antisamy的配置以及使用實現XSS防禦

原創 RayChiu757374816 2018-09-03 17:13

一、maven、antisamy介紹以及XSS:

  antisamy是owasp的開源項目,它用來確保用戶輸入的HTML/CSS符合應用規範的API,可以有效防止xss攻擊。它提供了用於驗證用戶輸入的富文本以防禦跨站腳本的API,適用於java編寫的web項目。它提供了一些標準策略文件,根據自己產品的實際需求,在此基礎上配置一份適合自己產品的策略文件。

具體參考

http://anquan.163.com/module/pedia/article-00016.html

二、所需的相關文件:


三、antisamy在eclipse的配置

    

注意Tomcat應用服務器的安裝。具體詳見 http://jingyan.baidu.com/article/3065b3b6efa9d7becff8a4c6.html

轉換爲maven項目後發現在Libraries下爲發現maven的下拉菜單,如下圖所示:

解決方法:

修改pom.xml中的代碼,即增加以下代碼:

[html] view plain copy
  1. <dependencies>  
  2.    <dependency>  
  3.        <groupId>log4j</groupId>  
  4.        <artifactId>log4j</artifactId>  
  5.        <version>1.2.12</version>  
  6.    </dependency>  
  7.    <dependency>  
  8.        <groupId>org.owasp.antisamy</groupId>  
  9.        <artifactId>antisamy</artifactId>  
  10.        <version>1.5.3</version>  
  11.    </dependency>  
  12. lt;/dependencies>  
保存後刷新項目即可以看到maven下出現了相關的jar文件,即已經將該jar包進行了下載,而不需要自己在下載在加入path路徑:


此時,即將maven和antisamy配置完成。

整體截圖:


pom.xml代碼:

[plain] view plain copy
  1. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">  
  2.   <modelVersion>4.0.0</modelVersion>  
  3.   <groupId>webTest</groupId>  
  4.   <artifactId>webTest</artifactId>  
  5.   <version>0.0.1-SNAPSHOT</version>  
  6.   <packaging>war</packaging>  
  7.   <build>  
  8.     <sourceDirectory>src</sourceDirectory>  
  9.     <resources>  
  10.       <resource>  
  11.         <directory>src</directory>  
  12.         <excludes>  
  13.           <exclude>**/*.java</exclude>  
  14.         </excludes>  
  15.       </resource>  
  16.     </resources>  
  17.     <plugins>  
  18.       <plugin>  
  19.         <artifactId>maven-compiler-plugin</artifactId>  
  20.         <version>3.3</version>  
  21.         <configuration>  
  22.           <source>1.8</source>  
  23.           <target>1.8</target>  
  24.         </configuration>  
  25.       </plugin>  
  26.       <plugin>  
  27.         <artifactId>maven-war-plugin</artifactId>  
  28.         <version>2.6</version>  
  29.         <configuration>  
  30.           <warSourceDirectory>WebContent</warSourceDirectory>  
  31.           <failOnMissingWebXml>false</failOnMissingWebXml>  
  32.         </configuration>  
  33.       </plugin>  
  34.     </plugins>  
  35.    </build>  
  36.     <dependencies>  
  37.         <dependency>  
  38.             <groupId>log4j</groupId>  
  39.             <artifactId>log4j</artifactId>  
  40.             <version>1.2.12</version>  
  41.         </dependency>  
  42.         <dependency>  
  43.             <groupId>org.owasp.antisamy</groupId>  
  44.             <artifactId>antisamy</artifactId>  
  45.             <version>1.5.3</version>  
  46.         </dependency>  
  47.     </dependencies>  
  48. </project>  

增加了以下代碼:


四、tomcat安裝

這裏依賴於【eclipse創建javaweb項目的環境配置】

具體參見http://blog.csdn.net/redarmy_chen/article/details/7048317

也可以參照以下鏈接安裝和部署:

http://jingyan.baidu.com/article/3065b3b6efa9d7becff8a4c6.html

需要注意的是在添加目錄時要採用英文名。


五、代碼

XssFilter.java代碼如下:(注意代碼的包的)

