So eazy!SpringBoot一键去除参数前后空格和XSS过滤实战解析

于 2024-05-03 22:13:52 发布
阅读量1k 收藏 28
点赞数 15
分类专栏: 程序员 文章标签: spring boot xss 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84152189/article/details/138426156
版权

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

public void init(FilterConfig arg0) throws ServletException {

}

@Override

public void destroy() {

}

}

复制代码

添加参数过滤配置文件:

import gc.cnnvd.framework.core.filter.ParamsFilter;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import javax.servlet.DispatcherType;

@Configuration

public class ParameterTrimConfig {

/**

  • 去除参数头尾空格过滤器

  • @return

*/

@Bean

public FilterRegistrationBean parmsFilterRegistration() {

FilterRegistrationBean registration = new FilterRegistrationBean();

registration.setDispatcherTypes(DispatcherType.REQUEST);

registration.setFilter(new ParamsFilter());

registration.addUrlPatterns(“/*”);

registration.setName(“paramsFilter”);

registration.setOrder(Integer.MAX_VALUE-1);

return registration;

}

}

复制代码

处理都交给了这货:

import com.alibaba.fastjson.JSON;

import gc.cnnvd.framework.config.converter.JsonValueTrimUtil;

import gc.cnnvd.framework.util.JsoupUtil;

import org.apache.commons.io.IOUtils;

import org.apache.commons.lang3.StringUtils;

import org.springframework.http.HttpHeaders;

import org.springframework.http.MediaType;

import javax.servlet.ReadListener;

import javax.servlet.ServletInputStream;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import java.io.ByteArrayInputStream;

import java.io.IOException;

import java.nio.charset.StandardCharsets;

import java.util.HashMap;

import java.util.Iterator;

import java.util.Map;

import java.util.Set;

/**

  • @Auther linmengmeng

  • @Date 2021-03-25 15:47

  • Description : 请求参数的处理,

    1. 去除参数前后空格
    1. 过滤XSS非法字符

*/

public class ParameterRequestWrapper extends HttpServletRequestWrapper {

private Map<String , String[]> params = new HashMap<>();

public ParameterRequestWrapper(HttpServletRequest request) {

// 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似

super(request);

//将参数表,赋予给当前的Map以便于持有request中的参数

Map<String, String[]> requestMap=request.getParameterMap();

this.params.putAll(requestMap);

this.modifyParameterValues();

}

/**

  • 重写getInputStream方法 post类型的请求参数必须通过流才能获取到值

*/

@Override

public ServletInputStream getInputStream() throws IOException {

//非json类型,直接返回

if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){

return super.getInputStream();

}

//为空,直接返回

String json = IOUtils.toString(super.getInputStream(), StandardCharsets.UTF_8);

if (StringUtils.isEmpty(json)) {

return super.getInputStream();

}

Object resultObject = JsonValueTrimUtil.jsonStrTrim(json);//这里处理的是json传参的参数

ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(resultObject).getBytes(StandardCharsets.UTF_8));

return new CustomServletInputStream(bis);

}

/**

  • 将parameter的值去除空格后重写回去

*/

public void modifyParameterValues(){

Set set = params.keySet();

Iterator it = set.iterator();

while(it.hasNext()){

String key = it.next();

String[] values = params.get(key);

values[0] = values[0].trim();

values[0] = JsoupUtil.clean(values[0]);//这里处理的是form传参的参数

params.put(key, values);

}

}

/**

  • 重写getParameter 参数从当前类中的map获取

*/

@Override

public String getParameter(String name) {

String[]values = params.get(name);

if(values == null || values.length == 0) {

return null;

}

return values[0];

}

/**

  • 重写getParameterValues

*/

@Override

public String[] getParameterValues(String name) {//同上

return params.get(name);

}

class CustomServletInputStream extends ServletInputStream{

private ByteArrayInputStream bis;

public CustomServletInputStream(ByteArrayInputStream bis){

this.bis=bis;

