如何有效防止XSS攻擊

　　XSS(跨站腳本)漏洞是一種Web應用程序安全漏洞,常被黑客用來對Web用戶發起攻擊。下面學習啦小編整理了一些資料為大家講解如何有效防止XSS攻擊的方法，希望對你有用!

　　什么是XSS攻擊?

　　XSS即為跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆，故將跨站腳本攻擊縮寫為XSS。惡意攻擊者往Web頁面里插入惡意Script代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執行，從而達到惡意攻擊用戶的特殊目的。

　　如何安全有效的防止XSS攻擊呢?

　　最近，有個項目突然接到總部的安全漏洞報告，查看后知道是XSS攻擊。

　　問題描述：

　　在頁面上有個隱藏域：

　　XML/HTML Code 復制內容到剪貼板
　　<input type = "hidden" id = "action" value = "${action}"/>　

　　當前頁面提交到Controller時，未對action屬性做任何處理，直接又回傳到頁面上

　　如果此時action被用戶惡意修改為：***" "***

　　此時當頁面刷新時將執行alert(1)，雖然錯誤不嚴重，但是任何安全隱患都應受到重視。

　　解決思路：

　　該問題是由于對用戶輸入數據(隱藏域)未做任何處理，導致非法數據被執行，那么解決該問題的核心思路就是對用戶數據做嚴格處理，對任何頁面傳遞的數據都不應過分信任，處理方法如下：

　　1.在頁面上對action參數做轉義處理，${action?html}(前端技術采用freemarker)，但是此種方法只能對單個屬性有效，如果此時項目處于維護期且有大量此種問題，修復的難度較大且不便于統一維護

　　2.在服務端對用戶數據做轉義處理，此時需要創建一個filter，對request進行二次封裝，核心代碼如下：

　　Java Code 復制內容到剪貼板

　　import javax.servlet.http.HttpServletRequest;

　　import javax.servlet.http.HttpServletRequestWrapper;

　　import org.apache.commons.lang3.StringEscapeUtils;

　　public class XssRequestWrapper extends HttpServletRequestWrapper {

　　public XssRequestWrapper(HttpServletRequest request) {

　　super(request);

　　}

　　public String getParameter(String name) {

　　String value = super.getParameter(name);

　　if (value == null) {

　　return null;

　　}

　　return StringEscapeUtils.escapeHtml4(value);

　　}

　　public String[] getParameterValues(String name) {

　　String[] values = super.getParameterValues(name);

　　if (values == null) {

　　return null;

　　}

　　String[] newValues = new String[values.length];

　　for (int i = 0; i < values.length; i++) {

　　newValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

　　}

　　return newValues;

　　}

　　}

　　XssRequestWrapper是對request進行的二次封裝，最核心的作用是對request中的參數進行轉義處理(需要用到commons-lang3.jar)

　　定義filter，核心的代碼如下：

　　Java Code 復制內容到剪貼板

　　@Override

　　public void doFilter(ServletRequest request,

　　ServletResponse response,

　　FilterChain chain) throws IOException, ServletException {

　　HttpServletRequest req = (HttpServletRequest) request;

　　chain.doFilter(new XssRequestWrapper(req), response);

　　}