SpringCloud之Zuul网关过滤器,处理XSS攻击和SQL注入

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量8.9k 收藏 5
点赞数
分类专栏: Java 文章标签: SpringCloud Zuul SQL注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Irelia_/article/details/89315009
版权

编写一个过滤器SqLinjectionFilter,继承ZuulFilter

代码如下:

import com.google.gson.Gson;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.http.ServletInputStreamWrapper;
import com.yijiayi.common.bean.ResponseCode;
import com.yijiayi.common.bean.ResponseResult;
import lombok.extern.slf4j.Slf4j;
import net.sf.json.JSONObject;
import org.springframework.cloud.context.config.annotation.RefreshScope;
import org.springframework.cloud.netflix.zuul.filters.support.FilterConstants;
import org.springframework.stereotype.Component;
import org.springframework.util.StreamUtils;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.io.InputStream;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
/**
* 对请求json参数进行防sql注入过滤
*
* @create 2019-04-15
*/
@Component
@Slf4j
@RefreshScope
public class SqLinjectionFilter extends ZuulFilter {
	@Override
	public String filterType() {
		return FilterConstants.PRE_TYPE;
	}
	// 自定义过滤器执行的顺序,数值越大越靠后执行,越小就越先执行
	@Override
	public int filterOrder() {
		return FilterConstants.PRE_DECORATION_FILTER_ORDER - 2;
	}
	@Override
	public boolean shouldFilter() {
		return true;
	}
	// 执行过滤逻辑
	@Override
	public Object run() {
		RequestContext ctx = RequestContext.getCurrentContext();
		HttpServletRequest request = ctx.getRequest();
		try {
			InputStream in = ctx.getRequest().getInputStream();
			String body = StreamUtils.copyToString(in, Charset.forName("UTF-8"));
			Map<String, Object> stringObjectMap = cleanXSS(body);
			JSONObject json = JSONObject.fromObject(stringObjectMap);
			String newBody = json.toString();
			//	如果存在sql注入,直接拦截请求
			if (newBody.contains("forbid")) {
				setUnauthorizedResponse(ctx);
			}
			final byte[] reqBodyBytes = newBody.getBytes();
			ctx.setRequest(new HttpServletRequestWrapper(request){

			@Override
			public ServletInputStream getInputStream() throws IOException {
				return new ServletInputStreamWrapper(reqBodyBytes);
			}

			@Override
			public int getContentLength() {
				return reqBodyBytes.length;
			}
	
			@Override
			public long getContentLengthLong() {
				return reqBodyBytes.length;
			}
			});
		} catch (IOException e) {
			e.printStackTrace();
		}
		return null;
	}

	private Map<String, Object> cleanXSS(String value) {
		value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
		value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
		value = value.replaceAll("'", "& #39;");
		value = value.replaceAll("eval\\((.*)\\)", "");
		value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
		value = value.replaceAll("script", "");
		value = value.replaceAll("[*]","["+"*]");
		value = value.replaceAll("[+]","["+"+]");
		value = value.replaceAll("[?]","["+"?]");

		String badStr = "'|and|exec|execute|insert|select|delete|update|count|drop|%|chr|mid|master|truncate|" +
					"char|declare|sitename|net user|xp_cmdshell|;|or|+|,|like'|and|exec|execute|insert|create|drop|" +
					"table|from|grant|use|group_concat|column_name|" +
					"information_schema.columns|table_schema|union|where|select|delete|update|order|by|count|" +
					"chr|mid|master|truncate|char|declare|or|;|--|,|like|//|/|%|#";

