文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何过滤xss攻击

2024-04-02 19:55

关注

如何过滤xss攻击

过滤xss攻击的方法:

XSS过滤器示例代码:

package com.devframe.filter;import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;public class XssFilter implements Filter {@Override

public void init(FilterConfig config) {

}@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(

(HttpServletRequest) request);

chain.doFilter(xssRequest, response);

}@Override

public void destroy() {

}}

request进行XSS过滤,代码:

package com.devframe.filter;import org.apache.commons.io.IOUtils;

import org.springframework.http.HttpHeaders;

import org.springframework.http.MediaType;

import org.springframework.util.StringUtils;import javax.servlet.ReadListener;

import javax.servlet.ServletInputStream;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import java.io.ByteArrayInputStream;

import java.io.IOException;

import java.util.LinkedHashMap;

import java.util.Map;public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

private HttpServletRequest orgRequest;

private final static HTMLFilter HTML_FILTER = new HTMLFilter();

XssHttpServletRequestWrapper(HttpServletRequest request) throws IllegalArgumentException {

super(request);

orgRequest = request;

}@Override

public ServletInputStream getInputStream() throws IOException {

//非json类型,直接返回

if(!super.getHeader(HttpHeaders.CONTENT_TYPE).equalsIgnoreCase(MediaType.APPLICATION_JSON_VALUE)){

return super.getInputStream();

}//为空,直接返回

String json = IOUtils.toString(super.getInputStream(), "utf-8");

if (!StringUtils.hasText(json)) {

return super.getInputStream();

}//xss过滤

json = xssEncode(json);

final ByteArrayInputStream bis = new ByteArrayInputStream(json.getBytes("utf-8"));

return new ServletInputStream() {

@Override

public boolean isFinished() {

return true;

}@Override

public boolean isReady() {

return true;

}@Override

public void setReadListener(ReadListener readListener) {

}@Override

public int read() {

return bis.read();

}

};

}

@Override

public String getParameter(String name) {

String value = super.getParameter(xssEncode(name));

if (StringUtils.hasText(value)) {

value = xssEncode(value);

}

return value;

}

@Override

public String[] getParameterValues(String name) {

String[] parameters = super.getParameterValues(name);

if (parameters == null || parameters.length == 0) {

return null;

}for (int i = 0; i < parameters.length; i++) {

parameters[i] = xssEncode(parameters[i]);

}

return parameters;

}

@Override

public Map<String,String[]> getParameterMap() {

Map<String,String[]> map = new LinkedHashMap<>();

Map<String,String[]> parameters = super.getParameterMap();

for (String key : parameters.keySet()) {

String[] values = parameters.get(key);

for (int i = 0; i < values.length; i++) {

values[i] = xssEncode(values[i]);

}

map.put(key, values);

}

return map;

}

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (StringUtils.hasText(value)) {

value = xssEncode(value);

}

return value;

}private String xssEncode(String input) {

return HTML_FILTER.filter(input);

}

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

public static HttpServletRequest getOrgRequest(HttpServletRequest request) {

if (request instanceof XssHttpServletRequestWrapper) {

return ((XssHttpServletRequestWrapper) request).getOrgRequest();

}

return request;

}

}

XSS过滤工具类,示例代码:

package com.devframe.filter;import java.util.*;

import java.util.concurrent.ConcurrentHashMap;

import java.util.concurrent.ConcurrentMap;

import java.util.logging.Logger;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

public final class HTMLFilter {

private static final int REGEX_FLAGS_SI = Pattern.CASE_INSENSITIVE | Pattern.DOTALL;

private static final Pattern P_COMMENTS = Pattern.compile("<!--(.*?)-->", Pattern.DOTALL);

private static final Pattern P_COMMENT = Pattern.compile("^!--(.*)--$", REGEX_FLAGS_SI);

private static final Pattern P_TAGS = Pattern.compile("<(.*?)>", Pattern.DOTALL);

private static final Pattern P_END_TAG = Pattern.compile("^/([a-z0-9]+)", REGEX_FLAGS_SI);

