SpringBoot中如何防止XSS攻击和sql注入

已于 2024-05-23 14:51:15 修改
阅读量511 收藏 6
点赞数 4
分类专栏: Java 文章标签: spring boot xss sql
于 2024-05-23 14:50:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_77596945/article/details/138959321
版权

目录

①:创建Xss请求过滤类XssHttpServletRequestWraper

②:把请求过滤类CustomHttpServletRequestWraper添加到Filter中,注入容器

③:自定义Sql拦截器处理类

④:自定义拦截器注解

⑤自定义拦截器配置类

目录

①:创建Xss请求过滤类XssHttpServletRequestWraper

②:把请求过滤类CustomHttpServletRequestWraper添加到Filter中,注入容器

③:自定义Sql拦截器处理类

④:自定义拦截器注解

⑤:自定义拦截器配置类

对于Xss攻击和Sql注入,我们可以通过过滤器来搞定,可根据业务需要排除部分请求

以下是拦截所有加有@SqlInterceptorAnno 注解的请求,进行请求体参数转义处理

①:创建Xss请求过滤类XssHttpServletRequestWraper

此处使用CustomHttpServletRequestWrapper,主要是过滤接口进行转义字符操作

代码如下:

/**
 * HttpServlettFilter的包装类,修改sql like特殊字符
 */

public class CustomHttpServletRequestWrapper extends HttpServletRequestWrapper {

    // 保存request body的数据
    private String body;

    @SneakyThrows
    public CustomHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {
        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        body = stringBuilder.toString();

    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

    public String getBody() {
        return this.body;
    }

    // 赋值给body字段
    public void setBody(String body) {
        this.body = body;
    }

}
②:把请求过滤类CustomHttpServletRequestWraper添加到Filter中,注入容器
@WebFilter(urlPatterns = "/*")
public class SqlFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;

        CustomHttpServletRequestWrapper sqlWrapper = new CustomHttpServletRequestWrapper(httpRequest);
        //继续处理请求
        chain.doFilter(sqlWrapper, response);

    }

}
③:自定义Sql拦截器处理类
@Component
@Slf4j
public class SqlInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (handler instanceof HandlerMethod) {
            HandlerMethod handlerMethod = (HandlerMethod) handler;
            Method method = handlerMethod.getMethod();

            //方法有无加注解
            SqlInterceptorAnno annotation = method.getAnnotation(SqlInterceptorAnno.class);
            //1、没有加注解,判断所在类有没有加注解
            if(	annotation == null ){
                System.out.println(method.getName()+"方法无注解");
                annotation = method.getDeclaringClass().getAnnotation(SqlInterceptorAnno.class);
                if(annotation == null){
                    System.out.println(method.getName()+"所在类无注解");
                    return true;
                }
                System.out.println(method.getName()+"所在类有注解");
            }
            else {
                doSqlExchange(request);
            }
        }
        return true;
    }

    private void doSqlExchange(HttpServletRequest request) {
        try{
            if(request instanceof CustomHttpServletRequestWrapper) {
                CustomHttpServletRequestWrapper requestWrapper = (CustomHttpServletRequestWrapper)request;
                String body = requestWrapper.getBody();
                log.info(body);
                Map<String,Object> map= JSONUtil.parseObj(body);
                Map<String,Object> result=new LinkedHashMap<>();
                for(String key:map.keySet()){
                    Object val=map.get(key);
                    if (!val.equals(null)){
                        if(val instanceof String){
                            String newVal = (String) val;
                            if(((String) val).contains("_")){
                                newVal = newVal.replace("_", "\\_");
                            }
                            if(((String) val).contains("%")){
                                newVal = newVal.replace("%", "\\%");
                            }
                            result.put(key, newVal);
                        }
                        else {
                            result.put(key,val);
                        }
                    }else {
                        result.put(key, "");
                    }
                }
                requestWrapper.setBody(JSONObject.toJSONString(result));
            }
        }catch (Exception e){
            log.warn("fill userInfo to request body Error ", e);
        }
    }
    

}

④:自定义拦截器注解
importjava.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
*自定义过滤注解
*/

@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METH0D,ElementType.TYPE})
public @interface SqlInterceptorAnno {
String value() default "";
}
⑤:自定义拦截器配置类
@Configuration
public class SqlInterceptorConfig  implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new SqlInterceptor())
                .addPathPatterns("/**")
                .excludePathPatterns("/login", "/register");
    }

}

最后最后!!!

一定要在启动类添加扫描

@ServletComponentScan(basePackages ="全限定名")

以上仅供参考

sjm..
关注
  • 4
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
预防XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
xss攻击sql注入
03-19
xss攻击sql注入
SpringBoot防止SQL注入XSS攻击
ChuaWi98的博客
06-02 3713
SQL注入SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
基于springbootsql防注入过滤器
weixin_42023748的博客
01-06 1418
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。urlPatterns:表示过滤的范围," /* "表示过滤所有请求路径,"/project/user/login" 则表示过滤http://localhost:8080/project/user/login这个路径的请求。
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 951
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求的一些参数去...
SpringBootXSS攻击
weixin_30785593的博客
04-24 110
1 . pom增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.9.2</version> </...
SpringBootXss攻击
zhu1361的专栏
05-11 147
通过上述文章进行处理后,发现在Tomcat运行时已出现异常,排查后发现其XssFilter 需要补充实现init方法和destroy方法,不然tomcat运行war包会启动失败,记录下。
Springboot 阻止XSS攻击
热门推荐
果然的博客
11-24 1万+
Springboot阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
sql注入xss攻击springmv拦截器
07-24
sql注入xss攻击springmv拦截器,可自由调整需要拦截的字符
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,...在实际开发,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放网络应用安全项目)的最佳实践,以提升应用的整体安全性。
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
qimingzhennan_to的博客
08-15 2627
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
springbootsql注入过滤器研发踩坑总结 - HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案
qq_41980872的博客
07-18 481
这篇文章总结了一次防Sql注入过滤器开发过程踩过的坑。包括HTTP请求的输入流只能读取一次导致的Required request body is missing异常的解决方案,以及以深度优先遍历方式获取JSON字符串每一个字段的值的方式。积累经验,日拱一卒,希望能成为更好的自己~
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
最新发布
weixin_44421461的博客
05-16 160
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库的`clean`方法来过滤HTML标签。 2. 防止SQL注入:可以使用过滤器对请求参数进行过滤,将其的特殊字符进行转义,从而避免SQL注入。例如,可以使用`org.springframework.web.util.HtmlUtils.htmlEscape`方法对请求参数进行转义。 以下是一个示例过滤器的代码: ```java @Component @Order(Ordered.HIGHEST_PRECEDENCE) public class XssSqlFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; // XSS过滤 XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(req); // SQL注入过滤 SqlFilterRequestWrapper sqlRequest = new SqlFilterRequestWrapper(xssRequest); chain.doFilter(sqlRequest, response); } } ``` 其,`XssHttpServletRequestWrapper`和`SqlFilterRequestWrapper`分别是对`HttpServletRequest`的包装类,用于在请求过滤XSSSQL注入。 需要注意的是,过滤器的执行顺序可以通过实现`Ordered`接口来指定,从而保证过滤器的正确执行顺序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值