Java过滤XSS脚本, 可通过Appscan扫描

时间:2022-04-24
本文章向大家介绍Java过滤XSS脚本, 可通过Appscan扫描,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

项目中有时会需要把一些报错或者解决方案直接返回给前端,

如果直接返回原字符串, 可能会被恶意传参来实现xss注入.

例如常规业务访问一个页面读取文件&file=sdf.cpt,

如果文件不存在, 则页面返回没有找到sdf.cpt的报错.

恶意传参即: &file=sdf.cpt<script>alert(123);</script>, 这样页面会alert出来123;

这时需要我们在后台对于一些报错进行去脚本话.

一开始是用的正则, 后来发现可以注入的脚本方式太多了, 用正则越来越长. 

1 &file=/doc/Advanced/Chart/LineChart/%E5%AE%9A%E6%97%B6%E5%88%B7%E6%96%B0%E6%8A%98%E7%BA%BF%E5%9B%BE.cpt'%20STYLE='xss:e/**/xpression(try{a=firstTime}catch(e){firstTime=1;alert(9178)});
1 &file=emb%3Ciframe+src%3Djavascript%3Aalert%2898%29+

索性直接采用最简单粗暴的字符串替换了, 把html实体编码,特殊字符如()<>/,例如> 编成&gt; <编成&lt;

这样显示起来没有问题,也不会导致用户输入的js语句被插入到输出页面而被执行.

改完用Appscan扫了下, 也不会提示xss漏洞. Spring中也提供了类似的方法HtmlUtils.htmlEscape.

 1     private static String encodeHtml(String strInput) {
 2         if (StringUtils.isEmpty(strInput)) {
 3             return StringUtils.EMPTY;
 4         }
 5         StringBuffer builder = new StringBuffer(strInput.length() * 2);
 6         CharacterIterator it = new StringCharacterIterator(strInput);
 7         for (char ch = it.first(); ch != CharacterIterator.DONE; ch = it.next()) {
 8             if ((((ch > '`') && (ch < '{')) || ((ch > '@') && (ch < '[')))
 9                     || (((ch == ' ') || ((ch > '/') && (ch < ':'))) || (((ch == '.') || (ch == ',')) || ((ch == '-') || (ch == '_'))))) {
10                 builder.append(ch);
11             } else {
12                 builder.append("&#" + (int) ch + ";");
13             }
14         }
15         return builder.toString();
16     }

随机文章
java知识点必读
最近更新