	JSONObject json = JSONObject.fromObject(value);
	String[] badStrs = badStr.split("\\|");
	Map<String, Object> map = json;
	Map<String, Object> mapjson = new HashMap<>();
	for (Map.Entry<String, Object> entry : map.entrySet()) {
		String value1 =  entry.getValue().toString();
		for (String bad : badStrs) {
				if (value1.equalsIgnoreCase(bad)) {
					value1 = "forbid";
					mapjson.put(entry.getKey(),value1);
					break;
				} else {
					mapjson.put(entry.getKey(),entry.getValue());
				}
			}
		}
		return mapjson;
	}
	/**
	 * 设置500拦截状态
	 */
	private void setUnauthorizedResponse(RequestContext requestContext) {
		Gson gson = new Gson();
		ResponseResult jResult = ResponseResult.e(ResponseCode.TOKEN_ILLEGAL_REQUEST);
		requestContext.setResponseBody(gson.toJson(jResult));
	}
}
Irelia__
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
xss攻击字符过滤器 Java_SpringCloudZuul网关过滤器处理XSS攻击SQL注入
weixin_35742852的博客
02-24 528
编写一个过滤器SqLinjectionFilter,继承ZuulFilterjavascript代码以下:javaimport com.google.gson.Gson;import com.netflix.zuul.ZuulFilter;import com.netflix.zuul.context.RequestContext;import com.netflix.zuul.http.Serv...
SpringCloud 使用Zuul防止xss攻击sql注入
Alone5256的博客
04-15 3253
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击sql注入导入zuul的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击sql注入 导入zuul的jar包 <!--zuul--> <dependency> ...
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
最新发布
lbmydream的博客
06-06 832
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2704
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
微服务系列(5)-使用SpringCloudzuul网关实现过滤
俞兆鹏的博客
02-25 6338
一、前言 zuul网关的两大功能就是请求转发和请求过滤,上篇博客中讲解了zuul的请求转发,这篇博客将讲解zuul的请求过滤。 二、开发工具及相关版本号 开发工具 版本号 idea 2018.2.4 spring boot 2.1.3 spring cloud Greenwich.RELEASE java 1.8 三、zuul过滤器详解 包结构如下: 过滤器实现...
Spring Cloud Gateway 实现XSS、SQL注入拦截
liuerchong的博客
05-29 3484
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab configur
zuul配置请求拦截_SpringCloud整合Zuul源码分析
weixin_34665982的博客
12-12 565
回顾Zuul是通过ZuulServletFilter或者 ZuulServlet接管我们的请求Zuul整个流程如下:ZuulServletFilter(ZuulServlet) -> ZuulRunner -> FilterProcessor -> ZuulFilter目标明确SpringMVC和Zuul框架是怎么配合的引入Zuul的版本信息<properties>...
22-Spring Cloud网关Zuul&过滤器&集群方案1
08-08
总结起来,Spring Cloud Zuul作为一个强大的API网关,能够有效地处理微服务架构中的路由和过滤任务,通过自定义过滤器实现各种业务逻辑,并通过Eureka实现高可用集群。结合Nginx等工具,可以构建出稳定且安全的...
深入理解Spring Cloud Zuul过滤器
08-31
Spring Cloud Zuul是基于Netflix Zuul构建的边缘服务和API网关,它为微服务架构提供了路由、过滤和安全等功能。本文将深入探讨Zuul过滤器,包括其类型、生命周期、编写方法以及如何禁用和自定义过滤器。 1. **Zuul...
SpringCloud实战之Zuul网关服务
08-27
SpringCloud实战之Zuul网关服务 网关服务的重要性 在分布式架构中,网关服务是一个不可缺少的组成部分,它是外部网络和内部服务之间的屏障。网关服务的主要作用是保护内部服务不被外部网络攻击,同时提供统一的...
SpringCloud Zuul网关功能实现解析
08-19
SpringCloud Zuul网关功能实现解析 SpringCloud Zuul网关功能实现解析是基于 SpringCloud 生态系统的微服务架构中的一种网关解决方案。 Zuul 是 Netflix 公司开源的一个基于 Java 的 API Gateway 项目,旨在提供一...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
SpringCLoud搭建Zuul网关集群过程解析
08-24
在 pom.xml 文件中,我们需要配置 Zuul 网关的依赖项,包括 SpringCloud-starter-zuulSpringCloud-starter-eureka 两个依赖项。同时,我们还需要配置 Maven 依赖项的版本号,以便于确保依赖项的正确性。 ...
SpringCloud Zuul网关处解决XSS跨站问题
开源世界
01-28 857
1.添加过滤器 /** * 拦截防止xss注入 * * @author houxiurong * @date 2022-01-21 */ @Slf4j @Component public class XssFilter extends ZuulFilter { @Override public String filterType() { return FilterConstants.PRE_TYPE; } @Override public
Zuul网关的安全策略
javaman_baicun 的博客
11-21 938
说到安全策略,首先我们要清楚一般的网络攻击,例如XSS窃取信息、CSRF仿造请求、SQL注入模拟参数、DDos流量、资源攻击,而我们的Zuul,作为后端服务的入口,要保证网络安全,省去后端服务的安全处理。 1、网关添加过滤器,针对不同网络攻击方式,编写不同安全策略 2、XSS攻击->检查请求脚本,是否带XSS脚本,保存时进行转义 3、SQL注入->检查请求脚本,是否带SQL注入脚本,对格式,特殊符号进行处理 4、CSRF->添加token验证机制;请求是否带有ref...
sql盲注 解决_sql盲注解决方案.docx
weixin_39692245的博客
12-19 697
sql盲注解决方案sql盲注解决方案篇一:景安安全培训-SQL注入漏洞-盲注   SQL注入漏洞   一.漏洞说明   1. SQL注入定义   SQL注入攻击(SQL Injection),简称注入攻击,SQL注入是web开发中最常见的一种安全漏洞。 SQL注入漏洞可以用来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统最高权限...
SpringCloud微服务网关进行XSS攻击过滤-Zuul网关
qq_44004908的博客
01-19 2238
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 通俗来说,在新增表单里,表单内容里插入一段html或者js代码,在列表渲染时就可能执行这串js代码。这就是xss攻击
记录网关zuul处理跨域/XSS问题
C18298182575的博客
04-14 718
这种过滤器用于构建发送给微服务的请求,并使用Apache HttpClient或Netfilx Ribbon请求微服务。zuul把Request route到 用户处理逻辑 的过程中,这些filter参与一些过滤处理,比如Authentication,Load Shedding等。那么与网关处理跨域问题关系是什么,NG处理了,为什么还需要在网关处理Zuul中定义了四种标准过滤器类型,这些过滤器类型对应于请求的典型生命周期。1.PRE,前置需要处理的逻辑,跨域/XSS处理zuul的核心是一系列的。
【防注入】实践有效的网站防SQL注入(一)
MSDA的专栏
03-29 1465
几年前,网站中大多数都存在sql注入sql注入在这几年可以说已经被广大网站管理者所认知,并在搭建网站的时候都能注意到网站防注入这一问题,但为什么我们EeSafe现在收录的网站中,还是有很大一部分存在sql注入问题?我想并不是由于网站站长不知道sql注入的危害(危害我这里就不说了,大家可以去百度等搜索引擎上查找),而是由于网站对于像sql注入这样的问题的防范和发掘不够深造成的,这里我把防范sql的
spring zuul网关过滤和spring远程方法调用
04-26
Spring Zuul是一个基于Netflix Zuul实现的微服务网关,可以用于服务请求路由、负载均衡、服务过滤、API网关等。它支持对请求进行路由、请求过滤及服务聚合等一系列功能。Spring远程方法调用可以通过RMI、Hessian、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值