【安全】 Java 过滤器 解决存储型xss攻击问题

文章目录

• XSS简介
• 什么是XSS?
• 分类
• • 反射型
  • 存储型
  • XSS(cross site script)跨站脚本攻击攻击场景
  • 解决方案

    XSS简介

    跨站脚本( cross site script )为了避免与样式css(Cascading Style Sheets层叠样式表)混淆，所以简称为XSS。

    XSS是一种经常出现在web应用中的计算机安全漏洞 ，也是web中最主流的攻击方式。

    什么是XSS?

    XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。

    从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

    分类

    反射型

    反射型xss攻击( Reflected XSS)又称为非持久性跨站点脚本攻击，它是最常见的类型的XSS。漏洞产生的原因是攻

    击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接( 即每次攻击需要用户的点击)。

    存储型

    存储型XSS (Stored XSS)又称为持久型跨站点脚本，它一般发生在XSS攻击向量 (一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器，脚本执行。持久的XSS相比非持久性XSS攻击危害性更大，因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut 曾经就遭受到XSS。

    两种类型实现的结果完全相同，不同的是前者需要点击，后者存在于网页的数据库内

    XSS(cross site script)跨站脚本攻击攻击场景

    攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段，利用跨站脚本漏洞欺骗用户，收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码，可以让访问者访问非法网站或下载恶意木马，如果再结合其他攻击手段（如社会工程学、提权等），甚至可以获取系统的管理权限。

    举例说明

    例如:在项目看板里待材料初审存储下面代码，点击A项目会弹出框

    Payload: 
    

    

    例如 全部阶段结果标准-存储下面代码，点击20200927测试-2

    Payload: </pre> 
    <h2>解决方案</h2> 
    <p>找到项目已有的filter过滤器，在过滤HttpServletRequest参数时，进行参数的处理，使用转义，将 < 转义为 & lt , > 转义为 & gt</p> 
    <pre class="brush:python;toolbar:false">public PaasHttpRequestWrapper(HttpServletRequest request) {<!-- -->
            super(request);
            StringBuilder stringBuilder = new StringBuilder();
            InputStream inputStream = null;
            try {<!-- -->
                inputStream = request.getInputStream();
            } catch (IOException e) {<!-- -->
                throw new RuntimeException(e);
            }
            if (inputStream != null) {<!-- -->
                try (BufferedReader bufferedReader = new BufferedReader(new InputStreamReader(inputStream))) {<!-- -->
                    char[] charBuffer = new char[CHAR_BUFFER_LENGTH];
                    int bytesRead;
                    while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {<!-- -->
                        stringBuilder.append(charBuffer, BUFFER_START_POSITION, bytesRead);
                    }
                } catch (IOException e) {<!-- -->
                    e.printStackTrace();
                }
            } else {<!-- -->
                stringBuilder.append("");
            }
            body = stringBuilder.toString();
            // 解决xss攻击问题
            if (body.contains("<")) {<!-- -->
                body = body.replace("<", "<");
            }
            if (body.contains(">")) {<!-- -->
                body = body.replace(">", ">");
            }
            initParameterMap();
        }
    </pre>      </div>
          <!--文章标签-->
    	        <div class="tags"><i class="iconfont"></i><a href="/tag/110618.html" title="db标签">db标签</a></div>      </div>
                      