private static final Pattern P_START_TAG = Pattern.compile("^([a-z0-9]+)(.*?)(/?)$", REGEX_FLAGS_SI);

private static final Pattern P_QUOTED_ATTRIBUTES = Pattern.compile("([a-z0-9]+)=([\"'])(.*?)\\2", REGEX_FLAGS_SI);

private static final Pattern P_UNQUOTED_ATTRIBUTES = Pattern.compile("([a-z0-9]+)(=)([^\"\\s']+)", REGEX_FLAGS_SI);

private static final Pattern P_PROTOCOL = Pattern.compile("^([^:]+):", REGEX_FLAGS_SI);

private static final Pattern P_ENTITY = Pattern.compile("&#(\\d+);?");

private static final Pattern P_ENTITY_UNICODE = Pattern.compile("&#x([0-9a-f]+);?");

private static final Pattern P_ENCODE = Pattern.compile("%([0-9a-f]{2});?");

private static final Pattern P_VALID_ENTITIES = Pattern.compile("&([^&;]*)(?=(;|&|$))");

private static final Pattern P_VALID_QUOTES = Pattern.compile("(>|^)([^<]+?)(<|$)", Pattern.DOTALL);

private static final Pattern P_END_ARROW = Pattern.compile("^>");

private static final Pattern P_BODY_TO_END = Pattern.compile("<([^>]*?)(?=<|$)");

private static final Pattern P_XML_CONTENT = Pattern.compile("(^|>)([^<]*?)(?=>)");

private static final Pattern P_STRAY_LEFT_ARROW = Pattern.compile("<([^>]*?)(?=<|$)");

private static final Pattern P_STRAY_RIGHT_ARROW = Pattern.compile("(^|>)([^<]*?)(?=>)");

private static final Pattern P_AMP = Pattern.compile("&");

private static final Pattern P_QUOTE = Pattern.compile("<");

private static final Pattern P_LEFT_ARROW = Pattern.compile("<");

private static final Pattern P_RIGHT_ARROW = Pattern.compile(">");

private static final Pattern P_BOTH_ARROWS = Pattern.compile("<>");// @xxx could grow large... maybe use sesat's ReferenceMap

private static final ConcurrentMap<String,Pattern> P_REMOVE_PAIR_BLANKS = new ConcurrentHashMap<String, Pattern>();

private static final ConcurrentMap<String,Pattern> P_REMOVE_SELF_BLANKS = new ConcurrentHashMap<String, Pattern>();

private final Map<String, List<String>> vAllowed;

private final Map<String, Integer> vTagCounts = new HashMap<String, Integer>();

private final String[] vSelfClosingTags;

private final String[] vNeedClosingTags;

private final String[] vDisallowed;

private final String[] vProtocolAtts;

private final String[] vAllowedProtocols;

private final String[] vRemoveBlanks;

private final String[] vAllowedEntities;

private final boolean stripComment;

private final boolean encodeQuotes;

private boolean vDebug = false;

private final boolean alwaysMakeTags;

public HTMLFilter() {

vAllowed = new HashMap<>();final ArrayList<String> a_atts = new ArrayList<String>();

a_atts.add("href");

a_atts.add("target");

vAllowed.put("a", a_atts);final ArrayList<String> img_atts = new ArrayList<String>();

img_atts.add("src");

img_atts.add("width");

img_atts.add("height");

img_atts.add("alt");

vAllowed.put("img", img_atts);final ArrayList<String> no_atts = new ArrayList<String>();

vAllowed.put("b", no_atts);

vAllowed.put("strong", no_atts);

vAllowed.put("i", no_atts);

vAllowed.put("em", no_atts);vSelfClosingTags = new String[]{"img"};

vNeedClosingTags = new String[]{"a", "b", "strong", "i", "em"};

vDisallowed = new String[]{};

vAllowedProtocols = new String[]{"http", "mailto", "https"}; // no ftp.

