无名[] 2023-03-27 09:56 采纳率: 23.8%
浏览 38

关于使用ESAPI去除\r\n来防止xss攻击

请问一下各位,我这边想做一个xss过滤器,网上说采用ESAPI的方式会很好,但是代码扫描完后说我没有过滤\r\n,有哪位懂ESAPI的帮我解答一下,我的代码里过滤了\r\n吗,如果没有过去,应该怎么写才能过滤呢?以下是代码

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
 
public class XSSRequestWrapper extends HttpServletRequestWrapper {
 
    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
  
    private String stripXSS(String value) {
        if (value != null) {
           
            value = value.replaceAll("", "");
 
            
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
 
            
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
         
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

           scriptPattern = Pattern.compile("[\\s\'\"]+", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
 
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("alert(.*?)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<", Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile(">", Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
 
}
  • 写回答

2条回答 默认 最新

  • Huazie 优质创作者: 编程框架技术领域 2023-03-27 10:01
    关注
    \r\n
替换成如下试试
\\r\\n
    评论

报告相同问题?

  • xss跨站脚本攻击与预防
    2015-11-04 16:15
    6. **使用安全的编程框架**:选择那些内置了XSS防护机制的开发框架,如OWASP ESAPI等。 **XSS HTML Filter介绍** `xss-html-filter-master.zip`可能包含一个用于过滤XSS攻击的工具或库。这类工具通常会提供一系列...
  • 【项目实战】Web端常见的高风险漏洞与解决方法(XSS跨站脚本攻击 )
    2023-03-31 19:00
    本本本添哥的博客 XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞
  • 解决SQL注入与XSS攻击
    2020-11-23 19:05
    程序届的伪精英的博客 扫描出来的漏洞主要有两种,一种是SQL注入,一种是XSS攻击。以下就是我的一个解决过程。 SQL注入 什么是SQL注入,百度百科这样定义的:SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,...
  • 「第三章」跨站脚本攻击(XSS)
    2022-01-22 11:30
    hackjacking的博客 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 ... 就当前比较流行的客户端脚本攻击进行了深入阐述,当网站的安全做到一..
  • xss过滤.zip
    2019-06-04 17:11
    在实现过程中,开发者可能会使用正则表达式匹配潜在的XSS攻击模式,或者使用现成的库如OWASP Java Encoder或者OWASP ESAPI来对输入进行编码。这些工具能够有效地将特殊字符转义,防止它们在浏览器中被执行。 然而,...
  • Java如何防止JS脚本注入代码实例
    2020-10-14 17:43
    在Java开发中,可以通过一系列技术手段来防御这种攻击,例如过滤和清理用户输入的数据,以及使用安全的编程实践来处理用户输入。下面详细阐述了如何使用Java来防止JS脚本注入,并提供了一个示例工具类XssUtil,以及...
  • 白帽子阅读笔记——XSS
    2019-08-29 09:54
    Atm0n的博客 XSS跨站脚本攻击有三种类型: 1.反射型XSS:反射型XSS只是简单把用户输入的数据“反射”给浏览器,也就是说,黑客需要诱使用户“点击”一个恶意链接,才能攻击成功。反射型XSS也叫做“非持久型XSS”(Non-...
  • XSS漏洞学习笔记
    2018-06-24 20:48
    小菜鸟___的博客 浏览器安全跨站脚本攻击XSS简介XSS攻击进阶XSS攻击平台终极武器:XSS WormXSS构造技巧XSS的防御HttpOnly输入检查输出检查正确地防御XSS处理富文本防御DOM Based XSS换个角度看XSS的风险 浏览器安全同源策略 影响源...
  • 什么是模块化编程如何在JavaScript中实现模块化
    2024-12-09 03:33
    DTcode7的博客 使用IIFE实现简单模块示例二:使用AMD(Asynchronous Module Definition)规范示例三:使用CommonJS规范示例四:使用ES6模块示例五:使用动态导入功能使用思路开发技巧分析模块化编程是一种将程序划分为多个独立模块...
  • Protect Against Cross Site Scripting (XSS) Attacks
    2015-10-29 17:58
    aqifz的博客 XSS攻击不是很了解,借翻译的机会也学习一下。文章属于综述,没有讲原理和示例。翻译得有点生硬,有几个词这么翻译的:sanitize 处理,reputation 信用评级,也不知道是否准确。 文章来源:NSA Creative Imaging ...
  • 没有解决我的问题, 去提问

问题事件

  • 创建了问题 3月27日