[java] view plain copy
  1. import java.io.IOException;  
  2. import javax.servlet.Filter;  
  3. import javax.servlet.FilterChain;  
  4. import javax.servlet.FilterConfig;  
  5. import javax.servlet.ServletException;  
  6. import javax.servlet.ServletRequest;  
  7. import javax.servlet.ServletResponse;  
  8. import javax.servlet.http.HttpServletRequest;  
  9. public class XssFilter implements Filter {    
  10. @SuppressWarnings("unused")    
  11. private FilterConfig filterConfig;    
  12. public void destroy() {    
  13.     this.filterConfig = null;    
  14. }    
  15. public void doFilter(ServletRequest request, ServletResponse response,    
  16.         FilterChain chain) throws IOException, ServletException {    
  17.     chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);    
  18. }    
  19. public void init(FilterConfig filterConfig) throws ServletException {    
  20.     this.filterConfig = filterConfig;    
  21. }       
  22. }   

相關代碼的註釋可以參見:

http://blog.csdn.net/goskalrie/article/details/51350736

RequestWrapper.java代碼:

[java] view plain copy
  1. import java.util.Iterator;  
  2. import java.util.Map;  
  3.   
  4. import javax.servlet.http.HttpServletRequest;  
  5. import javax.servlet.http.HttpServletRequestWrapper;  
  6.   
  7. import org.owasp.validator.html.AntiSamy;  
  8. import org.owasp.validator.html.CleanResults;  
  9. import org.owasp.validator.html.Policy;  
  10. import org.owasp.validator.html.PolicyException;  
  11. import org.owasp.validator.html.ScanException;  
  12.   
  13. public class RequestWrapper extends HttpServletRequestWrapper {  
  14.   
  15.     public RequestWrapper(HttpServletRequest request) {  
  16.         super(request);  
  17.     }  
  18.       
  19.     @SuppressWarnings({ "rawtypes""unchecked" })  
  20.     public Map<String,String[]> getParameterMap(){  
  21.         Map<String,String[]> request_map = super.getParameterMap();  
  22.         Iterator iterator = request_map.entrySet().iterator();  
  23.         while(iterator.hasNext()){  
  24.             Map.Entry me = (Map.Entry)iterator.next();  
  25.             //System.out.println(me.getKey()+":");  
  26.             String[] values = (String[])me.getValue();  
  27.             for(int i = 0 ; i < values.length ; i++){  
  28.                 System.out.println(values[i]);  
  29.                 values[i] = xssClean(values[i]);  
  30.             }  
  31.         }  
  32.         return request_map;  
  33.     }  
  34.       
  35.     @SuppressWarnings({ "rawtypes""unchecked" })  
  36.     public String getParameter(String name) {  
  37.         String v=super.getParameter(name);  
  38.         if(v==null)  
  39.             return null;  
  40.         return xssClean(v);  
  41.     }  
  42.       
  43.     @SuppressWarnings({ "rawtypes""unchecked" })  
  44.     public String[] getParameterValues(String name) {  
  45.         String[] v=super.getParameterValues(name);  
  46.         if(v==null || v.length==0)  
  47.             return v;  
  48.         for(int i=0;i<v.length;i++){  
  49.                 v[i]=xssClean(v[i]);  
  50.         }  
  51.         return v;  
  52.     }  
  53.   
  54.     private String xssClean(String value) {  
  55.         AntiSamy antiSamy = new AntiSamy();  
  56.         try {  
  57.             Policy policy = Policy.getInstance("/antisamy-slashdot.xml");  
  58.             //CleanResults cr = antiSamy.scan(dirtyInput, policyFilePath);   
  59.             final CleanResults cr = antiSamy.scan(value, policy);  
  60.             //瀹夊叏鐨凥TML杈撳嚭  
  61.               
  62.             System.out.println("clean:"+cr.getCleanHTML());  
  63.               
  64.             return cr.getCleanHTML();  
  65.         } catch (ScanException e) {  
  66.             e.printStackTrace();  
  67.         } catch (PolicyException e) {  
  68.             e.printStackTrace();  
  69.         }  
  70.         return value;  
  71.     }  
  72. }  

web.xml代碼:

[plain] view plain copy
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  3.     xmlns="http://java.sun.com/xml/ns/javaee"  
  4.     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"  
  5.     id="WebApp_ID" version="2.5">  
  6.     <display-name>sdl</display-name>  
  7.     <!-- XSS -->  
  8.     <filter>  
  9.         <filter-name>XSS</filter-name>  
  10.         <filter-class>XssFilter</filter-class>  
  11.     </filter>  
  12.   
  13.     <filter-mapping>  
  14.         <filter-name>XSS</filter-name>  
  15.         <url-pattern>/*</url-pattern>  
  16.     </filter-mapping>  
  17.     <welcome-file-list>  
  18.         <welcome-file>index.html</welcome-file>  
  19.         <welcome-file>index.htm</welcome-file>  
  20.         <welcome-file>index.jsp</welcome-file>  
  21.         <welcome-file>default.html</welcome-file>  
  22.         <welcome-file>default.htm</welcome-file>  
  23.         <welcome-file>default.jsp</welcome-file>  
  24.     </welcome-file-list>  
  25. </web-app>  


六、驗證


htmlTest.html代碼

[html] view plain copy
  1. <!DOCTYPE html>  
  2. <html>  
  3. <head>  
  4. <meta charset="UTF-8">  
  5. <title>Insert title here</title>  
  6. </head>  
  7. <body>  
  8. <form action="main.jsp" method="POST">  
  9. First Name: <input type="text" name="first_name">  
  10. <br />  
  11. Last Name: <input type="text" name="last_name" />  
  12. <input type="submit" value="Submit" />  
  13. </form>  
  14. </body>  
  15. </html>  

如下所示:


main.jsp代碼:

[plain] view plain copy
  1. <%@ page language="java" contentType="text/html; charset=ISO-8859-1"  
  2.     pageEncoding="ISO-8859-1"%>  
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">  
  4. <html>  
  5. <head>  
  6. <meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">  
  7. <title>Insert title here</title>  
  8. </head>  
  9. <body>  
  10. <center>  
  11. <h1>Using GET Method to Read Form Data</h1>  
  12. <ul>  
  13. <li><p><b>First Name:</b>  
  14.    <%= request.getParameter("first_name")%>  
  15. </p></li>  
  16. <li><p><b>Last  Name:</b>  
  17.    <%= request.getParameter("last_name")%>  
  18. </p></li>  
  19. </ul>  
  20. </body>  
  21. </html>  

如下所示:


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

C#開源的兩款功能強大的錄屏神器

ScreenToGif ScreenToGif是一款由C#語言開發且開源的操作簡單、免費的屏幕錄製和GIF動畫製作神器。它可以幫助用戶捕捉計算機屏幕上的實時動畫,並將其保存爲高質量的 GIF 圖像格式。該工具不僅適用於技術支持、軟件演示和教

