1. jsp中如何解決xss攻擊問題
那就寫個過濾器,把有小於號大於號等等,與標簽或者SQL有關的全部替換,然後再存進資料庫。具體換成什麼,自己決定吧。
2. input怎樣能排除JS命令,防止XSS攻擊
1、對input輸入框進行輸入限制,防止輸入一些特殊符號。
2、對input的輸入長度進行限制,因為一般代碼長度會比較長,限制長度就可以有效防止這種情況。
3、表單提交注意使用post方式提交。
4、希望對你有幫助。
3. 【快學springboot】15、SpringBoot過濾XSS腳本攻擊
XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
簡而言之,就是作惡用戶通過表單提交一些前端代碼,如果不做處理的話,這些前端代碼將會在展示的時候被瀏覽器執行。
解決XSS攻擊,可以通過後端對輸入的數據做過濾或者轉義,使XSS攻擊代喚型消碼失效。
對於過濾XSS腳本的代碼,通過搜索引擎可以搜索到很多,但似乎都不是那麼全面。基本上都是只能過濾querystring(表單類型)類型的入參,而不能和知過濾json類型的入參。其實,在現在的開發中,更多的是使用json類型做數據交互。下面就直接貼代碼了:
這里重寫了兩個方法:getParameter和getParameterValues,getParameter方法是直接通過request獲得querystring類型的入參調用的方法。如果是通過springMVC註解類型來獲得參數的話,走的是getParameterValues的方法。大家可以通過列印一個輸出來驗證一下。
StringEscapeUtils.escapeHtml4這個方法來自Apache的工具類,maven坐標如下:
過濾的代碼寫完了,下面就是在一個filter中應用該代碼。
過濾表單類型的代碼已經完成(xssObjectMapper這個是後面過濾json類型才用到的)。下面來實現過濾json類型的代碼:
代碼如下:
這里是通過修改SpringMVC的json序列化來達到過濾xss的目的的。其實也可以通過第一種方法,重寫getInputStream方法來實現,這里我就不做演示了(通過json類型傳參會走getInputStream方法,通過重寫該方法列印輸出可以證明)。
TestController.java
下面通過postman測試下效果:
可以看到,js代碼已經經租笑過轉義。轉義過後的代碼,即使前端讀取過去了,也不會被瀏覽器執行的。
4. 如何有效防止XSS攻擊/AJAX跨域攻擊
1,利用字元過濾漏洞,提交惡意js代碼,當用戶打開頁面時執行
2,需要填寫圖片地址或css等直接在頁面載入時執行的地方,填寫惡意js [javascript:xxxx],當用戶打開包含圖片的頁面時,可以執行js。比如GET s1.game.com/fight/:id 表示發兵到某個用戶,雖然做了用戶驗證,但沒做來源驗證,用戶只需將這個地址發到同用戶的論壇作為圖片地址即可執行
3,通過跳轉頁面漏洞,比如 refer.php?message=xxxx ,頁面上直接用 $_GET['message'] 的話,就會造成xss漏洞,把message的參數換成js代碼或惡意網址,即可盜取用戶cookie,或執行惡意js,或跳轉到釣魚頁面等
4,利用瀏覽器或伺服器0day漏洞
1,XSS主要是你的頁面可以運行用戶寫的js,所以對所有的用戶提交的數據進行過濾,對於判斷用戶是否登錄狀態的cookie信息進行加密,並且加上Ip信息,這樣基本被盜取也無法獲取登錄許可權
2,對update或delete的操作採用post方式提交,每次form里加一個唯一驗證字元串,用hiden方式提交,用於伺服器驗證是否來自用戶客戶端
3,跳轉程序需要對傳遞的url進行匹配判斷,只允許特定的格式
4,時常關注安全方面的消息,一有漏洞即刻不上