ruoyi cloud框架使用自定义@Xss注解来做Xss校验

已于 2022-04-05 21:40:51 修改
阅读量2.7k 收藏 10
点赞数 1
分类专栏: spring java基础 文章标签: spring
于 2022-04-02 22:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KaiKaiWaWa/article/details/123924096
版权

使用自定义@Xss注解来做Xss校验

使用自定义@Xss注解来做Xss校验

1.什么是XSS攻击

XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以 CSS 命名,但是CSS与大家熟知的 层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。

XSS通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

比如我们在注册用户的时候,给用户别名取名:

<script>
alert("弹出弹出!");
</script>

如果后台未做相关处理,当浏览器显示用户名时就会有alert弹出,当然这只是一个简单的例子。

2.自定义Xss校验注解

我们需要校验Xss,所以我们自定义一个@Xss注解,并且使用@Constraint修饰它。如下的代码是从ruoyi cloud中复制过来的:

import javax.validation.Constraint;
import javax.validation.Payload;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
/**
 * 自定义xss校验注解
 * 
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
    String message()

    default "不允许任何脚本运行";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

@Constraint(validatedBy = { XssValidator.class })其中的validatedBy属性指定了需要进行校验的策略类集合,这是一个数组。
XssValidator.class是自定义的校验器,具体的逻辑由这个校验器来完成。

3.编写自定义校验器

校验类需要实现ConstraintValidator接口,源代码如下:

package javax.validation;

import java.lang.annotation.Annotation;

public interface ConstraintValidator<A extends Annotation, T> {
    default void initialize(A constraintAnnotation) {
    }

    boolean isValid(T var1, ConstraintValidatorContext var2);
}

ConstraintValidator接口使用了泛型,需要指定两个参数,第一个是自定义注解类,第二个是需要校验的数据的类型。
实现接口后可以重写两个方法,分别为initialize方法和isValid方法。其中initialize为初始化方法,可以在里面做一些初始化操作,isValid方法就是我们最终需要的校验方法了。可以在该方法中实现具体的校验步骤。具体例子如下:

import java.util.regex.Matcher;
import java.util.regex.Pattern;
import javax.validation.ConstraintValidator;
import javax.validation.ConstraintValidatorContext;

/**
 * 自定义xss校验注解实现
 * 
 * @author ruoyi
 */
public class XssValidator implements ConstraintValidator<Xss, String>
{
    private static final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        if (StringUtils.isBlank(value))
        {
            return true;
        }
        return !containsHtml(value);
    }

    public static boolean containsHtml(String value)
    {
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        return matcher.matches();
    }
}

4.使用自定义Xss注解

接下来需要将定义的Xss注解放在字段或者方法的上方,就可以使用该注解来校验属性了。我这里以ruoyi cloud为例:

4.1 实体类属性上加注解

public class SysUser extends BaseEntity
{
....
    @Xss(message = "用户昵称不能包含脚本字符")
    @Size(min = 0, max = 30, message = "用户昵称长度不能超过30个字符")
    public String getNickName()
    {
        return nickName;
    }
}

4.2 Controller请求类调用

需要去Controller的方法上,给参数SysUser类加上@Validated来修饰,这样校验就可以生效了。

    @PostMapping("/add")
    @ResponseBody
    public AjaxResult addSave(@Validated SysUser user)
    {
        ......
    }

4.3 处理异常

在valid校验中,如果校验不通过,会产生BindException异常,捕捉到异常后可以获取到defaultMessage也就是自定义注解中定义的内容。在上面的例子中,我们是自己手动传递了message参数。

这一步我们需要定义一个全局异常处理器,当产生BindException异常

import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;

@RestControllerAdvice
public class GlobalExceptionHandler{
    ......
    /**
     * 自定义验证异常
     */
    @ExceptionHandler(BindException.class)
    public AjaxResult handleBindException(BindException e)
    {
        log.error(e.getMessage(), e);
        String message = e.getAllErrors().get(0).getDefaultMessage();
        return AjaxResult.error(message);
    }
}

@RestControllerAdvice相当于@ControllerAdvice@ResponseBody

@Target({ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
@ControllerAdvice
@ResponseBody
public @interface RestControllerAdvice {
...
}

@ControllerAdvice,是Spring3.2提供的新注解,它是一个Controller增强器,可对controller中被@RequestMapping注解的方法加一些逻辑处理。最常用的就是异常处理。

然后配合@ExceptionHandler指定处理方法,当将异常抛到controller时,可以对异常进行统一处理,规定返回的json格式。

上面代码中AjaxResult是封装的返回给前端json数据的类,包括了状态码code、返回内容msg、数据对象data。这个在很多开源项目中很常见,用于前后端分离的项目。

