springMVC使用Antisamy防御XSS配置(包括请求黑白名单)

最新推荐文章于 2022-12-29 22:23:12 发布
最新推荐文章于 2022-12-29 22:23:12 发布
阅读量1k 收藏 1
点赞数
分类专栏: java 文章标签: xss java springmvc 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Abdulaziz_Dev/article/details/122370232
版权

AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。

1、maven依赖

	<dependency>
		<groupId>org.owasp.antisamy</groupId>
		<artifactId>antisamy</artifactId>
		<version>1.6.2</version>
	</dependency>

2、选择策略文件

AntiSamy对“恶意代码”的过滤依赖于策略文件,详细的可以查下资料哦。
在AntiSamy的jar包中,包含了几个常用的策略文件,我就以"antisamy-ebay.xml"为例。
在这里插入图片描述

3、XSS过滤器

package com.security.filter;

import com.security.wrapper.XssRequestWrapper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.util.AntPathMatcher;
import org.springframework.util.PathMatcher;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class XssFilter implements Filter {

    private FilterConfig config;

    private final PathMatcher pathMatcher = new AntPathMatcher();
    private static final Logger LOGGER = LoggerFactory.getLogger(XssFilter.class);
    private final String[] NULL_STRING_ARRAY = new String[0];
    private final String URL_SPLIT_PATTERN = "[, ;\r\n]";//逗号  空格 分号  换行

    /**
     * 白名单
     */
    private String[] whiteListURLs = null;

    /**
     * 黑名单
     */
    private String[] blackListURLs = null;


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.config = filterConfig;
        this.initConfig();
        this.init();
    }

    public void init() throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String currentURL = httpRequest.getServletPath();

        if (isWhiteURL(currentURL)) {
            doFilter(httpRequest, httpResponse, chain);
            return;
        }
        LOGGER.info(" 拦截请求,处理XSS过滤 当前 url : [{}]", currentURL);
        // 拦截请求,处理XSS过滤
        chain.doFilter(new XssRequestWrapper((HttpServletRequest)request), response);
        return;
    }
    /**
     * 子类覆盖
     *
     * @param request
     * @param response
     * @param chain
     * @throws IOException
     * @throws ServletException
     */
    public void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        chain.doFilter(request, response);
    }
    @Override
    public void destroy() {
        this.config = null;
    }

    private boolean isWhiteURL(String currentURL) {
        for (String whiteURL : whiteListURLs) {
            if (pathMatcher.match(whiteURL, currentURL)) {
                return true;
            }
        }
        return false;
    }

    private boolean isBlackURL(String currentURL) {
        for (String blackURL : blackListURLs) {
            if (pathMatcher.match(blackURL, currentURL)) {
                return true;
            }
        }
        return false;
    }
    private void initConfig() {
        String whiteListURLStr = this.config.getInitParameter("whiteListURL");
        whiteListURLs = strToArray(whiteListURLStr);

        String blackListURLStr = this.config.getInitParameter("blackListURL");
        blackListURLs = strToArray(blackListURLStr);

    }

    private String[] strToArray(String urlStr) {
        if (urlStr == null) {
            return NULL_STRING_ARRAY;
        }
        String[] urlArray = urlStr.split(URL_SPLIT_PATTERN);

        List<String> urlList = new ArrayList<String>();

        for (String url : urlArray) {
            url = url.trim();
            if (url.length() == 0) {
                continue;
            }

            urlList.add(url);
        }

        return urlList.toArray(NULL_STRING_ARRAY);
    }

    public FilterConfig getConfig() {
        return config;
    }
}

4、自定义的XSS请求装饰器

装饰器模式加强对request的处理,基于AntiSamy进行XSS防御

package com.security.wrapper;

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.text.StringEscapeUtils;
import org.owasp.validator.html.*;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.util.Map;
import java.util.Objects;

/**
 * @description 装饰器模式加强对request的处理,基于AntiSamy进行XSS防御
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {

    private static final Logger LOGGER = LoggerFactory.getLogger(XssRequestWrapper.class);
    private static Policy policy = null;

    static {
        try {
            // 获取策略文件路径,策略文件需要放到项目的classpath下
            String antiSamyPath = Objects
                    .requireNonNull(XssRequestWrapper.class.getClassLoader().getResource("antisamy/antisamy-ebay.xml")).getFile();
            LOGGER.info(antiSamyPath);
            // 获取的文件路径中有空格时,空格会被替换为%20,在new一个File对象时会出现找不到路径的错误
            // 对路径进行解码以解决该问题
            antiSamyPath = URLDecoder.decode(antiSamyPath, "utf-8");
            LOGGER.info(antiSamyPath);
            // 指定策略文件
            policy = Policy.getInstance(antiSamyPath);
        } catch (UnsupportedEncodingException | PolicyException e) {
            e.printStackTrace();
        }
    }

