrapper extends HttpServletRequestWrapper {

	private static Policy policy = null;

	static{
		//String path = URLUtility.getClassPath(XssRequestWrapper.class)+File.separator+"antisamy-anythinggoes-1.4.4.xml";
		String path =XssRequestWrapper.class.getClassLoader().getResource("antisamy-anythinggoes-1.4.4.xml").getFile();
		System.out.println("policy_filepath:"+path);
		if(path.startsWith("file")){
			path = path.substring(6);
		}
    	 try {
			policy = Policy.getInstance(path);
		} catch (PolicyException e) {
			e.printStackTrace();
		}
	}

	public XssRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	@SuppressWarnings("rawtypes")
	public Map<String,String[]> getParameterMap(){
		Map<String,String[]> request_map = super.getParameterMap();
		Iterator iterator = request_map.entrySet().iterator();
		System.out.println("request_map"+request_map.size());
		while(iterator.hasNext()){
			Map.Entry me = (Map.Entry)iterator.next();
			//System.out.println(me.getKey()+":");
			String[] values = (String[])me.getValue();
			for(int i = 0 ; i < values.length ; i++){
				System.out.println(values[i]);
				values[i] = xssClean(values[i]);
			}
		}
		return request_map;
	}
	 public String[] getParameterValues(String paramString)
	  {
	    String[] arrayOfString1 = super.getParameterValues(paramString);
	    if (arrayOfString1 == null)
	      return null;
	    int i = arrayOfString1.length;
	    String[] arrayOfString2 = new String[i];
	    for (int j = 0; j < i; j++)
	      arrayOfString2[j] = xssClean(arrayOfString1[j]);
	    return arrayOfString2;
	  }

	  public String getParameter(String paramString)
	  {
	    String str = super.getParameter(paramString);
	    if (str == null)
	      return null;
	    return xssClean(str);
	  }

	  public String getHeader(String paramString)
	  {
	    String str = super.getHeader(paramString);
	    if (str == null)
	      return null;
	    return xssClean(str);
	  }

	private String xssClean(String value) {
        AntiSamy antiSamy = new AntiSamy();
        try {
        	//CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
            final CleanResults cr = antiSamy.scan(value, policy);
            //安全的HTML输出
            return cr.getCleanHTML();
        } catch (ScanException e) {
            e.printStackTrace();
        } catch (PolicyException e) {
            e.printStackTrace();
        }
        return value;
	}
}

在我们使用AntiSamy进行测试时,发现确实能够有效的控制xss攻击,用户的非法输入全部被删除或替换了,但是也发现会把“&nbsp;”转换成乱码,把双引号转换成"&quot;"

为了解决这两个错误转换,我们修改了xssClean(String value)方法。

public static  String xssClean(String value) {
        AntiSamy antiSamy = new AntiSamy();
        try {
            final CleanResults cr = antiSamy.scan(value, policy);
            //安全的HTML输出,将引号转换成安全的双引号
            String str =StringEscapeUtils.unescapeHtml(cr.getCleanHTML());
<span style="white-space:pre">	</span>    //将<span style="color:#2A00FF;">&nbsp;转换成空格</span>
            str = str.replaceAll((antiSamy.scan("<span style="color: rgb(42, 0, 255);">&nbsp;</span><span style="color:#362e2b;">",policy)).getCleanHTML(),"");
             return str;
        } catch (ScanException e) {
            e.printStackTrace();
        } catch (PolicyException e) {
            e.printStackTrace();
        }
        return value;
	}
</span>
<p align="left">
</p>

时间: 2024-11-13 11:40:51

基于Antisamy项目实现防XSS攻击的相关文章

PHP 防xss攻击

PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.RemoveXss函数(百度可以查到) PHP输出到JS代码中,或者开发Json API的,则需要前端在JS中进行过滤: 1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容 2.必须要用innerHTML等等函数,则需要做类似php的

WEB防XSS攻击

web开发中的常见漏洞,一般都发生在这些输入框中,一般情况我们会对这些输入域进行客户端的校验和服务器端的校验,但是在客户端的校验基本上起不来什么作用,因为客户端的所有代码我们都可以进行更改,防止漏洞的发生还是需要服务器端的校验,但是一般服务器端的校验都是校验你输入的字符或者是数字的长度等等.下面就演示一个XSS的漏洞注入,JSP页面中有两个输入框,姓名和个人介绍.当我们写入姓名和个人介绍之后,后台代码的处理就是进行一个简单的转发,然后把我们刚才的信息转发到一个jsp页面进行显示. 如果我们在个人

防XSS攻击

remove_xss function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed // this prevents some character re-spacing such as <java\0script> // note that you have to handle splits with \n, \r, and \t late

360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击

就以这张图片作为开篇和问题引入吧 <options>问题解决办法请参考上一篇 如何获取360站长邀请码,360网站安全站长邀请码 首先360能够提供一个这样平台去检测还是不错的.但是当体检出来 看到漏洞报告,以为360会像windows上360安全卫士一样帮我们打好补丁.但是实际发现漏洞是要自己修复,并且php和asp aspx有360提供的补丁或者解决方案(想要看这些方案之前要申请为站长但是需要邀请码 这个可以在页面 页面左下角 360主机卫士感恩卡里面领取). 进入修复方案后发现java几

textarea与XSS攻击

textarea用法 一般是用来接收用户输入,用于提交到服务器端,例如 网站的评论框. 如果此框也用于显示服务器端回传的内容,则有如下两种用法 法1 后台直接插入 <textarea><%=serverString;%></textarea> 法2 使用JS DOM接口赋值 textareaDom.value = "<%=serverString;%>" textarea content特性 即法1特性, 即使将html代码段插入text

前端安全之XSS攻击

转自:http://www.cnblogs.com/lovesong/p/5199623.html XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是"跨域"和"客户端执行".有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射的XSS攻击) 2. Stored XSS(基于存储的XSS攻击) 3. DOM-based or local XSS(基于DOM或本地的XSS攻击) Reflected

前端xss攻击

xss是什么 xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入的恶意html代码会被执行,从而达到恶意用户的特殊目的.XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性.但是随着前端技术的不断进步,这方面的问题越来越受关注.举个简单例子 : 假如你现在是sns站点上一个用户,发布信息的功能存在漏洞可以执行js 你在 此刻输入一个 恶意脚本

「PHP开发APP接口实战009」日常安全防范之防SQL入和XSS攻击

防SQL注入和XSS攻击通用过滤 首先在 /app/library/ 目录下创建 Security.php 文件并添加以下代码: <?php /** * * 防SQL注入和XSS攻击通用过滤 */ class Security { public static function filter(&$params) { if (!is_array($params)) { return; } $patterns = ['/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/i', '

php防注入xss攻击

<?php //php防注入和XSS攻击通用过滤. //by qq:831937 $_GET && SafeFilter($_GET); $_POST && SafeFilter($_POST); $_COOKIE && SafeFilter($_COOKIE); function SafeFilter (&$arr) { if (is_array($arr)) { foreach ($arr as $key => $value) { i