文档章节

使用AntiSamy防止XSS攻击

CurtainRight
 CurtainRight
发布于 2016/07/12 15:55
字数 580
阅读 307
收藏 3

参考文档:

http://www.2cto.com/Article/201410/342040.html

在web.xml中加上xml过滤器的配置

 <filter>
		<filter-name>XssFilter</filter-name>
		<filter-class>com.cy.frame.filter.XssFilter</filter-class>
		<async-supported>true</async-supported>
		<init-param>
			<param-name>excludedPages</param-name>
			<param-value>
	          *.js,*.gif,*.jpg,*.png,*.css,*.ico,
	           /rest/*/saveOrUpdateRest,(这里过滤你对应接口,防止要提交的内容带有html元素。这里的接口不会被xss拦截)
			</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>XssFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping> -->

XssFilter

package com.cy.frame.filter;

import java.io.IOException;
import java.util.Iterator;
import java.util.Map;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.owasp.validator.html.AntiSamy;
import org.owasp.validator.html.CleanResults;
import org.owasp.validator.html.Policy;
import org.owasp.validator.html.PolicyException;
import org.owasp.validator.html.ScanException;

 
/**
 *
 * <ol>XSS注入拦截
 * <li>{@link  }</li>
 * </ol>
 * @see
 * @author wanghui 
 * @since 1.0
 * @2016年3月14日
 *
 */
public class XssFilter implements Filter {

	/**
	 * 需要排除的页面
	 */
	private String excludedPages;

	private String[] excludedPageArray;
	
	@SuppressWarnings("unused")
	private FilterConfig filterConfig;

	public void destroy() {
		this.filterConfig = null;
	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {

		boolean isExcludedPage = false;

		HttpServletRequest request2 = (HttpServletRequest) request;
		//判断是否需要XSS攻击防护
		isExcludedPage = isMatchUrl(excludedPageArray,   request2) ;
		
		if (isExcludedPage) {
			chain.doFilter(request, response);
		} else {
			chain.doFilter(new XssRequestWrapper(request2), response);
		}

	}

	/**
	 * 自定义过滤规则
	 */
	public void init(FilterConfig filterConfig) throws ServletException {
		this.filterConfig = filterConfig;
		excludedPages = filterConfig.getInitParameter("excludedPages");
		excludedPageArray = new String[] {};
		if (StringUtils.isNotEmpty(excludedPages)) {
			excludedPageArray = excludedPages.replaceAll("[\\s]", "")
					.split(",");
		}
	}
  /**
	 * URL是否符合规则列表
	 * @param patterns
	 * @param request
	 * @return
	 */
   public static boolean isMatchUrl(String[] patterns,	HttpServletRequest request) {
		String ctx_path = request.getContextPath();
		String request_uri = request.getRequestURI();
		String action = request_uri.substring(ctx_path.length()).replaceAll("//", "/");
		return PatternMatchUtils.simpleMatch(patterns, action);
	}

	/**
	 * 
	 * <ol>装饰器模式加强request处理
	 * <li>{@link  }</li>
	 * 
	 * </ol>
	 * @see
	 * @author wanghui 
	 * @since 1.0
	 * @2016年3月14日
	 *
	 */
	static class XssRequestWrapper extends HttpServletRequestWrapper {

		private static Policy policy = null;

		static {
			try {
				policy = Policy.getInstance( XssRequestWrapper.class.getClassLoader()
						.getResourceAsStream("antisamy-anythinggoes.xml"));
			} catch (PolicyException e) {
				 
			}
		}

		public XssRequestWrapper(HttpServletRequest request) {
			super(request);
		}

		@Override
		@SuppressWarnings("rawtypes")
		public Map<String, String[]> getParameterMap() {
			Map<String, String[]> request_map = super.getParameterMap();
			Iterator iterator = request_map.entrySet().iterator();
			while (iterator.hasNext()) {
				Map.Entry me = (Map.Entry) iterator.next();
				String[] values = (String[]) me.getValue();
				for (int i = 0; i < values.length; i++) {
					values[i] = xssClean(values[i]);
				}
			}
			return request_map;
		}

		@Override
		public String[] getParameterValues(String paramString) {
			String[] arrayOfString1 = super.getParameterValues(paramString);
			if (arrayOfString1 == null)
				return null;
			int i = arrayOfString1.length;
			String[] arrayOfString2 = new String[i];
			for (int j = 0; j < i; j++)
				arrayOfString2[j] = xssClean(arrayOfString1[j]);
			return arrayOfString2;
		}

