简要咨询咨询QQ网站导航网站搜索手机站点联系我们设为首页加入收藏 

防止xss攻击的有效方法

来源:易贤网   阅读:2461 次  日期:2016-08-03 14:34:50

温馨提示:易贤网小编为您整理了“防止xss攻击的有效方法”,方便广大网友查阅!

这篇文章主要为大家介绍了防止xss攻击的有效方法,何为xss攻击,我们可以采取什么样的措施去御防xss攻击,感兴趣的小伙伴们可以参考一下

最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。

问题描述:

在页面上有个隐藏域:

XML/HTML Code

<input type = "hidden" id = "action" value = "${action}"/>    

当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上

如果此时action被用户恶意修改为:***"<script>alert(1);</script>"***

此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。

解决思路:

该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:

1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护

2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:

Java Code

import javax.servlet.http.HttpServletRequest;   

import javax.servlet.http.HttpServletRequestWrapper;   

import org.apache.commons.lang3.StringEscapeUtils;   

public class XssRequestWrapper extends HttpServletRequestWrapper {   

    public XssRequestWrapper(HttpServletRequest request) {   

        super(request);   

    }   

    public String getParameter(String name) {   

        String value = super.getParameter(name);   

        if (value == null) {   

            return null;   

        }   

        return StringEscapeUtils.escapeHtml4(value);   

    }   

    public String[] getParameterValues(String name) {   

        String[] values = super.getParameterValues(name);   

        if (values == null) {   

            return null;   

        }   

        String[] newValues = new String[values.length];   

        for (int i = 0; i < values.length; i++) {   

            newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);   

        }   

        return newValues;   

    }   

}   

XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)

定义filter,核心的代码如下:

Java Code

@Override  

public void doFilter(ServletRequest request,   

                     ServletResponse response,   

                     FilterChain chain) throws IOException, ServletException {   

    HttpServletRequest req = (HttpServletRequest) request;   

    chain.doFilter(new <span style="color: #000000;">XssRequestWrapper</span>(req), response);   

}  

在web.xml中配置指定请求进行过滤,可以有效防止xss攻击,希望本文所述对大家熟练掌握防止xss攻击的方法有所帮助。

更多信息请查看技术文章
点此处就本文及相关问题在本站进行非正式的简要咨询(便捷快速)】     【点此处查询各地各类考试咨询QQ号码及交流群
上一篇:剖析DDoS攻击原理
下一篇:ARP欺骗原理以及路由器的先天免疫
易贤网手机网站地址:防止xss攻击的有效方法
由于各方面情况的不断调整与变化,易贤网提供的所有考试信息和咨询回复仅供参考,敬请考生以权威部门公布的正式信息和咨询为准!