          	  
    	        <div class="section">
    	  <h3>猜你喜欢</h3>
    
    <!--同分类内容推荐-->
    <ul class="list_a"><li><span>7小时前</span><a href="/redian/196759.html">k352次列车时刻表（k352次列车时刻表最新）</a></li><li><span>7小时前</span><a href="/redian/196760.html">k1288列车时刻表（k128次列车票价查询）</a></li><li><span>6小时前</span><a href="/redian/196772.html">2095次列车时刻表（2095次列车实时）</a></li><li><span>4小时前</span><a href="/redian/196793.html">动车票可以改签几次（动车票可以改签几次,改签过一次还能改吗?）</a></li><li><span>3小时前</span><a href="/redian/196803.html">上海铁路（上海铁路局2025招聘公告最新）</a></li><li><span>2小时前</span><a href="/redian/196816.html">长春到梅河口客车（长春到梅河口客车在哪里发车）</a></li><li><span>2小时前</span><a href="/redian/196820.html">金山卫到上海南（金山卫到上海南站多少钱）</a></li><li><span>1小时前</span><a href="/redian/196823.html">地铁（地铁8号线）</a></li><li><span>1小时前</span><a href="/redian/196831.html">14路末班车（14路末班车恐怖片完整版）</a></li><li><span>25分钟前</span><a href="/redian/196837.html">北京路在哪个地铁站（北京路在哪个地铁站出口）</a></li></ul>      </div>
          	  
