SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss防护

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量712 收藏 15
点赞数 8
分类专栏: 程序员 文章标签: spring cloud gateway xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77053710/article/details/138235052
版权 
        //从请求里获取Post请求体
        String bodyStr = resolveBodyFromRequest(serverHttpRequest);
        // 这种处理方式,必须保证post请求时,原始post表单必须有数据过来,不然会报错
        if (StringUtils.isBlank(bodyStr)) {
            logger.error("请求异常:{} POST请求必须传递参数", serverHttpRequest.getURI().getRawPath());
            ServerHttpResponse response = exchange.getResponse();
            response.setStatusCode(HttpStatus.BAD\_REQUEST);
            byte[] bytes = "{\"code\":400,\"msg\":\"post data error\"}".getBytes(StandardCharsets.UTF\_8);
            DataBuffer buffer = response.bufferFactory().wrap(bytes);
            return response.writeWith(Mono.just(buffer));
        }
        //白名单处理(看业务需求)
        boolean containsTarget = WhiteListUtils.richTextUrls.stream().anyMatch(s -> path.contains(s));
        if (containsTarget) {
            //bodyStr = XssCleanRuleUtils.xssRichTextClean(bodyStr);
            bodyStr = XssCleanRuleUtils.xssClean2(bodyStr);
        } else {
            bodyStr = XssCleanRuleUtils.xssClean(bodyStr);
        }

        URI uri = serverHttpRequest.getURI();
        URI newUri = UriComponentsBuilder.fromUri(uri).build(true).toUri();
        ServerHttpRequest request = exchange.getRequest().mutate().uri(newUri).build();
        DataBuffer bodyDataBuffer = stringBuffer(bodyStr);
        Flux<DataBuffer> bodyFlux = Flux.just(bodyDataBuffer);

        // 定义新的消息头
        HttpHeaders headers = new HttpHeaders();
        headers.putAll(exchange.getRequest().getHeaders());


        // 由于修改了传递参数,需要重新设置CONTENT\_LENGTH,长度是字节长度,不是字符串长度
        int length = bodyStr.getBytes().length;
        headers.remove(HttpHeaders.CONTENT\_LENGTH);
        headers.setContentLength(length);

        // 设置CONTENT\_TYPE
        if (StringUtils.isNotBlank(contentType)) {
            headers.set(HttpHeaders.CONTENT\_TYPE, contentType);
        }

        // 由于post的body只能订阅一次,由于上面代码中已经订阅过一次body。所以要再次封装请求到request才行,不然会报错请求已经订阅过
        request = new ServerHttpRequestDecorator(request) {
            @Override
            public HttpHeaders getHeaders() {
                long contentLength = headers.getContentLength();
                HttpHeaders httpHeaders = new HttpHeaders();
                httpHeaders.putAll(super.getHeaders());
                if (contentLength > 0) {
                    httpHeaders.setContentLength(contentLength);
                } else {
                    // this causes a 'HTTP/1.1 411 Length Required' on httpbin.org
                    httpHeaders.set(HttpHeaders.TRANSFER\_ENCODING, "chunked");
                }
                return httpHeaders;
            }

            @Override
            public Flux<DataBuffer> getBody() {
                return bodyFlux;
            }
        };

        //封装request,传给下一级
        request.mutate().header(HttpHeaders.CONTENT\_LENGTH, Integer.toString(bodyStr.length()));
        return chain.filter(exchange.mutate().request(request).build());
    } else {
        return chain.filter(exchange);
    }

}

@Override
public int getOrder() {
    return -90;
}

/\*\*

* 从Flux中获取字符串的方法
* @return 请求体
*/
private String resolveBodyFromRequest(ServerHttpRequest serverHttpRequest) {
//获取请求体
Flux body = serverHttpRequest.getBody();
AtomicReference bodyRef = new AtomicReference<>();
body.subscribe(buffer -> {
CharBuffer charBuffer = StandardCharsets.UTF_8.decode(bu

