java web如何防止html，js注入

在java Web體系中，可以寫自定義標簽，過濾用戶輸入，也可以寫一個filter過濾器。比如說自定義標簽。

為丹棱等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)，及丹棱網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都網(wǎng)站制作、做網(wǎng)站、丹棱網(wǎng)站設(shè)計，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達到每一位用戶的要求，就會得到認可，從而選擇與我們長期合作。這樣，我們也可以走得更遠！

開發(fā)步驟:

1 寫一個標簽處理類

2??在/WEB-INF/目錄下，寫一個*.tld文件，目的是讓W(xué)eb容器知道自定義標簽和標簽處理類的對應(yīng)關(guān)系

3 在JSP頁面中，通過%@taglib%指令引用標簽庫.

4 部署web應(yīng)用，訪問simple.jsp即可

其中，標簽處理類可以這樣寫，轉(zhuǎn)義大于號，小于號等特殊符號。

package?cn.itcast.web.jsp.tag;

import?java.io.IOException;

import?java.io.StringWriter;

import?javax.servlet.jsp.JspException;

import?javax.servlet.jsp.PageContext;

import?javax.servlet.jsp.tagext.JspFragment;

import?javax.servlet.jsp.tagext.SimpleTagSupport;

//simple:filter標簽處理類

public?class?FilterTag?extends?SimpleTagSupport?{

public?void?doTag()?throws?JspException,?IOException?{

JspFragment?jspFragment?=?this.getJspBody();

StringWriter?writer?=?new?StringWriter();

jspFragment.invoke(writer);

String?temp?=?writer.getBuffer().toString();

//結(jié)果必定是轉(zhuǎn)義后的字符串

temp?=?filter(temp);

PageContext?pageContext?=?(PageContext)?this.getJspContext();

pageContext.getOut().write(temp);

}

public?String?filter(String?message)?{

if?(message?==?null)

return?(null);

char?content[]?=?new?char[message.length()];

message.getChars(0,?message.length(),?content,?0);

StringBuffer?result?=?new?StringBuffer(content.length?+?50);

for?(int?i?=?0;?i??content.length;?i++)?{

switch?(content[i])?{

case?'':

result.append("lt;");

break;

case?'':

result.append("gt;");

break;

case?'':

result.append("amp;");

break;

case?'"':

result.append("quot;");

break;

default:

result.append(content[i]);

}

}

return?(result.toString());

}

}

java正則表達式怎么防止代碼漏洞

javaWeb安全漏洞及處理方式

關(guān)注

轉(zhuǎn)載自：

1、SQL注入攻擊

SQL注入攻擊就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將(惡意)的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入(惡意)SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計者意圖去執(zhí)行SQL語句。

隨著B/S框架結(jié)構(gòu)在系統(tǒng)開發(fā)中的廣泛應(yīng)用，惡意攻擊者利用SQL命令在Web表單中輸入合法的字符或查詢字符串來欺騙服務(wù)器執(zhí)行SQL命令。當(dāng)注入攻擊得逞后，Web程序?qū)⑿孤洞罅坑脩綦[私數(shù)據(jù)和數(shù)據(jù)庫中數(shù)據(jù)結(jié)構(gòu)。攻擊者能夠獲得系統(tǒng)較高的訪問權(quán)限，進行破壞操作。

SQL注入可以分為平臺層注入和代碼層注入。前者由不安全的數(shù)據(jù)庫配置或數(shù)據(jù)庫平臺的漏洞所致;后者主要是由于程序員對輸入未進行細致地過濾，從而執(zhí)行了非法的數(shù)據(jù)查詢。基于此，SQL注入的產(chǎn)生原因通常表現(xiàn)在以下幾方面:

1）不當(dāng)?shù)念愋吞幚?

2）不安全的數(shù)據(jù)庫配置;

3）不合理的查詢集處理;

4）不當(dāng)?shù)腻e誤處理;

5）轉(zhuǎn)義字符處理不合適;

6) 多個提交處理不當(dāng)。

解決方法:

