springboot 中防止 XSS 攻击

最新推荐文章于 2024-09-03 18:15:29 发布
最新推荐文章于 2024-09-03 18:15:29 发布
阅读量1.5k 收藏 5
点赞数
文章标签: Java 架构 架构师 编程 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fightevery/article/details/118490264
版权
本文介绍了XSS攻击的概念及其危害,并详细探讨了在SpringBoot应用中如何防范XSS攻击,包括利用JSOUP库进行HTML节点的白名单处理,自定义Jackson的JsonDeserializer和Spring的Converter来过滤请求参数中的潜在XSS代码。
摘要由CSDN通过智能技术生成

1. 什么是XSS攻击?

XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。

2. 如何防范?

有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。

2.1 什么时候注入请求参数

常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form表单的参数

/**
         * 通过url的path,获取请求参数
         */
        @ResponseBody
        @GetMapping("/xssByGetUsingPath/{content}")
        public String testGetUsingPath(@PathVariable(name = "content") String content) {
            return content;
        }       


         /**
         * 通过url的query params获取请求数据. 方法使用简单类型进行接收
         */
        @ResponseBody
        @GetMapping("/xssByGetUsingSimple")
        public String testUsingSimple(@RequestParam(name = "content") String content) {
            return content;
        }

        /**
         * 通过url的query params获取请求数据. 方法使用model进行接收
         */
        @ResponseBody
        @GetMapping("/xssByGetUsingModel")
        public String testGetUsingModel(BaseTest.Paper paper) {
            return paper.getContent();
        }

        /**
         * 通过 form 表单的方式获取数据. 方法使用简单类型进行接收
         */
        @ResponseBody
        @PostMapping("/xssByFormPostUsingSimple")
        public String testFormPostUsingSimple(@RequestParam(name = "content") String content) {
            return content;
        }

        /**
         * 通过 form 表单的方式获取数据. 方法使用model进行参数接收
         */
        @ResponseBody
        @PostMapping("/xssByFormPostUsingModel")
        public String testFormPostUsingModel(BaseTest.Paper paper) {
            return paper.getContent();
        }

        /**
         * 通过 request body 发送 json数据
         */
        @ResponseBody
        @PostMapping("/xssByPostJsonBody")
        public String testPostJsonBody(@RequestBody BaseTest.Paper paper) {
            return paper.getContent();
        }

大家都知道,在spring mvc中处理请求的入口在 DispatcherServlet 类中,其中  doDispatch() 方法完成所有核心功能。在该主流程中,HandlerAdapter 将会对HTTP请求进行 Controller 的方法调用,以及对请求结果进行转换,并封装为 DispatcherServlet 类需要的 ModelAndView 。在这里,由于使用注解的方式进行 Controller 定义,所以 Handle

最低0.47元/天 解锁文章
Fightevery
关注
Springboot 阻止XSS攻击
web13985085406的博客
08-02 874
写此文章的目的是为了记录一下在工作解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
【安全】Springboot实现防御XSS
最新发布
m0_55928215的博客
09-03 1071
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览和使用的正常网页。当其他用户浏览这些网页时,恶意脚本就会在他们的浏览器上执行,从而可能导致信息泄露、会话劫持等严重后果。在使用springboot,类似于普通的参数parameterattributeheader一类的,可以直接使用过滤器来过滤。而前端发送回来的json字符串就没那么方便过滤了。可以考虑用自定义json消息解析器来过滤前端传递的json。/**
SpringBoot打造坚固防线:轻松实现XSS攻击防御
weixin_42132035的博客
07-06 2900
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击攻击者通过在网页注入恶意脚本代码,使这些代码在其他用户的浏览器执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 8605
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页XSS攻击是指攻击者在Web页面的输入数据插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
SpringBootXSS攻击
qq_40005100的博客
03-31 1243
Filter代码: import java.io.IOException; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; ...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot项目集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot整合XSS
03-20
springboot 整合预防xss攻击
漏洞警告:SpringBoot 该如何预防 XSS 攻击
码猿技术专栏
10-28 322
大家好,我是不才陈某~XSS 漏洞到底是什么?在前端Form表单的输入框,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个alert就起作用了来看图。那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了...
【项目实战】Spring Boot项目抵御XSS攻击
apple_51673523的博客
11-22 3864
作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。
SpringBoot 如何防护 XSS 攻击 ??
Java知音
03-12 457
文章目录XSS跨站脚本攻击①:XSS漏洞介绍②:XSS漏洞分类③:防护建议SQL注入攻击①:SQL注入漏洞介绍②:防护建议SpringBoot如何防止XSS攻击和sql注入1. XSS跨站脚本攻击①:XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是...
springboot防止XSS攻击和sql注入
02-22 2096
springboot防止XSS攻击和sql注入
Spring项目——抵御跨站脚本(XSS攻击
Huisoul的博客
11-11 2561
一、概念介绍 1、XSS攻击的危害 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实 际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种 内容。 例如用户在发帖或者注册的时候,在文本框输入 < script &gt
Jsoup清除HTML标签(非白名单)
qq_22594791的博客
10-25 447
Jsoup默认提供五种白名单: 1): none() 该API会清除所有HTML标签,仅保留文本节点。 2): simpleText() ...
springboot怎么防止xss攻击
05-22
Spring Boot提供了一些方法来防止XSS攻击: 1. 使用Thymeleaf等模板引擎进行HTML转义。 2. 使用Jsoup等HTML解析器对输入的HTML数据进行过滤。 3. 使用Spring Security框架的CSRF功能,防止跨站请求伪造攻击。 4. 在前端页面使用HttpOnly属性来防止Cookie被获取,从而减少XSS攻击的威胁。 5. 对输入的数据进行验证,确保用户输入的数据符合预期的格式,例如只允许输入特定字符或数字。 6. 避免将用户输入的数据作为HTML标签或JavaScript代码直接插入到页面,而是应该使用编码函数对其进行转义处理,例如对特殊字符进行转义。 在实际应用,我们应该综合使用上述方法来防止XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值