vProtocolAtts = new String[]{"src", "href"};

vRemoveBlanks = new String[]{"a", "b", "strong", "i", "em"};

vAllowedEntities = new String[]{"amp", "gt", "lt", "quot"};

stripComment = true;

encodeQuotes = true;

alwaysMakeTags = true;

}

public HTMLFilter(final boolean debug) {

this();

vDebug = debug;}

public HTMLFilter(final Map<String,Object> conf) {assert conf.containsKey("vAllowed") : "configuration requires vAllowed";

assert conf.containsKey("vSelfClosingTags") : "configuration requires vSelfClosingTags";

assert conf.containsKey("vNeedClosingTags") : "configuration requires vNeedClosingTags";

assert conf.containsKey("vDisallowed") : "configuration requires vDisallowed";

assert conf.containsKey("vAllowedProtocols") : "configuration requires vAllowedProtocols";

assert conf.containsKey("vProtocolAtts") : "configuration requires vProtocolAtts";

assert conf.containsKey("vRemoveBlanks") : "configuration requires vRemoveBlanks";

assert conf.containsKey("vAllowedEntities") : "configuration requires vAllowedEntities";vAllowed = Collections.unmodifiableMap((HashMap<String, List<String>>) conf.get("vAllowed"));

vSelfClosingTags = (String[]) conf.get("vSelfClosingTags");

vNeedClosingTags = (String[]) conf.get("vNeedClosingTags");

vDisallowed = (String[]) conf.get("vDisallowed");

vAllowedProtocols = (String[]) conf.get("vAllowedProtocols");

vProtocolAtts = (String[]) conf.get("vProtocolAtts");

vRemoveBlanks = (String[]) conf.get("vRemoveBlanks");

vAllowedEntities = (String[]) conf.get("vAllowedEntities");

stripComment = conf.containsKey("stripComment") ? (Boolean) conf.get("stripComment") : true;

encodeQuotes = conf.containsKey("encodeQuotes") ? (Boolean) conf.get("encodeQuotes") : true;

alwaysMakeTags = conf.containsKey("alwaysMakeTags") ? (Boolean) conf.get("alwaysMakeTags") : true;

}private void reset() {

vTagCounts.clear();

}private void debug(final String msg) {

if (vDebug) {

Logger.getAnonymousLogger().info(msg);

}

}//---------------------------------------------------------------

// my versions of some PHP library functions

public static String chr(final int decimal) {

return String.valueOf((char) decimal);

}public static String htmlSpecialChars(final String s) {

String result = s;

result = regexReplace(P_AMP, "&", result);

result = regexReplace(P_QUOTE, """, result);

result = regexReplace(P_LEFT_ARROW, "<", result);

result = regexReplace(P_RIGHT_ARROW, ">", result);

return result;

}//---------------------------------------------------------------

public String filter(final String input) {

reset();

String s = input;debug("************************************************");

debug(" INPUT: " + input);s = escapeComments(s);

debug(" escapeComments: " + s);s = balanceHTML(s);

debug(" balanceHTML: " + s);s = checkTags(s);

debug(" checkTags: " + s);s = processRemoveBlanks(s);

debug("processRemoveBlanks: " + s);s = validateEntities(s);

debug(" validateEntites: " + s);debug("************************************************\n\n");

return s;

}public boolean isAlwaysMakeTags(){

return alwaysMakeTags;

}public boolean isStripComments(){

return stripComment;

}private String escapeComments(final String s) {

final Matcher m = P_COMMENTS.matcher(s);

final StringBuffer buf = new StringBuffer();

if (m.find()) {

final String match = m.group(1); //(.*?)

m.appendReplacement(buf, Matcher.quoteReplacement("<!--" + htmlSpecialChars(match) + "-->"));

}

m.appendTail(buf);return buf.toString();