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 过滤请求头
     *
     * @param name 参数名
     * @return 参数值
     */
    @Override
    public String getHeader(String name) {
        String header = super.getHeader(name);
        // 如果Header为空,则直接返回,否则进行清洗
        return StringUtils.isBlank(header) ? header : xssClean(header);
    }

    /**
     * 过滤请求参数
     *
     * @param name 参数名
     * @return 参数值
     */
    @Override
    public String getParameter(String name) {
        String parameter = super.getParameter(name);
        // 如果Parameter为空,则直接返回,否则进行清洗
        return StringUtils.isBlank(parameter) ? parameter : xssClean(parameter);
    }

    /**
     * 过滤请求参数(一个参数可以有多个值)
     *
     * @param name 参数名
     * @return 参数值数组
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues != null) {
            int length = parameterValues.length;
            String[] newParameterValues = new String[length];
            for (int i = 0; i < length; i++) {
                LOGGER.info("AntiSamy清理之前的参数值:" + parameterValues[i]);
                // 清洗参数
                newParameterValues[i] = xssClean(parameterValues[i]);
                LOGGER.info("AntiSamy清理之后的参数值:" + newParameterValues[i]);
            }
            return newParameterValues;
        }
        return super.getParameterValues(name);
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> requestMap = super.getParameterMap();
        requestMap.forEach((key, value) -> {
            for (int i = 0; i < value.length; i++) {
                LOGGER.info(value[i]);
                value[i] = xssClean(value[i]);
                LOGGER.info(value[i]);
            }
        });
        return requestMap;
    }

    /**
     * 使用AntiSamy清洗数据
     *
     * @param value 需要清洗的数据
     * @return 清洗后的数据
     */
    private String xssClean(String value) {
        try {
            AntiSamy antiSamy = new AntiSamy();
            // 使用AntiSamy清洗数据
            final CleanResults cleanResults = antiSamy.scan(value, policy);
            // 获得安全的HTML输出
            value = cleanResults.getCleanHTML();
            // 对转义的HTML特殊字符(<、>、"等)进行反转义,因为AntiSamy调用scan方法时会将特殊字符转义
            return StringEscapeUtils.unescapeHtml4(value);
        } catch (ScanException | PolicyException e) {
            e.printStackTrace();
        }
        return value;
    }

    /**
     * 通过修改Json序列化的方式来完成Json格式的XSS过滤
     */
    public static class XssStringJsonSerializer extends JsonSerializer<String> {

        @Override
        public Class<String> handledType() {
            return String.class;
        }

        @Override
        public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
            if (!StringUtils.isBlank(value)) {
                try {
                    AntiSamy antiSamy = new AntiSamy();
                    final CleanResults cleanResults = antiSamy.scan(value, XssRequestWrapper.policy);
                    gen.writeString(StringEscapeUtils.unescapeHtml4(cleanResults.getCleanHTML()));
                } catch (ScanException | PolicyException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

5、web.xml

黑白名单说明:

