后端防止xss攻击两种方法

最新推荐文章于 2024-05-04 20:20:27 发布
最新推荐文章于 2024-05-04 20:20:27 发布
阅读量7.1k 收藏 16
点赞数 3
文章标签: 后端 xss 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Koikoi12/article/details/121901951
版权

一.写filter

新增 XssFilter 拦截用户提交的参数,进行相关的转义和黑名单排除,完成相关的业务逻辑。在整个过程中最核心的是通过包装用户的原始请求,创建新的 requestwrapper 保证请求流在后边的流程可以重复读。
在这里插入图片描述

1、使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法

/**
 * 解决XSS跨站脚本攻击和sql注入攻击,使用spring的HtmlUtils,可以使用StringEscapeUtils 中的过滤方法
 */
public class XssSpringHttpServletRequestWrapper extends HttpServletRequestWrapper{

    public XssSpringHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        String[] newValues = new String[values.length];
        for (int i = 0; i < values.length; i++) {
            //spring的HtmlUtils进行转义
            newValues[i] = HtmlUtils.htmlEscape(values[i]);
        }
        return newValues;
    }

    /**
     * 拦截参数,并对其进行字符转义
     */
    @Override
    public String getParameter(String name) {
        return HtmlUtils.htmlEscape(name);
    }

    /**
     * 拦截参数,并对其进行字符转义
     */
    @Override
    public Object getAttribute(String name) {
        return HtmlUtils.htmlEscape(name);
    }

}

2、实现XSS过滤器

/**
 * spring方式xss过滤器
 */
public class XssSpringFilter implements Filter{

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        chain.doFilter(new XssSpringHttpServletRequestWrapper(req), response);
    }

    @Override
    public void destroy() {

    }

}

3、配置XSS过滤器

<!-- spring方式的xss过滤器 -->
<filter>
    <filter-name>xssSpringFilter</filter-name>
    <filter-class>cn.aric.xss.XssSpringHttpServletRequestWrapper</filter-class>
</filter>
<filter-mapping>
    <filter-name>xssSpringFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

二.引入过滤插件

参考如下:https://developer.aliyun.com/article/779924

引入一下 依赖即可

<!--XSS 安全过滤-->
        <dependency>
            <groupId>net.dreamlu</groupId>
            <artifactId>mica-core</artifactId>
            <version>2.0.9-GA</version>
        </dependency>
        <dependency>
            <groupId>net.dreamlu</groupId>
            <artifactId>mica-xss</artifactId>
            <version>2.0.9-GA</version>
        </dependency>

核心过滤逻辑
在 mica-xss 中并未采取上文所述通过自己手写黑名单或者转义方式的实现方案,而是直接实现 Jsoup 这个工具类。

jsoup 实现 WHATWG HTML5 规范,并将 HTML 解析为与现代浏览器相同的 DOM。

  • 从 URL,文件或字符串中刮取和解析 HTML
  • 使用 DOM 遍历或 CSS 选择器查找和提取数据
  • 操纵 HTML 元素,属性和文本
  • 清除用户提交的内容以防止安全白名单,以防止 XSS 攻击
  • 输出整洁的 HTML
Koikoi123
关注
  • 3
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot防止XSS攻击和sql注入
02-22 1553
springboot防止XSS攻击和sql注入
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Xss漏洞常见绕过过滤攻击场景
最新发布
chaottop的博客
05-04 1622
在某些情况下,后台作的过滤非常简单,只对一些特殊的字符串作黑名单过滤,导致可直接通过字母大小写绕过后台的过滤。如下例子
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 3008
跨站脚本攻击(XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 369
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2315
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
保姆级教学 XSS攻击的过滤器
m0_59206144的博客
06-07 1709
过滤策略:把特殊字符转为HTML实体编码, 这样存在数据库里较安全 返回给前端时会被js解析为正常字符,不影响查看
JS-XSS-.rar_XSS_js XSS
09-20
3. **DOM型XSS**:不同于前两种类型,DOM型XSS不依赖于服务器响应,而是由于浏览器的DOM(Document Object Model)解析了来自不可信源的数据,导致恶意脚本执行。攻击者可以通过修改页面的DOM结构来注入脚本。 **...
fckeditor的两种资源包
08-23
6. **安全问题**:防范XSS攻击,确保用户输入的内容经过适当的清理和转义,防止注入恶意代码。 通过以上步骤,你可以成功地在C#项目中使用FCKeditor或KFCKeditor来实现富文本编辑功能。不过,需要注意的是,随着...
JS后端
02-12
8. **安全性**:确保JS后端安全性至关重要,这包括防止XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和SQL注入等。使用验证库、设置CORS策略以及对敏感数据进行加密是常用的安全措施。 9. **部署与运维**:了解如何...
柚子美容美发 4.3.0 小程序前端+后端.zip
12-10
后端还需要考虑安全性,如防止SQL注入、XSS攻击等,以及性能优化,确保系统能够稳定高效地运行。 "云客社区www.u8wx.com.jpg"可能是提供该软件的开发者社区或者资源分享网站的标识,用户可以在该社区获取更多关于...
java过滤器,防止XSS、SQL
01-08
java过滤器,XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
签到app后端代码
04-06
- **XSS防护**:对用户提交的数据进行转义或过滤,防止跨站脚本攻击(XSS)。 - **CSRF防范**:使用令牌(token)来防止跨站请求伪造(CSRF)攻击。 5. **API设计**: - **RESTful API**:构建符合REST...
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9237
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
spring boot实战之XSS过滤
热门推荐
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
XSS遇到后台登录限制或者HTTPONLY时
xysoul的专栏
04-29 9551
http://www.hack80.com/thread-965-1-1.html 0x01 前言         XSS确实是个好东西,往往能在我们没有头绪的时候带来一丝曙光,宛如拿站途中的一轮明月,又如饥饿时的一块小曲奇(cookie)~         然而,我们却时常遇到形如限制登录,HTTPONLY等拦路虎,这时,很多机油可能觉得XSS就没什么用了。
javaXSS攻击的 关键词过滤实现
weixin_43791937的博客
05-15 1385
继承HttpServletRequestWrapper,实现对请求参数的过滤 /** * xss请求适配器 */ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { public XssHttpServletRequestWrapper(HttpServletRequest request) { super(request); } /** * 对
web安全XSS攻击原理及防范
潘晓宇(panxiaoyu)的专栏
08-02 330
//https://blog.csdn.net/xueqh/article/details/78366320 using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Data.OleDb; using System.Drawing; u...
Asp.Net预防XSS攻击
qq_37636786的博客
08-22 326
在网站目录下创建一个XSSFilter类2.在Global.asax的Application_BeginRequest事件中添加如下代码。在Global.asax的Application_BeginRequest事件中添加如下代码,出现异常会跳转到错误页面。
springboot 后端 防止xss攻击
05-31
为了防止XSS攻击,Spring Boot后端可以采取以下措施: 1. 进行输入过滤和验证,比如对特殊字符进行转义,只允许特定的字符输入。 2. 使用安全的编码方式,比如HTML转义编码、URL编码等,确保输入的数据不会被误解释。 3. 在前端和后端都进行数据验证,前端可以对用户输入进行限制,后端也需要进行数据的验证和过滤。 4. 使用Spring Security框架对用户的输入进行过滤和验证,确保输入的数据符合预期的格式。 5. 对于输入的数据,进行白名单过滤,只允许特定的标签和属性,这样可以有效地避免XSS攻击。 需要注意的是,防止XSS攻击不仅仅是后端的责任,前端同样也需要做好相应的工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值