java web开发如何有效的防止xss攻击
配置过滤器,再实现 ServletRequest 的包装类。
将所有的编程全角字符的解决方式。首先添加一个jar包:commons-lang-2.5.jar ,然后在后台调用函数。
用Java编写一个校验文件的工具
标准服务器上的文件先扫描生成一个列表,记录文件路径,文件名,元数据,和MD5,可能再加一级SHA-256的散列值
其他服务器的每个文件先取MD5,判断是否在标准服务器的MD5散列表中,可以再查一下SHA-256的散列值确定不一样,如果两个散列值都一样就是已有的文件(把空文件先排除掉),如果散列值不同就是修改或者新文件,根据文件名和元数据定位是新文件还是修改的文件生成报表。
java 怎么取xss的request
alert('abc') 替换成alert('abc')这样的话显示出来也是alert('abc') 但是意义却不再是脚本而是字符串了。可以通过替换把这两个符号替换掉即可。
用JAVA做一个网站,现在要做防止XSS攻击,请问怎么防止这种攻击
过滤特定符号pre t="code" l="java" public static String guolv(String a) {
a = a.replaceAll("%22", "");
a = a.replaceAll("%27", "");
a = a.replaceAll("%3E", "");
a = a.replaceAll("%3e", "");
a = a.replaceAll("%3C", "");
a = a.replaceAll("%3c", "");
a = a.replaceAll("", "");
a = a.replaceAll("", "");
a = a.replaceAll("\"", "");
a = a.replaceAll("'", "");
a = a.replaceAll("\\+", "");
a = a.replaceAll("\\(", "");
a = a.replaceAll("\\)", "");
a = a.replaceAll(" and ", "");
a = a.replaceAll(" or ", "");
a = a.replaceAll(" 1=1 ", "");
return a;
}
如何在jetty服务器层面解决XSS漏洞?
一,给cookie的属性设置为httponly
这样能够避免js读取Cookie信息(设置后有助于缓解XSS,但是XSS除了劫持Cookie之外,还可以模拟用户的身份进行操作)
二,进行输入检查
如果仅仅在客户端通过JS来做输入校验,有可能会被攻击者绕过,WEB开发中的普遍做法是同时在客户端和服务端做校验。这种输入检查的方式也称之为XSS Filter。
三,输出检查
一般说来,除了富文本输出之外,在变量输出到HTML页面时,可以使用编码或者转义的方式来防御XSS攻击。
四,防御DOM BasedXSS
前面提到的集中方法,对于这种类型不太适用,需要特别对待,那如何才能防御呢?
首先是$var输出到script是,应该执行一次javasriptEncode,其次在doument.write输出到HTML页面时,如果是输出到事件或者脚本,可以再做一次javaScriptEncode,如果是输出到HTML内容或者属性,则可以做一次HtmlEncode。
上面提到的这些防御方法都属于安全生产的环节,也就是说实在开发同学写代码的时候要特别注意,这种是否做的规范,可以通过工具扫描代码的方式来实现,也就是白盒测试,如果代码没有做输入或者输出检查,则发报告提示开发来进行修改。但是有些场景白盒没法覆盖到,例如输出jsonp类型的接口,对于callback参数的原味输出,白盒有时候就扫不出来,这时候,可以通过黑盒测试工具,模拟入参的各种情况,也就是穷举,来构造,如果发生了XSS请求,则发出报告即可。
Struct2+Spring 架构JavaWeb项目,出现xss跨站脚本攻击漏洞解决方案??
没用到富文本的话可以用spring里的HtmlUtils.htmlEscape(string str)来对parameter转码。是用filter还是其他方式都可以
java怎么解决跨站脚本xss
跨站漏洞是需要其他正常用户进入到漏洞页面,执行了攻击者构造的恶意JS代码偷取cookie,假如攻击者获得高权限用户的cookie就有机会以高权限用户的身份进入系统,然后再进一步入侵。
所以治本的方法就是对攻击者提交的数据进行过滤,不给其执行的机会。
如何解决繁琐的WEB前端的XSS问题
后台做一层过滤,前台文本编辑器可以自己做一层标签过滤,不允许一些符号的输入就行了
xss攻击前端能做的有限
因为好多都是url转码来通过参数找漏洞,所以后台也要做一层过滤(例如nodejs的sql库就只允许单行sql,防止通过xss做注入)java之类的有现成多xss过滤器
剩下的就做ip黑名单吧,防止多次攻击