數(shù)據(jù)庫安全通信包括SQL注入攻擊的防范、安全設(shè)置、異常信息處理三個方面。

1.服務(wù)端Filter對訪問者輸入的字符進行過濾檢驗，但是攻擊者經(jīng)常把危險字符潛藏在用戶輸入的有效字符中完 成過濾檢驗。

2.通過正則表達式對頁面的文本框輸入的數(shù)據(jù)進行限制可以減少過濾檢驗存在的漏洞。

3.使用prepareStatment預(yù)編譯sql語句

2、XSS跨站腳本攻擊

跨站腳本（Cross-site scripting，簡稱XSS），是一種迫使Web站點回顯可執(zhí)行代碼的攻擊技術(shù)，而這些可執(zhí)行代碼由攻擊者提供、最終為用戶瀏覽器加載。不同于大多數(shù)攻擊（一般只涉及攻擊者和受害者），XSS涉及到三方，即攻擊者、客戶端與網(wǎng)站。XSS的攻擊目標是為了盜取客戶端的cookie或者其他網(wǎng)站用于識別客戶端身份的敏感信息。獲取到合法用戶的信息后，攻擊者甚至可以假冒最終用戶與網(wǎng)站進行交互。

XSS 屬于被動式的攻擊。攻擊者先構(gòu)造一個跨站頁面，利用SCRIPT、IMG、IFRAME等各種方式使得用戶瀏覽這個頁面時，觸發(fā)對被攻擊站點的HTTP 請求。此時，如果被攻擊者如果已經(jīng)在被攻擊站點登錄，就會持有該站點cookie。這樣該站點會認為被攻擊者發(fā)起了一個HTTP請求。而實際上這個請求是在被攻擊者不知情情況下發(fā)起的，由此攻擊者在一定程度上達到了冒充被攻擊者的目的。精心的構(gòu)造這個攻擊請求，可以達到冒充發(fā)文，奪取權(quán)限等多個攻擊目的。在常見的攻擊實例中，這個請求是通過script 來發(fā)起的，因此被稱為Cross Site Script。

XSS漏洞成因是由于動態(tài)網(wǎng)頁的Web應(yīng)用對用戶提交請求參數(shù)未做充分的檢查過濾，允許用戶在提交的數(shù)據(jù)中摻入HTML代碼（最主要的是“”、“”），然后未加編碼地輸出到第三方用戶的瀏覽器，這些攻擊者惡意提交代碼會被受害用戶的瀏覽器解釋執(zhí)行。

分為三種類型：

1）反射型（數(shù)據(jù)流向：瀏覽器 -后端 - 瀏覽器）

反射型XSS腳本攻擊即如我們上面所提到的XSS跨站腳本攻擊方式，該類型只是簡單地將用戶輸入的數(shù)據(jù)直接或未經(jīng)過完善的安全過濾就在瀏覽器中進行輸出，導(dǎo)致輸出的數(shù)據(jù)中存在可被瀏覽器執(zhí)行的代碼數(shù)據(jù)。由于此種類型的跨站代碼存在于URL中，所以黑客通常需要通過誘騙或加密變形等方式，將存在惡意代碼的鏈接發(fā)給用戶，只有用戶點擊以后才能使得攻擊成功實施。

2）存儲型（數(shù)據(jù)流向是：瀏覽器 -后端 - 數(shù)據(jù)庫 - 后端- 瀏覽器）

存儲型XSS腳本攻擊是指Web應(yīng)用程序會將用戶輸入的數(shù)據(jù)信息保存在服務(wù)端的數(shù)據(jù)庫或其他文件形式中，網(wǎng)頁進行數(shù)據(jù)查詢展示時，會從數(shù)據(jù)庫中獲取數(shù)據(jù)內(nèi)容，并將數(shù)據(jù)內(nèi)容在網(wǎng)頁中進行輸出展示，因此存儲型XSS具有較強的穩(wěn)定性。

存儲型XSS腳本攻擊最為常見的場景就是在博客或新聞發(fā)布系統(tǒng)中，黑客將包含有惡意代碼的數(shù)據(jù)信息直接寫入文章或文章評論中，所有瀏覽文章或評論的用戶，都會在他們客戶端瀏覽器環(huán)境中執(zhí)行插入的惡意代碼。

3）基于DOM（數(shù)據(jù)流向是：URL--瀏覽器 ）

基于DOM的XSS跨站腳本攻擊是通過修改頁面DOM節(jié)點數(shù)據(jù)信息而形成的XSS跨站腳本攻擊。不同于反射型XSS和存儲型XSS，基于DOM的XSS跨站腳本攻擊往往需要針對具體的javascript DOM代碼進行分析，并根據(jù)實際情況進行XSS跨站腳本攻擊的利用。

