主页 > 网站建设 >

防止xss攻击的有效方法

网站建设 2023-02-09 11:06www.1681989.com免费网站

最近，有个项目突然接到总部的安全漏洞报告，查看后知道是XSS攻击。

问题描述

在页面上有个隐藏域

XML/HTML Code复制内容到剪贴板

<put type = "hidden" id = "action" value = "${action}"/>

当前页面提交到Controller时，未对action属性做任何处理，直接又回传到页面上

如果此时action被用户恶意修改为"<script>alert(1);</script>"

此时当页面刷新时将执行alert(1)，虽然错误不严重，任何安全隐患都应受到重视。

解决思路

该问题是由于对用户输入数据（隐藏域）未做任何处理，导致非法数据被执行，那么解决该问题的核心思路就是对用户数据做严格处理，对任何页面传递的数据都不应过分信任，处理方法如下

1.在页面上对action参数做转义处理，${action?html}（前端技术采用freemarker），此种方法只能对单个属性有效，如果此时项目处于维护期且有大量此种问题，修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理，此时需要创建一个filter，对request进行二次封装，核心代码如下

Java Code复制内容到剪贴板

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import .apache.mons.lang3.StrgEscapeUtils;
public class XssRequestWrapper extends HttpServletRequestWrapper {
public XssRequestWrapper(HttpServletRequest request) {
super(request);
}
public Strg getParameter(Strg name) {
Strg value = super.getParameter(name);
if (value == null) {
return null;
}
return StrgEscapeUtils.escapeHtml4(value);
}
public Strg[] getParameterValues(Strg name) {
Strg[] values = super.getParameterValues(name);
if (values == null) {
return null;
}
Strg[] newValues = new Strg[values.length];
for (t i = 0; i < values.length; i++) {
newValues[i] = StrgEscapeUtils.escapeHtml4(values[i]);
}
return newValues;
}
}

XssRequestWrapper是对request进行的二次封装，最核心的作用是对request中的参数进行转义处理（需要用到mons-lang3.jar）

定义filter，核心的代码如下

Java Code复制内容到剪贴板

@Override
public void doFilter(ServletRequest request,
ServletResponse response,
FilterCha cha) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
cha.doFilter(new <span style="color: #000000;">XssRequestWrapper</span>(req), response);
}

在web.xml中配置指定请求进行过滤，可以有效防止xss攻击，希望本文所述对大家熟练掌握防止xss攻击的方法有所帮助。

上一篇：ARP欺骗原理以及路由器的先天免疫下一篇：剖析DDoS攻击原理

Copyright © 2016-2025 www.1681989.com 推火网版权所有 Power by