}private String balanceHTML(String s) {

if (alwaysMakeTags) {

//

// try and form html

//

s = regexReplace(P_END_ARROW, "", s);

s = regexReplace(P_BODY_TO_END, "<$1>", s);

s = regexReplace(P_XML_CONTENT, "$1<$2", s);} else {

//

// escape stray brackets

//

s = regexReplace(P_STRAY_LEFT_ARROW, "<$1", s);

s = regexReplace(P_STRAY_RIGHT_ARROW, "$1$2><", s);//

// the last regexp causes '<>' entities to appear

// (we need to do a lookahead assertion so that the last bracket can

// be used in the next pass of the regexp)

//

s = regexReplace(P_BOTH_ARROWS, "", s);

}return s;

}private String checkTags(String s) {

Matcher m = P_TAGS.matcher(s);final StringBuffer buf = new StringBuffer();

while (m.find()) {

String replaceStr = m.group(1);

replaceStr = processTag(replaceStr);

m.appendReplacement(buf, Matcher.quoteReplacement(replaceStr));

}

m.appendTail(buf);s = buf.toString();// these get tallied in processTag

// (remember to reset before subsequent calls to filter method)

for (String key : vTagCounts.keySet()) {

for (int ii = 0; ii < vTagCounts.get(key); ii++) {

s += "</" + key + ">";

}

}return s;

}private String processRemoveBlanks(final String s) {

String result = s;

for (String tag : vRemoveBlanks) {

if(!P_REMOVE_PAIR_BLANKS.containsKey(tag)){

P_REMOVE_PAIR_BLANKS.putIfAbsent(tag, Pattern.compile("<" + tag + "(\\s[^>]*)?></" + tag + ">"));

}

result = regexReplace(P_REMOVE_PAIR_BLANKS.get(tag), "", result);

if(!P_REMOVE_SELF_BLANKS.containsKey(tag)){

P_REMOVE_SELF_BLANKS.putIfAbsent(tag, Pattern.compile("<" + tag + "(\\s[^>]*)?/>"));

}

result = regexReplace(P_REMOVE_SELF_BLANKS.get(tag), "", result);

}return result;

}private static String regexReplace(final Pattern regex_pattern, final String replacement, final String s) {

Matcher m = regex_pattern.matcher(s);

return m.replaceAll(replacement);

}private String processTag(final String s) {

// ending tags

Matcher m = P_END_TAG.matcher(s);

if (m.find()) {

final String name = m.group(1).toLowerCase();

if (allowed(name)) {

if (!inArray(name, vSelfClosingTags)) {

if (vTagCounts.containsKey(name)) {

vTagCounts.put(name, vTagCounts.get(name) - 1);

return "</" + name + ">";

}

}

}

}// starting tags

m = P_START_TAG.matcher(s);

if (m.find()) {

final String name = m.group(1).toLowerCase();

final String body = m.group(2);

String ending = m.group(3);//debug( "in a starting tag, name='" + name + "'; body='" + body + "'; ending='" + ending + "'" );

if (allowed(name)) {

String params = "";final Matcher m2 = P_QUOTED_ATTRIBUTES.matcher(body);

final Matcher m3 = P_UNQUOTED_ATTRIBUTES.matcher(body);

final List<String> paramNames = new ArrayList<String>();

final List<String> paramValues = new ArrayList<String>();

while (m2.find()) {

paramNames.add(m2.group(1)); //([a-z0-9]+)

paramValues.add(m2.group(3)); //(.*?)

}

while (m3.find()) {

paramNames.add(m3.group(1)); //([a-z0-9]+)

paramValues.add(m3.group(3)); //([^\"\\s']+)

}String paramName, paramValue;

for (int ii = 0; ii < paramNames.size(); ii++) {

paramName = paramNames.get(ii).toLowerCase();

paramValue = paramValues.get(ii);// debug( "paramName='" + paramName + "'" );

// debug( "paramValue='" + paramValue + "'" );

// debug( "allowed? " + vAllowed.get( name ).contains( paramName ) );if (allowedAttribute(name, paramName)) {

if (inArray(paramName, vProtocolAtts)) {

paramValue = processParamProtocol(paramValue);

}

params += " " + paramName + "=\"" + paramValue + "\"";