}

@Override

public boolean isFinished() {

return true;

}

@Override

public boolean isReady() {

return true;

}

@Override

public void setReadListener(ReadListener listener) {

}

@Override

public int read() throws IOException {

return bis.read();

}

}

}

复制代码

上面form传的参数直接处理了,那么要是JSON传的参数,就要借助下面的工具类了:

import cn.hutool.json.JSONTokener;

import com.alibaba.fastjson.JSONArray;

import com.alibaba.fastjson.JSONObject;

import gc.cnnvd.framework.util.JsoupUtil;

import org.apache.commons.lang3.StringUtils;

import java.util.Map;

import java.util.Set;

/**

  • @Auther linmengmeng

  • @Date 2021-03-25 15:47

    1. 去除Json字符串中的属性值前后空格的工具类
    1. 去除 XSS 攻击字符

*/

public class JsonValueTrimUtil {

public static Object jsonStrTrim(String jsonStr){

if (StringUtils.isBlank(jsonStr)){

return “”;

}

Object typeObject = new JSONTokener(jsonStr).nextValue();

if (typeObject instanceof cn.hutool.json.JSONObject){

return jsonObjectTrim(JSONObject.parseObject(jsonStr));

}

if (typeObject instanceof cn.hutool.json.JSONArray){

return jsonArrayTrim(JSONArray.parseArray(jsonStr));

}

jsonStr = JsoupUtil.clean(jsonStr);

return jsonStr.trim();

}

/**

  • @Description: 传入jsonObject 去除当中的空格

  • @param jsonObject

  • @return

*/

public static JSONObject jsonObjectTrim(JSONObject jsonObject){

// 取出 jsonObject 中的字段的值的空格

Set<Map.Entry<String, Object>> entrySets = jsonObject.entrySet();

entrySets.forEach(entry -> {

Object value = entry.getValue();

if (value == null){

return;

}

if (value instanceof String) {

String resultValue = (String) value;

if (StringUtils.isNotBlank(resultValue)){

resultValue = resultValue.trim();

resultValue = JsoupUtil.clean(resultValue);

jsonObject.put(entry.getKey(), resultValue);

}

return;

}

if (value instanceof JSONObject){

jsonObject.put(entry.getKey(), jsonObjectTrim((JSONObject) value));

return;

}

if (value instanceof JSONArray){

jsonObject.put(entry.getKey(), jsonArrayTrim((JSONArray) value));

return;

}

});

return jsonObject;

}

/**

  • @Description: 将 jsonarry 的jsonObject 中的value值去处前后空格

  • @param arr

  • @return

*/

public static JSONArray jsonArrayTrim(JSONArray arr){

if( arr != null && arr.size() > 0){

Object tempObject = null;

for (int i = 0; i < arr.size(); i++) {

tempObject = arr.get(i);

if (tempObject instanceof String){

arr.set(i, tempObject );

continue;

}

JSONObject jsonObject = (JSONObject) arr.get(i);

// 取出 jsonObject 中的字段的值的空格

jsonObject = jsonObjectTrim(jsonObject);

arr.set(i, jsonObject );

}

}

return arr;

}

}

复制代码

测试一下:

import gc.cnnvd.framework.common.api.ApiResult;

import gc.cnnvd.framework.log.annotation.OperationLogIgnore;

import io.swagger.annotations.Api;

import io.swagger.annotations.ApiModel;

import io.swagger.annotations.ApiModelProperty;

import io.swagger.annotations.ApiOperation;

import lombok.Data;

import lombok.experimental.Accessors;

import lombok.extern.slf4j.Slf4j;

import org.springframework.validation.annotation.Validated;

import org.springframework.web.bind.annotation.PostMapping;

import org.springframework.web.bind.annotation.RequestBody;

import org.springframework.web.bind.annotation.RequestMapping;

分享

这次面试我也做了一些总结,确实还有很多要学的东西。相关面试题也做了整理,可以分享给大家,了解一下面试真题,想进大厂的或者想跳槽的小伙伴不妨好好利用时间来学习。学习的脚步一定不能停止!