    	  <div class="section" id="comments">
        <h3>网友评论</h3>
    	<div class="compost">
        <form id="frmSumbit" target="_self" method="post" action="/comment/create/166022.html">
    		<input type="hidden" name="inpId" id="inpId" value="166022"/>
            <div class="com_name">
                <a rel="nofollow" id="cancel-reply" href="#comments" style="display:none;"><span>取消回复</span></a>
            </div>
            <div class="com_info">
    					<p class="must-log-in">要发表评论，您必须先<a href="/user/login.html">登录</a>。</p>
    		        </div>
        </form>
    </div>    <div class="comlist">
            <label id="AjaxCommentBegin"></label>
    				        <label id="AjaxCommentEnd"></label>
        </div>
    </div>
        </div>
        <div class="main_right scrollBox">
        <dl class="function search_0" id="divSearchPanel"><dt class="function_t">搜索</dt><dd class="function_c"><div><form name="search" method="wget" action="/operate/search.html"><label><span style="position:absolute;color:transparent;z-index:-9999;">Search</span><input type="hidden" name="range" value="1"><input type="text" name="keyword" size="11" /></label> <input type="submit" value="搜索" /></form></div></dd></dl><dl class="function new_article_1" id="new_article"><dt class="function_t">最新文章</dt><dd class="function_c"><div><ul><li><a href="/redian/196842.html" title="12306人工服务电话（深圳北站12306人工服务电话）">12306人工服务电话（深圳北站12306人工服务电话）</a></li><li><a href="/redian/196841.html" title="d3145动车时刻表（d3145动车时刻表今天）">d3145动车时刻表（d3145动车时刻表今天）</a></li><li><a href="/redian/196840.html" title="洛阳到上海高铁（洛阳到上海高铁几个小时）">洛阳到上海高铁（洛阳到上海高铁几个小时）</a></li><li><a href="/redian/196839.html" title="杭州到武汉火车（杭州到武汉火车沿途停靠站点）">杭州到武汉火车（杭州到武汉火车沿途停靠站点）</a></li><li><a href="/redian/196838.html" title="太原到西安（太原到西安火车）">太原到西安（太原到西安火车）</a></li><li><a href="/redian/196837.html" title="北京路在哪个地铁站（北京路在哪个地铁站出口）">北京路在哪个地铁站（北京路在哪个地铁站出口）</a></li><li><a href="/redian/196836.html" title="吉林到北京动车（吉林到北京动车几个小时）">吉林到北京动车（吉林到北京动车几个小时）</a></li><li><a href="/redian/196835.html" title="广州地铁三号线（广州地铁三号线全部站点）">广州地铁三号线（广州地铁三号线全部站点）</a></li><li><a href="/redian/196834.html" title="672路公交车路线（672路公交车路线电话）">672路公交车路线（672路公交车路线电话）</a></li><li><a href="/redian/196833.html" title="在飞机上可以拍照吗（飞机上拍照图片）">在飞机上可以拍照吗（飞机上拍照图片）</a></li></ul></div></dd></dl><dl class="function hot_article_2" id="sidehot"><dt class="function_t">热门文章</dt><dd class="function_c"><div><ul><li><a href="/lvyou/19960.html" title="印尼雅加达安全吗（出国去印尼打工怎么样）">印尼雅加达安全吗（出国去印尼打工怎么样）</a></li><li><a href="/lvyou/14877.html" title="香格里拉三大骗局（香格里拉三大骗局揭秘）">香格里拉三大骗局（香格里拉三大骗局揭秘）</a></li><li><a href="/liuxue/20021.html" title="华为留学研究生薪资级别（华为主任工程师是什么级别薪资）">华为留学研究生薪资级别（华为主任工程师是什么级别薪资）</a></li><li><a href="/yliao/22137.html" title="上海穿皮肤衣（上海穿皮肤衣服的公司）">上海穿皮肤衣（上海穿皮肤衣服的公司）</a></li><li><a href="/yliao/14190.html" title="皮肤黑的适合穿杏色吗（皮肤黑的适合穿杏色吗女生）">皮肤黑的适合穿杏色吗（皮肤黑的适合穿杏色吗女生）</a></li><li><a href="/jksh/17781.html" title="四月十八是佛教什么日子（一般人承受不起四月初八生日）">四月十八是佛教什么日子（一般人承受不起四月初八生日）</a></li><li><a href="/lvyou/18119.html" title="成都到西昌高铁（成都到西昌高铁路线）">成都到西昌高铁（成都到西昌高铁路线）</a></li><li><a href="/yliao/16927.html" title="香槟色适合皮肤黑的吗（香槟色显黑不）">香槟色适合皮肤黑的吗（香槟色显黑不）</a></li><li><a href="/jksh/20829.html" title="海尔冰箱尺寸（海尔冰箱尺寸规格表）">海尔冰箱尺寸（海尔冰箱尺寸规格表）</a></li><li><a href="/liuxue/20330.html" title="留学生学位认证编号（留学生学历学位认证编号）">留学生学位认证编号（留学生学历学位认证编号）</a></li></ul></div></dd></dl><dl class="function hot_tags_3" id="hot_tags"><dt class="function_t">热门标签</dt><dd class="function_c"><div><ul><li><a href="/tag/110618.html" title="db标签（6084）" target="_blank">db标签</a></li><li><a href="/tag/2968.html" title="选择（1692）" target="_blank">选择</a></li><li><a href="/tag/2933.html" title="设计（1218）" target="_blank">设计</a></li><li><a href="/tag/2986.html" title="风水（1074）" target="_blank">风水</a></li><li><a href="/tag/2925.html" title="装修（1029）" target="_blank">装修</a></li><li><a href="/tag/2939.html" title="需要（996）" target="_blank">需要</a></li><li><a href="/tag/3139.html" title="使用（962）" target="_blank">使用</a></li><li><a href="/tag/2956.html" title="可以（960）" target="_blank">可以</a></li><li><a href="/tag/2927.html" title="办公室（686）" target="_blank">办公室</a></li><li><a