如何在Java中防御XSS攻击

从通过规范化输入的文本中检测并删除XSS（跨站点脚本）攻击。

跨站点脚本（XSS）攻击是一种威胁形式，它利用Web应用程序中的漏洞来掠夺用户信息。使用恶意脚本，攻击者可以通过通常可信任的网页吸引不同的用户，并访问该用户在浏览器中记录的任何信息，包括cookie和其他敏感信息。只要Web程序接受未经验证的用户输入并随后在其输出中使用它，就可能发生这类攻击。

采取所有必要步骤来保护用户非常重要，对于XSS攻击尤其如此，因为用户可能只知道他们对您网站的使用，而不是威胁他们的恶意行为者。然后，这可能会损害您网站的声誉，因为用户会将任何问题与用户联系起来，并且可能不愿退货。

通过以下API，您不仅可以检查和验证任何输入文本，还可以通过规范化删除任何检测到的攻击，从而防御XSS攻击。实施这些API的目的不仅在于保护您的用户，还在于保护您的业务的合法性和声誉。

要使用以下任何API，首先需要通过在pom.xml中向存储库添加Jitpack引用来使用Maven安装SDK库：

 
 jitpack.io
 https://jitpack.io
 

然后，我们可以添加对依赖项的引用：

 com.github.Cloudmersive
 Cloudmersive.APIClient.Java
 v3.54

第一个API将检查任何面向用户的文本输入是否受到XSS攻击。这对于在进行威胁之前检测威胁很有用。要运行API，请如上所述安装SDK，然后调用该函数：

// Import classes:
//import com.cloudmersive.client.invoker.ApiClient;
//import com.cloudmersive.client.invoker.ApiException;
//import com.cloudmersive.client.invoker.Configuration;
//import com.cloudmersive.client.invoker.auth.*;
//import com.cloudmersive.client.TextInputApi;

ApiClient defaultClient = Configuration.getDefaultApiClient();
// Configure API key authorization: Apikey
ApiKeyAuth Apikey = (ApiKeyAuth) defaultClient.getAuthentication("Apikey");
Apikey.setApiKey("YOUR API KEY");
// Uncomment the following line to set a prefix for the API key, e.g. "Token" (defaults to null)
//Apikey.setApiKeyPrefix("Token");
TextInputApi apiInstance = new TextInputApi();
String value = "value_example"; // String | User-facing text input.
try {
 XssProtectionResult result = apiInstance.textInputCheckXss(value);
 System.out.println(result);
} catch (ApiException e) {
 System.err.println("Exception when calling TextInputApi#textInputCheckXss");
 e.printStackTrace();
}

这将返回原始输入，标准化结果，验证是否成功以及输入是否包含XSS攻击。为确保此API正常运行，您需要检查是否满足某些要求：

• 文本字符串输入正确。
• 您已经输入了API密钥。可以在Cloudmersive网站上免费检索此信息，整个API库每月提供800次调用。

第二个API通过检测和消除文本输入中的任何XSS攻击进一步向前迈进了一步。这是通过规范化执行的，该规范化从文本字符串中删除了所有重复的或无法识别的脚本。安装SDK之后，开始运行API，然后调用该函数：

// Import classes:
//import com.cloudmersive.client.invoker.ApiClient;
//import com.cloudmersive.client.invoker.ApiException;
//import com.cloudmersive.client.invoker.Configuration;
//import com.cloudmersive.client.invoker.auth.*;
//import com.cloudmersive.client.TextInputApi;
ApiClient defaultClient = Configuration.getDefaultApiClient();
// Configure API key authorization: Apikey
ApiKeyAuth Apikey = (ApiKeyAuth) defaultClient.getAuthentication("Apikey");
Apikey.setApiKey("YOUR API KEY");
// Uncomment the following line to set a prefix for the API key, e.g. "Token" (defaults to null
//Apikey.setApiKeyPrefix("Token");
TextInputApi apiInstance = new TextInputApi();
String value = "value_example"; // String | User-facing text input.
try {
 XssProtectionResult result = apiInstance.textInputProtectXss(value);
 System.out.println(result);
} catch (ApiException e) {
 System.err.println("Exception when calling TextInputApi#textInputProtectXss");
 e.printStackTrace();
}

这将返回与以前的API类似的输出，但是会删除所有检测到的XSS攻击。

最终的API执行与前两个示例相同的功能，但可用于批量检查多个输入。此API的参数应为按您喜欢的操作顺序输入的文本项的列表。与之前的两个API一样安装SDK库，然后调用该函数：

// Import classes:
//import com.cloudmersive.client.invoker.ApiClient;
//import com.cloudmersive.client.invoker.ApiException;
//import com.cloudmersive.client.invoker.Configuration;
//import com.cloudmersive.client.invoker.auth.*;
//import com.cloudmersive.client.TextInputApi;
ApiClient defaultClient = Configuration.getDefaultApiClient();
// Configure API key authorization: Apikey
ApiKeyAuth Apikey = (ApiKeyAuth) defaultClient.getAuthentication("Apikey");
Apikey.setApiKey("YOUR API KEY");
// Uncomment the following line to set a prefix for the API key, e.g. "Token" (defaults to null)
//Apikey.setApiKeyPrefix("Token");
TextInputApi apiInstance = new TextInputApi();
XssProtectionBatchRequest value = new XssProtectionBatchRequest(); // XssProtectionBatchRequest | User-facing text input.
try {
 XssProtectionBatchResponse result = apiInstance.textInputCheckXssBatch(value);
 System.out.println(result);
} catch (ApiException e) {
 System.err.println("Exception when calling TextInputApi#textInputCheckXssBatch");
 e.printStackTrace();
}

这将返回与前两个API组合在一起的相同输出，并按输入顺序为每个字符串返回一个结果。

参考：《2020最新Java基础精讲视频教程和学习路线！》