解決方法：

1).輸入過濾。對用戶的所有輸入數(shù)據(jù)進行檢測，比如過濾其中的“”、“”、“/”等可能導(dǎo)致腳本注入的特殊字符，或者過濾“script”、“javascript”等腳本關(guān)鍵字，或者對輸入數(shù)據(jù)的長度進行限制等等。同時，我們也要考慮用戶可能繞開ASCII碼，使用十六進制編碼來輸入腳本。因此，對用戶輸入的十六進制編碼，我們也要進行相應(yīng)的過濾。只要能夠嚴格檢測每一處交互點，保證對所有用戶可能的輸入都進行檢測和XSS過濾，就能夠有效地阻止XSS攻擊。

2).輸出編碼。通過前面對XSS攻擊的分析，我們可以看到，之所以會產(chǎn)生XSS攻擊，就是因為Web應(yīng)用程序?qū)⒂脩舻妮斎胫苯忧度氲侥硞€頁面當(dāng)中，作為該頁面的HTML代碼的一部分。因此，當(dāng)Web應(yīng)用程序?qū)⒂脩舻妮斎霐?shù)據(jù)輸出到目標頁面中時，只要用HtmlEncoder等工具先對這些數(shù)據(jù)進行編碼，然后再輸出到目標頁面中。這樣，如果用戶輸入一些HTML的腳本，也會被當(dāng)成普通的文字，而不會成為目標頁面HTML代碼的一部分得到執(zhí)行.

3、CSRF跨站請求偽造漏洞防護

CSRF是CrossSite Request Forgery的縮寫，乍一看和XSS差不多的樣子，但是其原理正好相反，XSS是利用合法用戶獲取其信息，而CSRF是偽造成合法用戶發(fā)起請求。

字面理解意思就是在別的站點偽造了一個請求。專業(yè)術(shù)語來說就是在受害者訪問一個網(wǎng)站時，其 Cookie 還沒有過期的情況下，攻擊者偽造一個鏈接地址發(fā)送受害者并欺騙讓其點擊，從而形成 CSRF 攻擊。

根據(jù)HTTP協(xié)議，在HTTP頭中有一個字段叫Referer，它記錄了該HTTP請求的來源地址。在通常情況下，訪問一個安全受限頁面的請求必須來自于同一個網(wǎng)站。

解決方案：

配置FILTER攔截用戶所有請求(POST/GET)，對用戶請求Referer頭URL進行合法性校驗。

4、URL鏈接注入漏洞防護

鏈接注入是修改站點內(nèi)容的行為，其方式為將外部站點的 URL 嵌入其中，或?qū)⒂幸资芄舻恼军c中的腳本 的 URL 嵌入其中。將URL 嵌入易受攻擊的站點中，攻擊者便能夠以它為平臺來啟動對其他站點的攻擊，以及攻擊這個易受攻擊的站點本身。

解決方案：

1，二次驗證，進行重要敏感操作時，要求用戶進行二次驗證。

2，驗證碼，進行重要敏感操作時，加入驗證碼。

3，驗證 HTTP 的 Referer 字段。

4，請求地址中添加 Token 并驗證。

5，HTTP 頭中自定義屬性并驗證。

5、會話COOKIE中缺少HttpOnly防護

會話cookie中缺少HttpOnly屬性會導(dǎo)致攻擊者可以通過程序(JS腳本、Applet等)獲取到用戶的cookie信息，造成用戶cookie信息泄露，增加攻擊者的跨站腳本攻擊威脅。

HttpOnly是微軟對cookie做的擴展，該值指定cookie是否可通過客戶端腳本訪問。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie屬性HttpOnly。

如果在Cookie中沒有設(shè)置HttpOnly屬性為true，可能導(dǎo)致Cookie被竊取。竊取的Cookie可以包含標識站點用戶的敏感信息。

如果在Cookie中設(shè)置HttpOnly屬性為true，兼容瀏覽器接收到HttpOnly cookie，那么客戶端通過程序(JS腳本、Applet等)將無法讀取到Cookie信息，這將有助于緩解跨站點腳本威脅。

解決方案：

配置filter攔截器，將服務(wù)器端返回請求，向所有會話cookie中添加“HttpOnly”屬性。

示例代碼：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;

response.setHeader("SET-COOKIE","JSESSIONID=" + sessionid + "; HttpOnly");