薪酬缩水,“裸辞”奋战25天三面美团,交叉面却被吊打,我太难了

Spring Cloud实战

薪酬缩水,“裸辞”奋战25天三面美团,交叉面却被吊打,我太难了

Spring Boot实战

薪酬缩水,“裸辞”奋战25天三面美团,交叉面却被吊打,我太难了

面试题整理(性能优化+微服务+并发编程+开源框架+分布式)
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!
g.springframework.web.bind.annotation.PostMapping;

import org.springframework.web.bind.annotation.RequestBody;

import org.springframework.web.bind.annotation.RequestMapping;

分享

这次面试我也做了一些总结,确实还有很多要学的东西。相关面试题也做了整理,可以分享给大家,了解一下面试真题,想进大厂的或者想跳槽的小伙伴不妨好好利用时间来学习。学习的脚步一定不能停止!

[外链图片转存中…(img-GJWYsUCh-1714745621517)]

Spring Cloud实战

[外链图片转存中…(img-RX0s4hzv-1714745621518)]

Spring Boot实战

[外链图片转存中…(img-Pdjtc2WS-1714745621518)]

面试题整理(性能优化+微服务+并发编程+开源框架+分布式)
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门,即可获取!

2401_84152189
关注
  • 15
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
G-Eazy Wallpapers New Tab Theme-crx插件
03-17
在每个新标签页上都包含说唱歌手G-Eazy的高清图像 对于嘻哈说唱Hoodie Allen Childish Gambino和其他人的粉丝。 在每个新标签页上都包含说唱歌手G-Eazy的高清图像。 对于嘻哈,说唱,连帽衫艾伦,幼稚的甘比诺等人的...
关于springboot去除参数中前后空格说明
酸奶盖儿的博客
04-22 5916
1. 需求 使用SpringBoot使用过滤去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再封装到对象中,正好项目中有这个需要,所以就参考别的做了Post请求中针对application/json格式的有@RequestBody注解的参数进行了去空格处理 2. 解决方法 2.1
高能来袭!SpringBoot一键去除参数前后空格XSS过滤实战解析
m0_72101998的博客
06-20 2060
去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号 转义,到接口里面拿到的参数就变成了 ,存库里面的就是转义后的字符串了。取出来的时候需要转一下。比如前台传的参数传的是: 123alter('11111111')455过滤处理了后,到后台接口里面就成了: [123455]如果上面的结果能接受,那么这个工具类就可以用。引入依赖 jsoup ......
springBoot 配置接收 String 参数自动去除前后空格
最新发布
weixin_45947759的博客
02-21 1641
ps:在接收String类型参数时,前后可能存在一些空格,如果未曾去除就直接保存的话,可能会对一些特殊的业务场景造成致命影响。为了杜绝这种情况,需要在接收参数时进行前后空格清除处理。
SpringBoot去除字符串类型参数的前后空格
淋雨一直走啊
09-07 7657
在实际的开发过程中,经常会使用String类型的参数,而用户提交给后端的字符串可以说五花八门,""," “,” 123456","123456 “,”  123456 "等等。如果不对这些空格进行处理,不仅会浪费存储空间,还会引起一些不必要的麻烦。 接收String类型的参数通常两种方式: ①.使用url或者form表单的形式 对于这种情况,我们在参数绑定时注册下面的类即可: @RestControllerAdvice public class GlobalHandler { private st
SpringBoot-Controller入参去除前后空格
imVainiycos的博客
05-08 2607
面临测试需求存在着用户输入的参数前后空格需要统一做去除,所以找个通用的解决方案进行统一处理。若需要处理一些特殊字符,例如%字符会穿透like查询查出所有记录的解决方案,可以参考该文,
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5423
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
