设计、网站、推广
始于2004年
当前位置:首页 > 网站安全

如何有效防止XSS攻击

发表日期:2016-6-30 作者来源:派谷网络 浏览次数:

  XSS(跨站脚本)漏洞是一种Web应用程序安全漏洞,常被黑客用来对Web用户发起攻击。下面学习啦小编整理了一些资料为大家讲解如何有效防止XSS攻击的方法,希望对你有用!
  什么是XSS攻击?
  XSS即为跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。

  如何安全有效的防止XSS攻击呢?
  最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。
  问题描述:
  在页面上有个隐藏域:
  XML/HTML Code          复制内容到剪贴板

  <input type = "hidden" id = "action" value = "${action}"/> 
  当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上
  如果此时action被用户恶意修改为:***" "***
  此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。
  解决思路:
  该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:
  1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护
  2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:
  Java Code          复制内容到剪贴板
  import javax.servlet.http.HttpServletRequest;
  import javax.servlet.http.HttpServletRequestWrapper;
  import org.apache.commons.lang3.StringEscapeUtils;
  public class XssRequestWrapper extends HttpServletRequestWrapper {
  public XssRequestWrapper(HttpServletRequest request) {
  super(request);
  }
  public String getParameter(String name) {
  String value = super.getParameter(name);
  if (value == null) {
  return null;
  }
  return StringEscapeUtils.escapeHtml4(value);
  }
  public String[] getParameterValues(String name) {
  String[] values = super.getParameterValues(name);
  if (values == null) {
  return null;
  }
  String[] newValues = new String[values.length];
  for (int i = 0; i < values.length; i++) {
  newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
  }
  return newValues;
  }
  }
  XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)
  定义filter,核心的代码如下:
  Java Code            复制内容到剪贴板
  @Override
  public void doFilter(ServletRequest request,
  ServletResponse response,
  FilterChain chain) throws IOException, ServletException {
  HttpServletRequest req = (HttpServletRequest) request;
  chain.doFilter(new XssRequestWrapper(req), response);
  }

本文章系本站编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!

相关网站设计案例

相关推荐新闻
网站建设解决方案