目录介绍：

• 1、jsp中如何解决xss攻击问题
• 2、火狐xsseb插件怎么使用？
• 3、大家畅所欲言，当jFinal遇到XSS和SQL注入怎么处理
• 4、XSS攻击的定义，类型以及防御方法？
• 5、45. 从零开始学springboot撸一个Xss过滤器-注解实现

jsp中如何解决xss攻击问题

那就写个过滤器，把有小于号大于号等等，与标签或者SQL有关的全部替换，然后再存进数据库。具体换成什么，自己决定吧。

火狐xsseb插件怎么使用？

Quick Translator对谷歌翻译返回未经过滤直接输出，导致XSS

不知道什么原因，直接翻译script标签是不行的，所以需要借助img等其他标签。Quick Translator默认设置为检测语言，而谷歌翻将英文翻译成中文时会将引号转换为全角，并在其他符号后面加空格，所以需要加上一些中文字符让谷歌翻译认为提交的是中文。

说了这么多，看个例子吧，以下代码用Quick Translator翻译从中文翻译到英文会弹框（右键翻译和在对话框输入是一样的）。

img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' onerror='javascript：alert(document.domain)'/

由于没有人会憨厚到选中代码翻译，所以需要将这段代码隐藏起来，同时不影响选中。仿照论坛复制干扰码，将其进行html转义后放在一个指定文字大小为0px的span中;同时，由于实际触发点位于右下角翻译结果处，为了隐藏图片需要给图片加上display:none样式;最后，将这段代码插在一段很少有人认识的语言中，例如الاشتراكية جيدة ，使得别人可能会去翻译这句话。

最后的poc如下：

الاشتراكية جيدة span style="font-size:0px;"img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' style='display:none' onerror='javascript：alert(document.domain)'/span الاشتراكية جيدة br

可以在某些公共博客、论坛之类发个吸引人的帖子，然后引用一段官方的“原话”作为证据（选个较为少见的语种，比如德语意大利语之类），并在其中插入代码。

例子：躺中枪的某程序猿博客

要是以“nodejs进阶技巧”等热点技术发个帖，并在资料引用处插入poc，会有多少人中招？

修复方案：

prexmpxxx/xmp/pre

大家畅所欲言，当jFinal遇到XSS和SQL注入怎么处理

数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原

在显示的时候对非法字符进行转义

如果项目还处在起步阶段，建议使用第二种，直接使用jstl的c:out标签即可解决非法字符的问题。当然，对于Javascript还需要自己处理一下，写一个方法，在解析从服务器端获取的数据时执行以下escapeHTML()即可。

附：Javascript方法：

String.prototype.escapeHTML = function () {

return this.replace(//g, ‘’).replace(//g, ‘’).replace(//g, ‘’).replace(/”/g, ‘"’);

}

如果项目已经开发完成了，又不想大批量改动页面的话，可以采用第一种方法，此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils

public class StringEscapeEditor extends PropertyEditorSupport {

private boolean escapeHTML;

private boolean escapeJavaScript;

private boolean escapeSQL;

public StringEscapeEditor() { super(); }

public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {

super();

this.escapeHTML = escapeHTML;

this.escapeJavaScript = escapeJavaScript;

this.escapeSQL = escapeSQL;

}

@Override

public void setAsText(String text) {

if (text == null) {

setValue(null);

XSS攻击的定义，类型以及防御方法？

XXS攻击全称跨站脚本攻击，是一种在Web应用中的计算机安全漏洞，它允许恶意Web用户将代码植入到提供给其他使用的页面中。

XSS攻击有哪几种类型?下面就由锐速云的小编为大家介绍一下

经常见到XSS攻击有三种：反射XSS攻击、DOM-based型XSS攻击以及储存型XSS攻击。

[if !supportLists]1、[endif]反射型XSS攻击

反射性XSS一般是攻击者通过特定手法(如电子邮件)，诱使用户去访问一个包含恶意代码的URL，当受害者点击这些专门设计链接的时候，恶意代码会直接在受害主机上的浏览器上执行，反射型XSS通常出现在网站搜索栏，用户登入口等地方，常用来窃取客户端或进行钓鱼欺骗。

[if !supportLists]2、[endif]存储型XSS攻击

存储型XSS攻击也叫持久型XSS，主要将XSS代码提交储存在服务器端(数据库，内存，文件系统等)下次请求目标页面时不用在提交XSS代码。当目标用户访问该页面获取数据时，XSS代码会从服务器解析之后加载出来，返回到浏览器做正常的HTML和JS解析执行，XSS攻击就发生了。储存型XSS一般出现在网站留言，评论，博客日志等交互处，恶意脚本储存到客户端或者服务端的数据库中。

[if !supportLists]3、[endif]DOM-based型XSS攻击

DOM-based型XSS攻击它是基于DOM的XSS攻击是指通过恶意脚本修改页面的DOM结构，是纯粹发生在客户端的攻击。DOM型XSS攻击中，取出和执行恶意代码由浏览器端完成，属于前端JavaScript自身的安全漏洞。

如何防御XSS攻击?

[if !supportLists]1、[endif]对输入内容的特定字符进行编码，列如表示html标记等符号。

[if !supportLists]2、[endif]对重要的cookie设置httpOnly，防止客户端通过document。cookie读取cookie，此HTTP开头由服务端设置。

[if !supportLists]3、[endif]将不可信的输出URT参数之前，进行URLEncode操作，而对于从URL参数中获取值一定要进行格式检查

[if !supportLists]4、[endif]不要使用Eval来解析并运行不确定的数据或代码，对于JSON解析请使用JSON。Parse()方法

[if !supportLists]5、[endif]后端接口也应该要做到关键字符过滤的问题。

45. 从零开始学springboot撸一个Xss过滤器-注解实现

上章通过Filter实现了Xss全局过滤器

可能小伙伴还有点不满, 全局意味着“一刀切”,

虽然我们也有白名单黑名单设置, 但是, 白名单黑名单针对的是整个方法或整个实体类

举个例子, 我定义了个实体

可能业务上有限制(比如name限制了只有5个字符长),

那么name其实不可能存在Xss注入风险了,

程序只需要对info和des属性做转义即可

如果采用Filter, 意味着People的所有属性都会检测转义, 好像没啥必要!

那么, 可以针对性的指定字段进行Xss的过滤转义么?

为了应对这样的需求, 咸鱼君采用Aop注解来实现这么个Xss过滤器.

PS: 和Filter一样, 我们统一对入参Xss过滤, 确保参数的处理方式统一! 所以, 程序中获取的参数值都是转义后的数据!!

废话不多说, 往下看!

加入必要的pom依赖

针对方法, 参数, 属性分别定义三个注解

XssMethod

XssParam

XssField

针对注解实现切面Aspect

XssAspect

注释写的很详细, 就不多废话了!

接下来我们写个案例来测试测试

首先在启动类上启用切面

定义一个实体People, 并对info,des属性加上注解进行xss过滤

最后编写controller

json方式

键值对方式