怎样过滤跨站恶意脚本攻击

怎样过滤跨站恶意脚本攻击

在输入流中截住form data中的恶意脚本 研究两种XSS攻击,如反射型和存储型XSS攻击,其恶意脚本都是来自用户的输入

1.在输入流中截住formdata中的恶意脚本研究两种XSS攻击，如反射型和存储型XSS攻击，其恶意脚本都是来自用户的输入。因此，可以使用过滤用户输入的方法对恶意脚本进行过滤。对简单的HTTP请求，一般使用GET和POST方法。2.在输入流中检测滤掉来自其他网站的URL中的恶意脚本当用户不小心点击了被其他黑客提供的假冒URL，则可能在该URL中注入恶意脚本。因此，也需要对这种情况进行处理。因此为确保其他在header中的恶意脚本，需要对request.getHeader进行重写。以下为例子：publicStringgetHeader(Stringname){Stringvalue=super.getHeader(name);if(value==null)returnnull;returnxssClean(value);}3.xssClean函数怎样实现才可以过滤掉恶意脚本呢？如果是java语言，推荐使用antisamy。使用antisamy进行XSS清理非常简单，只需要简单的几个步骤即可达到目的。1‘.在pom.xml文件中加入antisamy的dependency，org.owasp.antisamyantisamy1.5.32’.加入了dependency之后，就可以在xssClean中加入antisamy对恶意脚本进行清理。其中policy.xml是白名单，policy.xml中规定了各个html元素所必须满足的条件。antisamy的精髓之处在于，使用policy文件来规定你的过滤条件，若输入字符串不满足policy文件中的条件，则会过滤掉字符中的恶意脚本，返回过滤后的结果。具体代码如下：privateStringxssClean(Stringvalue){AntiSamyantiSamy=newAntiSamy()；try{finalCleanResultscr=antiSamy.scan(value,Policy.getInstance("policy.xml"),AntiSamy.SAX);returncr.getCleanHTML();}catch(ScanExceptione){e.printStackTrace();}catch(PolicyExceptione){e.printStackTrace();}returnvalue;}这样，我们就将client端用户输入的request，在server端进行了拦截，并且进行了过滤。