		@Override
		public String getParameter(String paramString) {
			String str = super.getParameter(paramString);
			if (str == null)
				return null;
			return xssClean(str);
		}

		@Override
		public String getHeader(String paramString) {
			String str = super.getHeader(paramString);
			if (str == null)
				return null;
			return xssClean(str);
		}

		private String xssClean(String value) {
			AntiSamy antiSamy = new AntiSamy();
			try {
				// CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);
				final CleanResults cr = antiSamy.scan(value, policy);
				// 安全的HTML输出
				return cr.getCleanHTML() ;
			} catch (ScanException e) {
			} catch (PolicyException e) {
			}
			return value;
		}

	}

}

 配置文件(antisamy-anythinggoes.xml下载地址)

https://yunpan.cn/cBk3ZhvSC8DJw  访问密码 1cb6

相关依赖jar

<dependency>
      <groupId>org.owasp.antisamy</groupId>
      <artifactId>antisamy</artifactId>
      <version>1.5.3</version>
      <scope>compile</scope>
    </dependency>
    <dependency>
      <groupId>org.owasp.antisamy</groupId>
      <artifactId>antisamy-sample-configs</artifactId>
      <version>1.5.3</version>
      <scope>compile</scope>
    </dependency>

 

© 著作权归作者所有

共有 人打赏支持
CurtainRight
粉丝 6
博文 172
码字总数 61177
作品 0
武汉
程序员
私信 提问
Preventing XSS with JSOUP

JSOUP is XSS prevention tool. Jsoup can detect xss script in html and url also. Now i am giving example with url. Jsoup can validate the url with the help of "isValidate()" meth......

凯文加内特
2015/08/10
0
0
[Security]XSS一直是个棘手的问题

虽然现在IE10和chrome可以自动过滤掉 <script>alert('XSS')</script> 但是 <!DOCTYPE html> <head> //<![CDATA[ //]]></script></head><body> </body></html> <!DOCTYPE html> <head> </hea......

tdoly1
2013/06/08
0
0
Beetl解决XSS问题(AntiSamy)

很多时候,我们为了安全,会对存储的信息,进行转义,过滤等处理,这样带来的坏处是,破坏原始的数据,而且转义会占用多余的空间. 本人使用JFinal框架,开始考虑过全局设置过滤器,有...

leon_rock
2014/08/11
0
5
前端基础重点回顾5:XSS、CSRF攻击

XSS 攻击前提 攻击脚本必须添加到页面上 攻击方式 跨站脚本XSS(Cross site script) 代码注入 script 标签注入攻击 标签属性注入攻击 广告注入 防止XSS攻击 获取的数据不允许进行字符串拼接 ...

jirengu_杨然
01/31
0
0
java 防止 XSS 攻击的常用方法总结

在前面的一篇文章中,讲到了java web应用程序防止 csrf 攻击的方法,参考这里 java网页程序采用 spring 防止 csrf 攻击. ,但这只是攻击的一种方式,还有其他方式,比如今天要记录的 XSS 攻击...

凯文加内特
2015/08/11
0
2

没有更多内容

加载失败,请刷新页面

加载更多

颜色模型与颜色应用---RGB颜色模型

中国龙-扬科
20分钟前
3
0
网络优化-tcp和udp的协作

TODO

梦想游戏人
23分钟前
4
0
list和数组转化

Java中List转换为数组,数组转List List转换为Array可以这样处理: ArrayList<String> list=new ArrayList<String>(); String[] strings = new String[list.size()]; list.toArray(strings);......

west_coast
23分钟前
3
0
LSP 商户端API

Your domain:                  lsp-api-merchant.hhs2717.cnVirtualhost conf:             /usr/local/nginx/conf/vhost/lsp-api-merchant.hhs2717.cn.confDirectory of:......

BeanHo
33分钟前
2
0
设计模式 之 访问者模式

设计模式 之 访问者模式 概念 核心理念:将数据结构与算法分离。 使用场景:数据结构不变动,算法经常变动。 1、一个Visitor类存放被访问的对象,访问者主要处理具体算法与行为。 // 访问者...

GMarshal
37分钟前
3
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部