href="/tag/4663.html" title="产品（666）" target="_blank">产品</a></li><li><a href="/tag/3036.html" title="价格（634）" target="_blank">价格</a></li><li><a href="/tag/2948.html" title="我们（571）" target="_blank">我们</a></li><li><a href="/tag/4716.html" title="市场（554）" target="_blank">市场</a></li><li><a href="/tag/2944.html" title="公司（422）" target="_blank">公司</a></li><li><a href="/tag/3081.html" title="文化（404）" target="_blank">文化</a></li><li><a href="/tag/2934.html" title="材料（389）" target="_blank">材料</a></li><li><a href="/tag/3568.html" title="智能（378）" target="_blank">智能</a></li><li><a href="/tag/2953.html" title="空间（364）" target="_blank">空间</a></li><li><a href="/tag/3157.html" title="家具（358）" target="_blank">家具</a></li><li><a href="/tag/3582.html" title="空调（356）" target="_blank">空调</a></li><li><a href="/tag/4758.html" title="消费者（330）" target="_blank">消费者</a></li><li><a href="/tag/3018.html" title="城市（295）" target="_blank">城市</a></li><li><a href="/tag/3401.html" title="品质（291）" target="_blank">品质</a></li><li><a href="/tag/2996.html" title="自己的（285）" target="_blank">自己的</a></li><li><a href="/tag/2967.html" title="风格（277）" target="_blank">风格</a></li><li><a href="/tag/3006.html" title="一个（276）" target="_blank">一个</a></li><li><a href="/tag/4170.html" title="农历（262）" target="_blank">农历</a></li><li><a href="/tag/2994.html" title="服务（259）" target="_blank">服务</a></li><li><a href="/tag/2930.html" title="环保（248）" target="_blank">环保</a></li><li><a href="/tag/4692.html" title="用户（247）" target="_blank">用户</a></li><li><a href="/tag/3975.html" title="卧室（246）" target="_blank">卧室</a></li><li><a href="/tag/4717.html" title="技术（244）" target="_blank">技术</a></li><li><a href="/tag/3796.html" title="建筑（240）" target="_blank">建筑</a></li><li><a href="/tag/3133.html" title="安装（237）" target="_blank">安装</a></li><li><a href="/tag/2926.html" title="企业（236）" target="_blank">企业</a></li><li><a href="/tag/3744.html" title="财运（222）" target="_blank">财运</a></li><li><a href="/tag/4901.html" title="制作（222）" target="_blank">制作</a></li><li><a href="/tag/2969.html" title="装饰（218）" target="_blank">装饰</a></li><li><a href="/tag/3828.html" title="嫁娶（217）" target="_blank">嫁娶</a></li><li><a href="/tag/3653.html" title="电视（211）" target="_blank">电视</a></li><li><a href="/tag/2932.html" title="员工（210）" target="_blank">员工</a></li><li><a href="/tag/5049.html" title="应用（209）" target="_blank">应用</a></li><li><a href="/tag/4755.html" title="生活（205）" target="_blank">生活</a></li><li><a href="/tag/3072.html" title="设备（194）" target="_blank">设备</a></li><li><a href="/tag/4764.html" title="发展（193）" target="_blank">发展</a></li><li><a href="/tag/2940.html" title="安全（186）" target="_blank">安全</a></li><li><a href="/tag/2945.html" title="施工（182）" target="_blank">施工</a></li><li><a href="/tag/4099.html" title="房屋（181）" target="_blank">房屋</a></li><li><a href="/tag/4004.html" title="家庭（177）" target="_blank">家庭</a></li><li><a href="/tag/2954.html" title="舒适（174）" target="_blank">舒适</a></li></ul></div></dd></dl>    </div>
      </div>
    </div><div class="clear"></div><footer><div class="webwidth"><ul><li><a href="#" target="_blank" title="关于上海办公室装修设计公司">关于上海办公室装修设计公司</a></li><li><a href="#" target="_blank" title="联系上海办公室装修设计公司">联系上海办公室装修设计公司</a></li><li><a href="#" target="_blank" title="上海办公室装修设计公司版权声明">上海办公室装修设计公司版权声明</a></li>
    <li>免责声明：网站部份内容来互联网或者AI辅助生成，不代表上海办公室装修设计公司的意见，如有侵权请联系删除</li></ul><p>上海办公室装修公司_上海办公室装修设计公司 - 上海默子网络  <a class="text" href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">沪ICP备2022015918号-4</a>  </p></div></footer><script>
    $(function(){$("img.lazy").lazyload({placeholder:"/view/template/ss_navblog/images/grey.gif",threshold:1000,effect:"fadeIn",})});
    new scrollBox({box:'.scrollBox',top:1,bottom:0,space:20,maxHeightBox:'.main_left',minWidth:820,transition:true});</script> <div style="width:100%;max-width:100%;"> <a href="https://www.izce.net/tag/1566757.html" target="_blank" style="color:#aaaaaa">女人梦见别人穿新衣服</a>  <a href="https://www.izce.net/tag/1565269.html" target="_blank" style="color:#aaaaaa">解梦解码</a>  <a href="https://www.izce.net/tag/1564641.html" target="_blank" style="color:#aaaaaa">女人梦见蛇咬住手</a> </div></body></html>