不如打代码KK
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PDF内带脚本Xss安全测试和整改(若依架构)
qq_41816505的博客
06-14 469
也可以自己编辑,我给大家上传一个方便测试。
自定义校验注解框架(validator)
04-18
自定义注解参数校验框架,根据项目开发中参数校验情况手写一套框架,供大家学习参考使用。可以直接运用在项目中,如果漏洞请留言,小编会第一时间修复,如果好用请给个好评,谢谢。
校验是否有xss注入\xss过滤\防止恶意url\处理安全漏洞扫描出来的json注入
Pandora_417的博客
05-14 134
【代码】校验是否有xss注入\xss过滤\防止恶意url\处理安全漏洞扫描出来的json注入。
RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 3344
简单分析 XSS 过滤器以及 @Xss 注解
java 自定义xss校验注解实现
王威振的博客
08-08 1086
ApiModelProperty(name = "keyword",value = "搜索关键词")@ApiModelProperty(name = "sdgId",value = "sdg主键id")会自动针对某些增加了@Xss字符进行校验。如果想增加sql注入校验。然后在控制层中增加@Validated注解校验就可以了。default "不允许任何脚本运行";具体使用在某个字段上加上注解自定义一个注解@Xss。* 自定义xss校验注解实现。* 自定义xss校验注解
Ruoyi自定义注解参数验证及异常抛出
dragonwuzilobg的博客
10-20 318
小白的尝试
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2423
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 5184
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
ruoyi-cloud前端工程,使用ant design vue框架
11-04
Ruoyi-Cloud是一款基于Ant Design Vue框架的前端工程,主要应用于web应用开发,特别是后台管理系统的设计和构建。Ant Design Vue是阿里巴巴推出的一款Vue.js组件库,它将Ant Design的设计理念与Vue.js的轻量、易用性...
ruoyi-cloud项目的上云 关于kubesphere的使用细节
05-23
总结来说,ruoyi-cloud项目上云的关键步骤包括:阿里云镜像服务的使用、Kubernetes集群的搭建、数据库服务(如MySQL)的配置与迁移、Nacos的配置以及服务间的网络通信调整。掌握这些步骤,可以确保ruoyi-cloud项目...
RuoYiCloud.rar
08-20
RuoYiCloud可能会采用Quartz或Spring Task等任务调度框架,开发者可以自定义调度策略,灵活地安排任务执行。 总的来说,RuoYiCloud是一个全面的云平台,集成了多种企业级功能,并通过Sentinel增强了微服务架构的...
若依框架RuoYi-Cloud 微服务版本)
08-30
若依框架RuoYi-Cloud 微服务版本)140节视频教程【399元原版视频,高清无水印】
基于Ruoyi-Cloud版本改造的的多租户SaaS开发框架
06-03
基于Ruoyi-Cloud版本改造的的多租户SaaS开发框架。 首先感谢若依提供的开源支持!请大家继续关注若依项目! 本项目基于 RuoYi-Cloud 进行二次开发的租户版本 目标在于精简脚手架,致力于中小企业的快速开发项目搭建,...
关于自定义标签引起的XSS
angry_program的博客
05-22 723
前言 在渗透测试XSS(跨站脚本攻击)漏洞的时候, 有一些网站为了防护XSS, 将所有可以禁止的tag、event都禁止了, 但这还不是绝对安全的, 如果网站会将自定义的标签写入网页的话, 还是可能引起XSS的, 也就是本文谈到的内容。 接下来以一个XSS靶场为例。 Fuzz 测试伊始, 当然是寻找waf允许的标签以及事件类型, 这里本人采用burpsuite的intruder来Fuzz, 看看是否存在某些tag或者event是可行的。 1. 设置一下需要Fuzz的参数, 注意需要在<.
使用自定义参数注解验证异常报错
qq_53480941的博客
10-24 612
在若依代码中我可以发现:存在多处自定义参数的注解,其中有很多地方被用于一个参数异常与否的检验。我们可以试着举例:若依代码中的Xss就是一个自定义注解模块:Xss:负责设置作用域和内置属性。 XssValidator:编写校验规则XssValidator类。 实例展示:在domain层的entity中负责实体类中使用这个注解
XSS详解
qq_39511050的博客
09-15 2802
XSS跨站脚本攻击详解
XSS(跨站脚本攻击)
jxy158212的博客
01-01 1035
XSS又叫CSS(Cross Site Script),跨站脚本攻击。属于web应用中计算机安全漏洞,是恶意的web访问者将脚本植入到提供给用户使用的页面中,通常是使用JavaScript编写的危险代码,当用户使用浏览器访问页面时,脚本会被执行,从而达到攻击者目的。
jsp自定义标签过滤XSS安全字符
jianjun2114的博客
04-18 896
1.创建自定义标签类 public class XssTag extends SimpleTagSupport { @Override public void doTag() throws JspException, IOException { } } 2.创建xss.tld文件,并注册标签类 <?xml version="1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值