xss攻击利用拦截器（防止XSS攻击）

有效防范CSRF攻击的手段有哪些？

此前，我为大家介绍过SSRF攻击、XSS攻击以及SQL注入攻击的原理及防范手段，本篇文章我将为大家介绍一下CSRF攻击-跨站请求伪造。那么CSRF攻击是什么?防范手段有哪些?具体内容请看下文。

CSRF攻击是什么?

CSRF，全拼为Cross-site request forgery，也被称为one-click attack或者session

riding，中文名称叫跨站请求伪造。一般来说，攻击者通过伪造用户的浏览器的请求，向访问一个用户自己曾经认证访问过的网站发送出去，使目标网站接收并误认为是用户的真实操作而去执行命令。常用于盗用账号、转账、发送虚假消息等。

攻击者利用网站对请求的验证漏洞而实现这样的攻击行为，网站能够确认请求来源于用户的浏览器，却不能验证请求是否源于用户的真实意愿下的操作行为。

CSRF攻击防范手段有哪些?

之一、验证HTTP Referer字段

HTTP头中的Referer字段记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求来自于同一个网站，而如果黑客要对其实施CSRF攻击，他一般只能在他自己的网站构造请求。因此，可以通过验证Referer值来防御CSRF攻击。

第二、使用验证码

关键操作页面加上验证码，后台收到请求后通过判断验证码可以防御CSRF。但这种 *** 对用户不太友好。

第三、在请求地址中添加token并验证

CSRF攻击之所以成功，是因为黑客可以完全伪造用户的请求，该请求中所有的用户验证信息都是存在于cookie中，因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie来通过安全验证。要抵御CSRF，关键在于在请求中放入黑客所不能伪造的信息，并且该信息不存在于cookie中。可以在HTTP请求中以参数的形式加入一个随机产生的token，并在服务器端建立一个拦截器来验证这个token，如果请求中没有token或者token内容不正确，则认为可能是CSRF攻击而拒绝该请求。这种 *** 要比检查Referer要安全，token可以在用户登陆后产生并放于session中，然后在每次请求时把token从session中拿出，与请求中的token进行比对，但这种 *** 的难点在于如何把token以参数的形式加入请求。

对于get请求，token将附在请求地址之后，这样URL就变成：。

对于post请求，要在form的最后加上input

type="hidden" name="csrftoken" value="tokenvalue"/，这样就把token以参数的形式加入请求了。

第四、在HTTP头中自定义属性并验证

这种 *** 也是使用token并进行验证，和上一种 *** 不同的是，这里并不是把token以参数的形式置于HTTP请求中，而是把它放到HTTP头中自定义的属性里。通过XMLHttpRequest这个类，可以一次性给所有该类请求加上csrftoken这个HTTP头属性，并把token值放入其中。这样解决了上种 *** 在请求中加入token的不便;同时，通过XMLHttpRequest请求的地址不会被记录到浏览器的地址栏，也不用担心token会透过Referer泄露到其他网站中去。

XSS过滤器

背景：过滤xss攻击，同时将过滤后的日志输出到指定文件。（指定文件输出请看上篇博文）

前景：利用filter进行xss攻击过滤，需要应对不同请求做不同的过滤处理，若是post请求的json格式数据，需要重写getinputstream *** (因为流读取一次后，下层controller无法再次进行读取。原理可自行百度)

因此需要重写两个wrapper（继承HttpServletRequestWrapper）（针对post的json请求以及其他格式的请求）

在filter中以contentType做类型的区分

未做业务耦合的区分（日志输出与xss过滤耦合到一起），若要区分开功能，单独书写即可

一:重写wrapper

1:contentType为multipart/form-data或application/x-www-form-urlencoded

2:contentType为application/json

二：xss处理工具 *** ：

三：filter过滤器

四：在web.xml配置过滤器

XSS攻击原理是什么？

什么是XSS攻击XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击，因为其被动且不好利用，所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术，但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言，我把XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点，我们自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

防止XSS攻击

关于什么是XSS攻击这里就不说明了，百度一下有很多解释，这里只是做一个自己的修补记录，仅供参考。

这里主要参考了公司的一位大神写的工具类，再做点修改

首页在web.xml里面去添加一个全局拦截器

然后是filter

filter引用了工具类XssUtil,XssHttpServletRequestWrapper