CHECKMARX安全漏洞检测防止XSS（Cross Site Scripting）跨站脚本攻击

阅读量：

CHECKMARX安全漏洞检测防止XSS跨站脚本攻击

总结CHECKMARX软件安全检测报告高危风险漏洞处理方式

高危警告内容
This can enable a Reflected Cross-Site Scripting (XSS) attack

封装工具类如下

复制代码

     		public class ESAPIUtil {
    
    private static ESAPIUtil instance = new ESAPIUtil();
    
    public <T> T encodeForHTML(T t) {
        // filter xss
        return t;
    }
    
    public <T> T canonicalize(T t) {
        // filter xss
        return t;
    }
    
    public <T> T encodeForJavaScript(T t) {
        return t;
    }
    
    
    public static ESAPIUtil encoder() {
        return instance;
    }
    
    
    public static String cleanXSS(String value) {
        if (value != null) {
            value = ESAPIUtil.encoder().canonicalize(value);
            // 避免空字符串
            value = value.replaceAll("", "");
            // 避免script 标签
            Pattern scriptPattern = compile("<script>(.*?)</script>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            //避免src形式的表达式
            //scriptPattern = compile("src[\r\n]*=[\r\n]*\ \'(.*?)\ \'", CASE_INSENSITIVE | MULTILINE | DOTALL);
            //value = scriptPattern.matcher(value).replaceAll("");
    
            scriptPattern = compile("src[\r\n]*=[\r\n]*\ \"(.*?)\ \"", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 删除单个的 </script> 标签
            scriptPattern = compile("</script>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 删除单个的<script ...> 标签
            scriptPattern = compile("<script(.*?)>", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 eval(...) 形式表达式
            scriptPattern = compile("eval\ ((.*?)\ )", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 expression(...) 表达式
            scriptPattern = compile("expression\ ((.*?)\ )", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 javascript: 表达式
            scriptPattern = compile("javascript:", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 vbscript: 表达式
            scriptPattern = compile("vbscript:", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 onl oad= 表达式
            scriptPattern = compile("onload(.*?)=", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
    
            // 避免 onXX= 表达式
            scriptPattern = compile("on.*(.*?)=", CASE_INSENSITIVE | MULTILINE | DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            // 避免 html 标签 表达式
            scriptPattern = compile("<(\ \"[^\ \"]*\ \"|'[^']*'|[^'\ \">])*>", CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

全部评论 (0)

还没有任何评论哟~

CHECKMARX安全漏洞检测防止XSS（Cross Site Scripting）跨站脚本攻击

CHECKMARX安全漏洞检测防止XSS跨站脚本攻击总结CHECKMARX软件安全检测报告高危风险漏洞处理方式高危警告内容 ThiscanenableaReflectedCrossSiteScri...

Fortify漏洞之Cross-Site Scripting（XSS 跨站脚本攻击）

书接上文，继续对Fortify漏洞进行总结，本篇主要针对XSS跨站脚步攻击漏洞进行总结，如下： 1、CrossSiteScripting（XSS跨站脚本攻击） 1.1、产生原因： 1\.数据通过一个不...

XSS（Cross - Site Scripting，跨站脚本攻击）是一种常见的网络安全漏洞

XSS（CrossSiteScripting，跨站脚本攻击）是一种常见的网络安全漏洞，以下是对它的详细介绍：原理 XSS攻击主要是利用了网站对用户输入内容过滤不足或没有过滤的漏洞。

前端安全（3）：预防跨站脚本（Cross-Site Scripting，XSS）

一、如何预防XSS XSS攻击有两⼤要素：攻击者提交恶意代码。浏览器执⾏恶意代码。针对第⼀个要素：我们是否能够在⽤户输⼊的过程，过滤掉⽤户输⼊的恶意代码呢？输入过滤在⽤户提交时，由前端过滤输...

前端安全（2）：跨站脚本（Cross-Site Scripting，XSS）

一、XSS分为哪几类？根据攻击的来源，XSS攻击可分为储存型、反射型、和DOM型三种储存区：恶意代码存放的位置。插入点：由谁取得恶意代码，并插入到网页上。 1\.储存型XSS 储存型XSS的攻击...

Xss跨站脚本攻击（Cross Site Script）

原理： XSS攻击的核心思想就是在HTML页面中注入恶意代码服务器过滤不严格导致攻击者输入的恶意js代码被web前端执行XSS攻击中，一般有三个角色参与：攻击者、目标服务器、受害者的浏览危害：获取...

JavaScript学习笔记-跨站脚本(Cross-site scripting，CSS，XSS)漏洞

CrossSiteScript，缩写CSS又叫XSS，中文意思跨站脚本攻击，指的是恶意攻击者往Web页面里插入恶意html代码。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之...

xss跨站脚本【反射型---Reflected Cross Site Scripting (XSS)】

介绍：跨网站脚本（Crosssitescripting，XSS）又称为跨站脚本攻击，是一种经常出现在Web应用程序的安全漏洞攻击，也是代码注入的一种。XSS是由于Web应用程序对用户的输入过滤不足而...

【xss】java 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击

配置web.xml XssFilter类创建实现方法 XssHttpServletRequestWrapper类创建用到的包 javax.servletapi3.1.0.jar hutoolhtt...

XSS漏洞（跨站脚本攻击）

XSS 又称为css（CrossSiteScripting）或者跨站脚本攻击，攻击者在网页中插入由JS编写的恶意代码，当用户浏览被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行，XSS是一种发...

是否确定退出登录?

CHECKMARX安全漏洞检测防止XSS（Cross Site Scripting）跨站脚本攻击

CHECKMARX安全漏洞检测防止XSS跨站脚本攻击

全部评论 (0)

相关文章推荐

CHECKMARX安全漏洞检测防止XSS（Cross Site Scripting）跨站脚本攻击

Fortify漏洞之Cross-Site Scripting（XSS 跨站脚本攻击）

XSS（Cross - Site Scripting，跨站脚本攻击）是一种常见的网络安全漏洞

前端安全（3）：预防跨站脚本（Cross-Site Scripting，XSS）

前端安全（2）：跨站脚本（Cross-Site Scripting，XSS）

Xss跨站脚本攻击（Cross Site Script）

JavaScript学习笔记-跨站脚本(Cross-site scripting，CSS，XSS)漏洞

xss跨站脚本【反射型---Reflected Cross Site Scripting (XSS)】

【xss】java 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击

XSS漏洞（跨站脚本攻击）