6、點擊劫持漏洞(Clickjacking)防護

點擊劫持是一種視覺上的欺騙手段，攻擊者使用一個透明的、不可見的iframe，覆蓋在一個網(wǎng)頁上，然后誘使用戶在該網(wǎng)頁上進行操作，此時用戶在不知情的情況下點擊了透明的iframe頁面。通過調(diào)整iframe頁面的位置，可以誘使用戶恰好點擊在iframe頁面的一些功能性按鈕上。

解決方案：

配置FILTER攔截器，在服務(wù)器端返回請求中，使用一個HTTP頭“X-Frame-Options”值為SAMEORIGIN-同源策略 ，則frame頁面的地址只能為同源域名下面的頁面，防止點擊劫持漏洞發(fā)生。

示例代碼：

HttpServletResponseresponse=(HttpServletResponse)paramServletResponse;

response.addHeader("x-frame-options","SAMEORIGIN");

7、HTTP host 頭攻擊漏洞

使用HTTP代理工具，可以篡改HTTP報文頭部中HOST字段時，該值可被注入惡意代碼。因為需要控制客戶端的輸入，故該漏洞較難利用。

解決方案：

配置FILTER攔截器，對請求輸入HOST頭信息進行信息安全性校驗，防止HOST頭信息被惡意篡改利用。

示例代碼：

HttpServletRequest request =(HttpServletRequest)servletRequest;

//主機ip和端口 或 域名和端口

String myhosts = request.getHeader("host");

if(!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")

!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")

!StringUtils.equals(myhosts,"xx.xx.xxx.xxx:xxxx")StringUtils.equals(myhosts,"xx.xx.xxx.xxx")

!StringUtils.equals(myhosts,"xx.xx.xxx.xxx") !StringUtils.equals(myhosts,"xx.xx.xxx.xxx" ){

logger.error("======訪問host非法，已攔截======");

response.sendRedirect(request.getContextPath() + "/login.jsp");

return;

}

8、越權(quán)訪問漏洞防護

越權(quán)訪問（Broken Access Control，簡稱BAC）是Web應(yīng)用程序中一種常見的漏洞，分為垂直越權(quán)訪問和水平越權(quán)訪問。垂直越權(quán)是指不同用戶級別之間的越權(quán)，如普通用戶執(zhí)行管理員用戶的權(quán)限。水平越權(quán)是指相同級別用戶之間的越權(quán)操作。

Web應(yīng)用程序如果存在越權(quán)訪問漏洞，可能導(dǎo)致以下危害：

1）導(dǎo)致任意用戶敏感信息泄露；

2）導(dǎo)致任意用戶信息被惡意修改或刪除。

解決方案：

配置FILTER攔截器，對請求所有URL進行攔截，對于需要進行授權(quán)的URL進行權(quán)限校驗，防止用戶越權(quán)訪問系統(tǒng)資源。

9.弱口令漏洞

解決方案：最好使用至少6位的數(shù)字、字母及特殊字符組合作為密碼。數(shù)據(jù)庫不要存儲明文密碼，應(yīng)存儲MD5加密后的密文，由于目前普通的MD5加密已經(jīng)可以被破解，最好可以多重MD5加密，或者多種加密方式疊加組合。

10．JSP頁面拋出的異?？赡鼙┞冻绦蛐畔ⅰ?/p>

有經(jīng)驗的入侵者，可以從JSP程序的異常中獲取很多信息，比如程序的部分架構(gòu)、程序的物理路徑、SQL注入爆出來的信息等。

解決方案：自定義一個Exception，將異常信息包裝起來不要拋到頁面上。

11.本地緩存漏洞

合法用戶“注銷”后，在未關(guān)閉瀏覽器的情況下，點擊瀏覽器“后退”按鈕，可從本地頁面緩存中讀取數(shù)據(jù)，繞過了服務(wù)端filter過濾。

解決方案：配置filter對存放敏感信息的頁面限制頁面緩存。如：

httpResponse.setHeader("Cache-Control","no-cache");

httpResponse.setHeader("Cache-Control","no-store");

httpResponse.setDateHeader("Expires",0);

httpResponse.setHeader("Pragma","no-cache");

12.文件上傳漏洞。

前臺僅使用JS對文件后綴做了過濾，這只能針對普通的用戶，而惡意攻擊者完全可以修改表單去掉JS校驗。

13.Java WEB容器默認配置漏洞。

如TOMCAT后臺管理漏洞，默認用戶名及密碼登錄后可直接上傳war文件獲取webshell。

解決方案：最好刪除，如需要使用它來管理維護，可更改其默認路徑，口令及密碼。

在java中如何用正則表達式屏蔽javascript腳本

你需要把用戶評論的內(nèi)容中的:

"" 替換成 ""

"" 替換成 ""

"" 替換成 ""

'"' (雙引號)替換成 '"'

"'" (單引號)替換成 '''

這樣就可以避免客戶端的危險輸入了

形如script type="text/javascript"alert("asdf");/script

的評論就會被直接顯示出來（如同你看到的baidu一樣＝。＝）

而不會被當(dāng)作html標簽轉(zhuǎn)義

＝＝＝＝修改＝＝＝＝

我的輸入被轉(zhuǎn)義了，修改下，記得去掉空格

"" 替換成 " amp;"

"" 替換成 " lt;"

"" 替換成 " gt;"

'"' (雙引號)替換成 ' quot;'

"'" (單引號)替換成 ' #39;'

web前端怎么防止代碼注入攻擊

一，HTML防注入。

一般的html注入都是在字符串中加入了html標簽，用下JAVA代碼可以去掉這部分代碼。

代碼如下，自己封裝成方法即可。

String msge = "asdasdasdasd div id=\"f\"asdfsdf";

System.out.println(msge);

msge = msge.replace("", "");

msge = msge.replace("", "");

msge = msge.replace(" ", " ");

msge = msge.replace("", "");

msge = msge.replace("\"", """);

msge = msge.replace("'", "qpos;");

System.out.println(msge);

二、防SQL注入

最簡單最容易的是限制用戶輸入。

簡單點的就是不允許用戶輸入單引號 和 --，因為單引號號--在SQL中都是影響執(zhí)行的。

但SQL注入是多方面的，防止的方法也有很多種。

1、地址欄禁止特殊字符防SQL注入

把特殊字符（如and、or、'、"）都禁止提交就可以防止注入了。

2、php過濾html字符串，防止SQL注入

批量過濾post,get敏感數(shù)據(jù)

$_GET = stripslashes_array($_GET);

$_POST = stripslashes_array($_POST);

數(shù)據(jù)過濾函數(shù)

function stripslashes_array($array) {

while(list($key,$var) = each($array)) {

if ($key != 'argc' $key != 'argv' (strtoupper($key) != $key || ''.intval($key) == "$key")) {

if (is_string($var)) {

$array[$key] = stripslashes($var);

}

if (is_array($var)) {

$array[$key] = stripslashes_array($var);

}

}

}

return $array;

}

3、替換HTML尾標簽

function lib_replace_end_tag($str)

{

if (empty($str)) return false;

$str = htmlspecialchars($str);

$str = str_replace( '/', "", $str);

$str = str_replace("\\", "", $str);

$str = str_replace("", "", $str);

$str = str_replace("", "", $str);

$str = str_replace("SCRIPT", "", $str);

$str = str_replace("/SCRIPT", "", $str);

$str = str_replace("script", "", $str);

$str = str_replace("/script", "", $str);

$str=str_replace("select","select",$str);

$str=str_replace("join","join",$str);

$str=str_replace("union","union",$str);

$str=str_replace("where","where",$str);

$str=str_replace("insert","insert",$str);

$str=str_replace("delete","delete",$str);

$str=str_replace("update","update",$str);

$str=str_replace("like","like",$str);

$str=str_replace("drop","drop",$str);

$str=str_replace("create","create",$str);

$str=str_replace("modify","modify",$str);

$str=str_replace("rename","rename",$str);

$str=str_replace("alter","alter",$str);

$str=str_replace("cas","cast",$str);

$str=str_replace("","",$str);

$str=str_replace("","",$str);

$str=str_replace("","",$str);

$str=str_replace(" ",chr(32),$str);

$str=str_replace(" ",chr(9),$str);

$str=str_replace(" ",chr(9),$str);

$str=str_replace("",chr(34),$str);

$str=str_replace("'",chr(39),$str);

$str=str_replace("br /",chr(13),$str);

$str=str_replace("''","'",$str);

$str=str_replace("css","'",$str);

$str=str_replace("CSS","'",$str);

return $str;

}

三、專業(yè)的事情交給專業(yè)的工具去做。

安裝安全軟件。例如，在服務(wù)器中安裝“服務(wù)器安全狗”，可以設(shè)置防注入，防攻擊的設(shè)置，只要設(shè)置好安全規(guī)則，就可以屏蔽大多數(shù)攻擊入侵。