追逐時光 2024-05-03 14:28:27

前端 Vue yarn.lock文件:詳解和使用指南

yarn.lock文件:詳解和使用指南 https://www.python100.com/html/38KF796X6BHM.html 一、什麼是yarn.lock文件 yarn.lock文件是一個產生於Yarn 0.22及以後版

emanlee 2024-05-03 14:15:26

前端 Vue webpack配置之 webpack.config.js 文件配置

  Webpack 在執行的時候,除了在命令行傳入參數,還可以通過指定的配置文件來執行。默認情況下,會搜索當前目錄的 webpack.config.js 文件,這個文件是一個 node.js 模塊,返回一個 json 格式的配置信息對象,或

emanlee 2024-05-03 14:15:26

Vue package-lock.json的作用

package-lock.json的作用   "node_modules/@aashutoshrathi/word-wrap": { "version": "1.2.6", "resolved": "h

emanlee 2024-05-03 14:15:26

前端 Vue-cli中 vue.config.js 的配置詳解

Vue-cli 3 / Vue-cli 4   目錄結構 ├── README.md # 說明 |-- dist # 打包後文件夾 ├── babel.config.js

emanlee 2024-05-03 14:15:26

druid數據源 xml配置

https://blog.csdn.net/h273979586/article/details/87932220 pom依賴 <dependency> <groupId>com.alibaba</groupId>

tono 2024-05-03 14:14:55

Windows中Redis怎麼設置密碼

Windows中Redis怎麼設置密碼

久曲健 2024-05-03 14:11:15

JDK8和JDK17共存以及切換的方法

1、先安裝"jdk-8u381-windows-x64.exe",再安裝"jdk-17_windows-x64_bin.exe" 2、"系統屬性"-"高級"-"環境變量"-"系統變量"-"Path"-"編輯",刪除以下2條 C:\Progr

久曲健 2024-05-03 14:11:15

centos7修改redis密碼

檢查Redis配置文件 首先,我們需要確保Redis的配置文件中包含了設置密碼的選項。打開Redis的配置文件/etc/redis.conf,查找以下行並確保取消註釋(去掉行首的#): requirepass your_password 啓

久曲健 2024-05-03 14:11:15

基於SSM的在線外賣訂餐系統畢業設計論文【範文】

摘要 隨着互聯網技術的迅猛發展和人們生活節奏的加快,在線外賣訂餐系統因其便捷性和高效率而受到廣泛歡迎。本文圍繞《基於SSM框架的在線外賣訂餐系統》這一課題展開研究,旨在設計並實現一個功能全面、操作簡便且安全可靠的在線外賣訂餐平臺。 首先,文

Lucky帥小武 2024-05-03 14:08:24

基於CodeMirror開發在線編輯器時遇到的問題及解決方案

需求:實現json在線編輯並支持校驗,基於此使用了 CodeMirror在線編輯,jsonlint校驗輸入數據 // package.json: "dependencies": { "codemirror": "^5.53.2"

致愛麗絲 2024-05-03 14:04:44

《軟件性能測試、分析與調優實踐之路》(第2版) PPT課件流出

掃描圖書前言中的如下圖所示的二維碼,即可進入到下載頁面。  如下圖所示即爲課件的下載頁面,免費提供下載      

張永清 2024-05-03 14:01:24

2024年感想

  看了一眼之前到博客,最近的一次博客還在一年之前,時間如白駒過隙,飛快流逝。這兩年生活和工作都經歷裏很多,想想是應該在這裏好好梳理總結下。我總是感慨,自己從二十六七歲到現在三十多的年紀,好像經歷別人的半輩子,感悟衆多。   我以前是個朋友

兜兜有糖的博客 2024-05-03 13:57:53

AWS S3 Lambda Python腳本函數實現圖片自動轉換爲webp並上傳至s3

Amazon S3 自動轉換圖片格式  Amazon S3 存儲桶 新增文件自動觸發 AWS Lambda。Lambda 取 S3 文件做轉換並存回去 S3 同一個目錄下,並增加相應的後綴名。 並且支持通過API Gateway的方式觸發對

翎野 2024-05-03 13:51:42

Eclipse Memory Analyzer (MAT)的安裝後提示JDK版本不對要升級到jdk_17

背景 在啓動MAT分析內存時報錯:Version1.8.0 of the jvm is not suitable for this product,Version17 or greater isrequired。 問題原因很明顯,我電腦的J

翎野 2024-05-03 13:51:42