最低0.47元/天 解锁文章
伟海荣光
关注
  • 8
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Cloud Gateway 实现XSSSQL注入拦截
BUG指挥课堂
04-06 4455
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
Java web防护xss/sql注入的正确姿势
Javee的博客
08-15 1227
Java web防护xss/sql注入的正确姿势 这里以springboot搭建的微服务为例,可以在网关自定义全局拦截器,对入参进行过滤。防护的方法有很多,这里以黑名单为例,暂定项目只存在POST和GET两种传参: 自定义防XSS/SQL注入攻击网关全局过滤器 package com.javee.getway.filter; import com.javee.getway.common.constant.WebBaseConstant; import com.javee.getway.common.m
SpringCloud学习(六)----- Gatewayw网关完善(防止SQL注入
小小陈的博客
05-01 3113
SpringCloud版本:2021.0.1 SpringBoot版本:2.6.3 系列文章 SpringCloud学习(一)----- Eureka搭建 SpringCloud学习(二)----- SpringBoot Admin搭建(与Eureka整合) SpringCloud学习(三)----- Gatewayw网关搭建 SpringCloud学习(四)----- Gatewayw网关完善(限流) SpringCloud学习(五)----- Gatewayw网关完善(Resili...
java 防止XssSQL注入攻击
负数
02-14 2490
前言: 1.XSS简介 跨站脚本(cross site script)简称为XSS,是一种经常出现在web应用的计算机安全漏洞,也是web最主流的攻击方式。 XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面去,使别的用户访问都会执行相应的嵌入代码。 1.1.XSS攻击的危害 1、盗取用户资料,比如:登录帐号、网银帐号等 2、利...
Spring Cloud Gateway XSS防护大众方案实现优化
bossfriday - 个人博客
10-20 1916
Spring Cloud Gateway XSS防护大众方案优化。
Spring Cloud Gateway 过滤器实现XSS防护
qq_38866412的博客
12-13 2922
(参考:org.springframework.cloud.gateway.filter.factory.rewrite.ModifyRequestBodyGatewayFilterFactory)之前写的一版,,自己创建新DataBuffer来读取requestbody里的内容,上生产堆外内存泄露了。背景:公司项目为微服务项目,使用了SpringCloudGateway,目前有需要防护xss攻击请求的需求。
spring cloud gateway过滤xss攻击
程序员记事本
02-22 907
spring cloud实现xss攻击拦截的一种方法
SpringCloud系列之API Gateway开发手册(Hoxton版本).pdf
11-20
SpringCloud系列之API Gateway开发手册(Hoxton版本).pdf,这是一份基于SpringBoot2.x版本,SpringCloud Hoxton版本的入门教程,适合做入门教程,仅供学习参考
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
XSS脚本注入拦截框架 antisamy
04-06
XSS脚本注入拦截框架 antisamy
JSP使用过滤器防止Xss漏洞
10-17
在Web开发XSS(Cross-site scripting)漏洞是一种常见的安全威胁,允许攻击者通过注入恶意脚本到网页,从而影响用户浏览器的行为。JSP(JavaServer Pages)作为常用的服务器端动态网页技术,同样需要关注XSS...
XSS_Rays.zip_XSS Rays 下载_tool_xss扫描_xss扫描器_漏洞扫描
09-22
最近The Spanner发布了一个名为XSS Rays的 XSS漏洞扫描器。这tool有点意思,是使用JS写的,JS遍历目标的link、form,然后构造测试用例去测试,可以发现DOM的XSS(当然是在测试用例打对了的情况下)。它的调用方式也...
Spring Cloud Gateway网关XSS过滤
u010044936的博客
07-01 6544
XSS是一种经常出现在web应用的计算机安全漏洞,具体信息请自行Google。本文只分享在Spring Cloud Gateway执行通用的XSS防范。首次作文,全是代码,若有遗漏不明之处,请各位看官原谅指点。 使用版本 Spring Cloud版本为 Greenwich.SR4 Spring Boot版本为 2.1.11.RELEASE 1.创建一个Filter。特别注意的是在处理完成之后需要重新构造请求,否则后续业务无法获得参数。 import io.netty.buffer.ByteBufAllo
Spring-Cloud-Gateway-实现XSSSQL注入拦截
最新发布
lbmydream的博客
06-06 751
XSSSQL注入是Web应用常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSSSQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
springcloudgateway实现XSS过滤
05-11
Spring Cloud Gateway可以通过编写自定义的过滤器实现XSS过滤。 首先,我们需要创建一个XSS过滤器类,实现`GlobalFilter`和`Ordered`接口: ```java @Component public class XssGlobalFilter implements GlobalFilter, Ordered { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); HttpHeaders headers = request.getHeaders(); MediaType contentType = headers.getContentType(); HttpMethod method = request.getMethod(); if (contentType != null && contentType.isCompatibleWith(MediaType.APPLICATION_JSON) && HttpMethod.POST.equals(method)) { return chain.filter(exchange.mutate().request(new XssServerHttpRequest(request)).build()); } return chain.filter(exchange); } @Override public int getOrder() { return -1; } } ``` 这里,我们首先判断请求的Content-Type是否为`application/json`,并且请求方法是否为POST,如果是,则将请求的`ServerHttpRequest`替换为我们自定义的`XssServerHttpRequest`,该类继承自`ServerHttpRequestDecorator`,在该类对请求体进行XSS过滤,代码如下: ```java public class XssServerHttpRequest extends ServerHttpRequestDecorator { public XssServerHttpRequest(ServerHttpRequest delegate) { super(delegate); } @Override public Flux<DataBuffer> getBody() { Flux<DataBuffer> body = super.getBody(); return body.map(dataBuffer -> { CharBuffer charBuffer = StandardCharsets.UTF_8.decode(dataBuffer.asByteBuffer()); String bodyContent = charBuffer.toString(); // 进行XSS过滤 String filteredBodyContent = Jsoup.clean(bodyContent, Whitelist.none()); byte[] bytes = filteredBodyContent.getBytes(StandardCharsets.UTF_8); DataBuffer buffer = new DefaultDataBufferFactory().wrap(bytes); DataBufferUtils.release(dataBuffer); return buffer; }); } } ``` 在该类,我们首先将`DataBuffer`转换成`CharBuffer`,再将其转换成字符串,然后使用Jsoup对字符串进行XSS过滤,最后再将过滤后的字符串转换成`DataBuffer`返回。 最后,我们需要将这个过滤器添加Spring Cloud Gateway的过滤器链,在配置类添加: ```java @Configuration public class GatewayConfig { @Bean public XssGlobalFilter xssGlobalFilter() { return new XssGlobalFilter(); } @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() // 添加自定义路由 .route(r -> r.path("/api/**").uri("lb://service-provider")) .build(); } } ``` 这样,当请求Content-Type为`application/json`,并且请求方法为POST时,请求体的HTML标签就会被过滤掉,从而实现XSS过滤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值