}

}if (inArray(name, vSelfClosingTags)) {

ending = " /";

}if (inArray(name, vNeedClosingTags)) {

ending = "";

}if (ending == null || ending.length() < 1) {

if (vTagCounts.containsKey(name)) {

vTagCounts.put(name, vTagCounts.get(name) + 1);

} else {

vTagCounts.put(name, 1);

}

} else {

ending = " /";

}

return "<" + name + params + ending + ">";

} else {

return "";

}

}// comments

m = P_COMMENT.matcher(s);

if (!stripComment && m.find()) {

return "<" + m.group() + ">";

}return "";

}private String processParamProtocol(String s) {

s = decodeEntities(s);

final Matcher m = P_PROTOCOL.matcher(s);

if (m.find()) {

final String protocol = m.group(1);

if (!inArray(protocol, vAllowedProtocols)) {

// bad protocol, turn into local anchor link instead

s = "#" + s.substring(protocol.length() + 1, s.length());

if (s.startsWith("#//")) {

s = "#" + s.substring(3, s.length());

}

}

}return s;

}private String decodeEntities(String s) {

StringBuffer buf = new StringBuffer();Matcher m = P_ENTITY.matcher(s);

while (m.find()) {

final String match = m.group(1);

final int decimal = Integer.decode(match).intValue();

m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));

}

m.appendTail(buf);

s = buf.toString();buf = new StringBuffer();

m = P_ENTITY_UNICODE.matcher(s);

while (m.find()) {

final String match = m.group(1);

final int decimal = Integer.valueOf(match, 16).intValue();

m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));

}

m.appendTail(buf);

s = buf.toString();buf = new StringBuffer();

m = P_ENCODE.matcher(s);

while (m.find()) {

final String match = m.group(1);

final int decimal = Integer.valueOf(match, 16).intValue();

m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));

}

m.appendTail(buf);

s = buf.toString();s = validateEntities(s);

return s;

}private String validateEntities(final String s) {

StringBuffer buf = new StringBuffer();// validate entities throughout the string

Matcher m = P_VALID_ENTITIES.matcher(s);

while (m.find()) {

final String one = m.group(1); //([^&;]*)

final String two = m.group(2); //(?=(;|&|$))

m.appendReplacement(buf, Matcher.quoteReplacement(checkEntity(one, two)));

}

m.appendTail(buf);return encodeQuotes(buf.toString());

}private String encodeQuotes(final String s){

if(encodeQuotes){

StringBuffer buf = new StringBuffer();

Matcher m = P_VALID_QUOTES.matcher(s);

while (m.find()) {

final String one = m.group(1); //(>|^)

final String two = m.group(2); //([^<]+?)

final String three = m.group(3); //(<|$)

m.appendReplacement(buf, Matcher.quoteReplacement(one + regexReplace(P_QUOTE, """, two) + three));

}

m.appendTail(buf);

return buf.toString();

}else{

return s;

}

}private String checkEntity(final String preamble, final String term) {return ";".equals(term) && isValidEntity(preamble)

? '&' + preamble

: "&" + preamble;

}private boolean isValidEntity(final String entity) {

return inArray(entity, vAllowedEntities);

}private static boolean inArray(final String s, final String[] array) {

for (String item : array) {

if (item != null && item.equals(s)) {

return true;

}

}

return false;

}private boolean allowed(final String name) {

return (vAllowed.isEmpty() || vAllowed.containsKey(name)) && !inArray(name, vDisallowed);

}private boolean allowedAttribute(final String name, final String paramName) {

return allowed(name) && (vAllowed.isEmpty() || vAllowed.get(name).contains(paramName));

}

}

在web.xml配置filter的使用示例:

<filter>

<filter-name>xssFilter</filter-name>

<filter-class>com.devframe.filter.XssFilter</filter-class>

</filter><filter-mapping>

<filter-name>xssFilter</filter-name>

<url-pattern>/*</url-pattern>

</filter-mapping>

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     807人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     351人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     314人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     433人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     221人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