springboot使用过滤器,实现对请求参数空格处理
热门推荐
my博客
11-07 1万+
springboot添加过滤器有两种方式: 1、通过创建FilterRegistrationBean的方式(建议使用此种方式,统一管理,且通过注解的方式若不是本地调试,如果在filter中需要增加cookie可能会存在写不进前端情况) 2、通过注解@WebFilter的方式 通过创建FilterRegistrationBean的方式创建多个filter以及设置执行顺序: 1、创建两个实现Filt...
Eazy4U-开源
05-12
Eazy4U开源软件详解】 Eazy4U是一款开源的WebPHP编辑器,专为MySQL数据库管理设计,提供了一种直观且用户友好的界面,使得数据库操作变得简单易行。这款工具的主要目标是帮助用户方便地查看和创建数据库表,同时...
Api-Eazy-Sound-Manager.zip
09-18
Api-Eazy-Sound-Manager.zip,eazy sound manager是一个简单的unity3d工具,旨在使游戏中的声音和音乐管理更容易。eazy sound manager是一个简单的unity3d工具,旨在使游戏中的声音和音乐管理更容易。现在播放单个...
Nutch Eazy-开源
06-27
Provide an easy way to install and setup the web search engine, Nutch. NutchEz 顧名思義就是Nutch Easy,只要安裝NutchEz後就,再加上幾個指令,就可以輕鬆的產生出你自己的搜尋引擎囉! ...
Eazy Home-crx插件
04-04
语言:English 通过同时搜索您喜欢的网站来找到...Eazy Home使用简单,直观-选择国家/地区并选择所需的所有过滤器以找到理想的位置-启用或禁用要搜索的所有站点-单击按钮将立即在所有选定站点中搜索,打开一个站点标签
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4001
Springboot配置XSS过滤XssFilter
spring boot 过滤去除请求参数前后空格
知了的博客
09-26 7863
         需求:去除用户表单参数中由于用户不小心输入的前后空格,防止因为前后空格原因引起业务异常          实现方式一:前端参数传入的时候去除首尾空格          实现方式二:后端接收参数参数处理,去除参数首尾空格后再做其他业务          实现方式三:利用Filter处理所有的请求,去除请求参数首尾空格重新写回            很明显实现方式一和...
Spring Boot演示过滤去除请求参数首尾空格(含源码)
java牛牛的博客
03-03 1966
Github代码 需求:去除用户表单参数中由于用户不小心输入的前后空格,防止因为前后空格原因引起业务异常 实现方式一:前端参数传入的时候去除首尾空格 实现方式二:后端接收参数参数处理,去除参数首尾空格后再做其他业务 实现方式三:利用Filter处理所有的请求,去除请求参数首尾空格重新写回 HttpServletRequest 提供的获取参数的方法: String getParameter(S...
SpringBoot 防护XSS攻击
Wcybaonier
04-12 3440
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
spring cloud gateway中过滤xss攻击
程序员记事本
02-22 916
spring cloud中实现xss攻击拦截的一种方法
eazy-sql报错注入
06-03
你好,很抱歉听到你的代码出现了注入问题。通常情况下,避免 SQL 注入的方法是使用参数化查询。具体来说,使用参数化查询可以将用户输入的数据与 SQL 查询语句分开,从而避免恶意用户在输入时注入恶意 SQL 代码。 如果你使用的是 eazy-sql,可以在查询时使用 "?" 占位符来代替用户输入的数据,然后在执行查询时将占位符替换为具体的值即可。例如: ``` const username = req.body.username; const password = req.body.password; const sql = "SELECT * FROM users WHERE username = ? AND password = ?"; const result = await db.query(sql, [username, password]); ``` 这样可以有效避免 SQL 注入攻击。同时,在接收用户输入时,也应该进行必要的过滤和验证,确保输入的数据符合预期的格式和范围。 希望这些信息能帮到你解决问题。如果你还有其他问题或需要进一步的帮助,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值