基于Antisamy项目实现防XSS攻击

时间:2014-12-13 11:56:33来源:作者:点击:

 最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。

为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决攻击问题。AntiSamy是一个可以确保用户输入的HTML、CSS、JavaScript符合规范的API。它确保了用户无法在HTML中提交恶意代码,而这些恶意代码通常被输入到个人资料、评论等会被服务端存储的数据中。

官方网站: https://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project

项目地址: 

我们项目使用的Java,除了antisamy-1.5.3.jar包外,还需要下述jar包。

Samy的使用如下:

定义一个Filter的Class,该类必须实现Filter类,在Filter类中实现doFilter函数。将策略文件放到和pom.xml同级目录下,然后开始编写Filter。

public class Filter implements Filter {
  @SuppressWarnings("unused")
  private FilterConfig filterConfig;
  public void destroy() {
    this.filterConfig = null;
  }
  public void doFilter(ServletRequest request, ServletResponse response,
      FilterChain chain) throws IOException, ServletException {
    chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
  }
  public void init(FilterConfig filterConfig) throws ServletException {
    this.filterConfig = filterConfig;
  }	
    }

[1]    

您可能感兴趣的文章

无相关信息

文章评论