  • 黑名单可以不用设置
  • 白名单是不会被拦截的,如果某些请求不需要被拦截,那么可以放入白名单内。每条链接需要用逗号 空格 分号 换行 隔开。
<!-- XSS -->
    <filter>
        <filter-name>XSSFilter</filter-name>
        <filter-class>com.security.filter.XssFilter</filter-class>
        <init-param>
            <param-name>blackListURL</param-name>
            <param-value>
                /blackListURL
            </param-value>
        </init-param>
        <init-param>
            <param-name>whiteListURL</param-name>
            <param-value>
                /whiteListURL/**
            </param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>XSSFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
Abdulaziz02
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于Antisamy项目实现XSS攻击
aqsswe的博客
10-23 1140
最近项目上线,请第三方公司进行了一次渗透性测试,被发现存在多处XSS攻击。由于我们对于URL的Get请求已经通过URLFilter进行了特殊字符过滤,Get请求的漏洞已经被封堵,但是对于Post请求考虑到我们项目存在表单提交,富文本编辑等功能,不敢贸然的使用Filter对关键字进行过滤。 为了解决上述问题,我们采用了OWASP的一个开源的项目AntiSamy来彻底解决XSS攻击问题。AntiSa
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamyOWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御
antisamy-sample-configs-1.4.4.jar(antisamy策略文件)
12-20
官网下载,包括以下策略文件: antisamy.xml antisamy-anythinggoes.xml antisamy-ebay.xml antisamy-myspace.xml antisamy-slashdot.xml antisamy-tinymce.xml 将jar包解压即可使用
SpringMvc使用注解的方式添加白名单
wb785074651的博客
06-28 1764
最近,要和别的同事进行接口调试,然后暴露的接口不要登录验证.需要在拦截器的方法中添加一个白名单. 1.先编写接口PassPath @Documented @Target({ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) public @interface UrlPass { } 2.在需要的方法上面添加注解@PassPath 3.在拦截器中对注解进行处理 @Override public boolean preHandl
antisamy xml
09-29
XML简介参考 http://blog.csdn.net/zhoubiyin/article/details/78136096
antisamy java_AntiSamy解决XSS攻击
weixin_39901332的博客
02-16 188
1、下载jar包2、下载策略文件(里面有各个版本的策略文件)3、自定义过滤器import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;im...
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
详解SpringMVC拦截配置使用方法
08-29
本篇文章主要介绍了SpringMVC拦截配置使用方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
使用注解开发SpringMVC详细配置教程
09-07
总结来说,本教程涵盖了使用注解开发SpringMVC的基本步骤,包括项目的创建、依赖管理、`web.xml`配置以及`springmvc-servlet.xml`的配置。通过这种方式,你可以快速地搭建起一个基于注解的SpringMVC应用,减少XML...
详解SpringMVC的url-pattern配置及原理剖析
08-19
SpringMVC 框架中的 url-pattern 配置是指在 web.xml 文件中对 DispatcherServlet配置,用于确定哪些 URL 请求将被 SpringMVC 框架所处理。在本文中,我们将详细介绍 SpringMVC 的 url-pattern 配置及原理剖析,...
ZeroTier One v1.4.4.rar
02-13
zerotier强大的免费组网,小米安卓手机组网虚拟网延时500sm左右,手机系统不支持这app吗?其它客户端正常
springMVC使用Ajax请求数据
08-10
配置好项目的Web服务器(如Tomcat),然后运行项目,通过浏览器访问页面,测试Ajax请求是否正常工作。 通过以上步骤,你可以实现SpringMVC和Ajax的结合使用,从而在不刷新页面的情况下,动态地获取和展示数据。这种...
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3404
AntisamyXSS防御)的学习 此教程基于马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS
XSS 防御实现antisamy
Sun
03-29 206
antisamy配置以及使用实现XSS防御:https://blog.csdn.net/ru_li/article/details/51334082
spring mvc 文件上传漏洞修复,拦截白名单过滤
天码星空
08-20 1971
1.配置白名单配置文件中配置白名单列表 UploadFile.Extention=doc,docx,eml,htm,html,jpg,mht,msg,png,ppt,pptx,rar,txt,xls,xlsx,zip,pdf,jpeg,gif 2.拦截器 public class FileShellInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(HttpServlet
XSS跨站攻击解决办法--AntiSamy配置使用
flying_pig1989的博客
01-24 4180
XSS跨站攻击         跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS分为:存储型和反射型
SpringMVC笔记
qq_44619964的博客
02-23 176
###1.——————————————————————SpringMVC的作用 SpringMVC解决了V-C交互的问题,即:客户端如何将请求发给服务器端的控制器,并控制器能够接收到这些 请求请求的参数等,当控制器处理完这个请求之后,还能够以转发、重定向或其他方式向客户端进行响应 在传统的java EE项目中,是使用Servlet作为控制器的,并且每种请求对应1个Servlet,例如用户尝试 注...
【SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1581
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
使用antisamy防止xss注入
weixin_34148456的博客
06-10 441
2019独角兽企业重金招聘Python工程师标准>>> ...
springmvc中的RedirectView怎么使用post请求进行跳转
最新发布
06-08
在 Spring MVC 中,`RedirectView` 默认使用 GET 请求进行重定向。如果需要使用 POST 请求进行重定向,则可以通过设置 `RedirectView` 的 `statusCode` 属性来达到目的。 具体操作步骤如下: 1. 在控制器方法中,使用 `RedirectView` 返回重定向视图。 ```java @RequestMapping(value = "/redirect", method = RequestMethod.POST) public RedirectView redirect() { RedirectView redirectView = new RedirectView("/target-url"); redirectView.setStatusCode(HttpStatus.MOVED_PERMANENTLY); return redirectView; } ``` 2. 在 JSP 页面中,使用表单提交 POST 请求。 ```html <form method="post" action="${pageContext.request.contextPath}/redirect"> <!-- 表单控件 --> </form> ``` 此时,当用户提交表单时,将会向 `/redirect` 这个 URL 发送一个 POST 请求,然后服务器会返回一个 301 或 302 状态码,告诉浏览器需要使用 POST 请求重定向到 `/target-url` 这个 URL。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Abdulaziz02

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值