防止xss攻击的有效方法
程序员文章站
2022-04-28 19:14:41
这篇文章主要为大家介绍了防止xss攻击的有效方法,何为xss攻击,我们可以采取什么样的措施去御防xss攻击,感兴趣的小伙伴们可以参考一下... 16-01-19...
最近,有个项目突然接到总部的安全漏洞报告,查看后知道是xss攻击。
问题描述:
在页面上有个隐藏域:
xml/html code复制内容到剪贴板
- <input type = "hidden" id = "action" value = "${action}"/>
当前页面提交到controller时,未对action属性做任何处理,直接又回传到页面上
如果此时action被用户恶意修改为:***"<script>alert(1);</script>"***
此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应受到重视。
解决思路:
该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:
1.在页面上对action参数做转义处理,${action?html}(前端技术采用freemarker),但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护
2.在服务端对用户数据做转义处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:
java code复制内容到剪贴板
- import javax.servlet.http.httpservletrequest;
- import javax.servlet.http.httpservletrequestwrapper;
- import org.apache.commons.lang3.stringescapeutils;
- public class xssrequestwrapper extends httpservletrequestwrapper {
- public xssrequestwrapper(httpservletrequest request) {
- super(request);
- }
- public string getparameter(string name) {
- string value = super.getparameter(name);
- if (value == null) {
- return null;
- }
- return stringescapeutils.escapehtml4(value);
- }
- public string[] getparametervalues(string name) {
- string[] values = super.getparametervalues(name);
- if (values == null) {
- return null;
- }
- string[] newvalues = new string[values.length];
- for (int i = 0; i < values.length; i++) {
- newvalues[i] = stringescapeutils.escapehtml4(values[i]);
- }
- return newvalues;
- }
- }
xssrequestwrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)
定义filter,核心的代码如下:
java code复制内容到剪贴板
- @override
- public void dofilter(servletrequest request,
- servletresponse response,
- filterchain chain) throws ioexception, servletexception {
- httpservletrequest req = (httpservletrequest) request;
- chain.dofilter(new <span style="color: #000000;">xssrequestwrapper</span>(req), response);
- }
在web.xml中配置指定请求进行过滤,可以有效防止xss攻击,希望本文所述对大家熟练掌握防止xss攻击的方法有所帮助。