SpringMvc处理xss攻击

最新推荐文章于 2024-05-16 14:42:57 发布
最新推荐文章于 2024-05-16 14:42:57 发布
阅读量1.8k 收藏 4
点赞数 4
分类专栏: 开发踩坑
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Let_me_tell_you/article/details/112500007
版权

XSS攻击是什么

利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。

案例代码

先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。

springboot hello接口.png

请求之后返回一个字符串,拼接请求传过来的name参数。

hello world接口返回.png

XSS漏洞攻击工具

工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测试上面那段弹窗代码,用postman是测试不出来的,或者说我把请求方法限定为POST怎么办?

  1. 使用Firefox浏览器的控制台,可以抓到接口编辑重发,请求头请求参数都可以修改。
  2. 使用Hackbar工具来测试,不过最新的Hackbar已经开始收费了,可以通过安装旧版本的方式来解决。这里给出下载地址:https://github.com/Mr-xn/hackbar2.1.3,需要注意的是chrome浏览器能使用的版本是v2.2.6和v2.3.1。
  3. 在Firefox里安装Max HackBar插件,这个是免费的插件,需要的可以去Firefox浏览器插件市场搜索安装使用。

攻击效果

XSS GET攻击成功.png

XSS POST攻击成功.png

如何防御

进入正题,既然是漏洞,那就有封堵的办法。看上面的介绍里,注入恶意代码,是不是想起来SQL注入了,我们这里也做一个预编译来处理这些特殊字符。

以下代码基于Spring Boot 2.4x编写,传统spring的项目也适用,只是添加filter需要在web.xml文件中配置一下。

添加一个Filter

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * XSS攻击过滤器,对特殊字符进行转义
 */
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        filterChain.doFilter(new XssRequestWrapper(((HttpServletRequest) request)), response);
    }

    @Override
    public void destroy() {

    }
}

添加一个请求包装器

import org.springframework.web.util.HtmlUtils;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * xss过滤请求包装器
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {

    public XssRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null)
            return null;
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = HtmlUtils.htmlEscape(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null)
            return null;
        return HtmlUtils.htmlEscape(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return HtmlUtils.htmlEscape(value);
    }

}

在启动类添加扫描注解

添加@ServletComponentScan注解,路径换成filter类所在的包。

@ServletComponentScan(basePackages = "com.example.boot2.filter")

传统Spring MVC项目(xml配置)

上面提到的注解都去掉,然后在web.xml中添加这个Filter类,配置好过滤路径就好了。

<!--配置xss过滤器 -->
<filter>
    <filter-name>xssFilter</filter-name>
    <!--替换成过滤器类路径-->
    <filter-class>com.example.boot2.filter.XssFilter</filter-class>
</filter>
<filter-mapping>
    <filter-name>xssFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

测试效果

XSS GET攻击防御效果小图.png

XSS POST攻击防御效果.png

看到结果已经被防御了,弹窗代码并没有执行成功。但是你可能会疑惑为什么攻击代码被显示在了页面上,这是因为我返回结果里把编译后的代码给拼接返回了,所以直接显示出来了,可以下图debug编译后的参数。

XSS攻击代码编译.png

one more thing

上面的方案在我测试过程中就发现了一个问题,就是有些接口的参数中是包含 < >这种符号的,而这些接口是老项目中已经存在并使用的,没法替换,所以我在实际使用中对路径做了下调整,只过滤指定接口,如果有其他比较好的方案的还请大佬不吝赐教。

Let_me_tell_you
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 773
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9086
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
springMVC利用过滤器防止xss攻击
zxq520131422222的博客
01-22 4163
转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了
最新发布
Mr丶·Zhou博客
05-16 964
这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
springmvc项目中XSS漏洞解决
laok186的博客
08-01 1943
反射型XSS漏洞修复
Spring MVC(2)-跨域、CORS、XSS、 CSFR
ALONG的博客
04-17 756
另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求。因此,实现CORS通信的关键是服务器。实现将检查给定request和handler的 CORS 配置信息,随后,将会直接处理预检请求,同时拦截、验证简单和实际 CORS 请求,并设置所需的(配置的)CORS响应头信息。
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
防sql注入和xss攻击springmv拦截器
07-24
防sql注入和xss攻击springmv拦截器,可自由调整需要拦截的字符
springMVC12.rar_springMvc 注册_springmvc
09-24
在实际开发中,还需要考虑安全性问题,如密码加密存储、防止 SQL 注入、XSS 攻击等。此外,为提高用户体验,通常还会添加 AJAX 异步请求,以及分页、搜索等高级功能。 总之,"springMVC12" 项目展示了如何利用 ...
SpringMVC中后台转换json格式
10-06
在开发Web应用时,SpringMVC作为Spring框架的一部分,常被用于处理HTTP请求和响应。在前后端交互中,JSON...在实际项目中,还可能需要考虑JSON安全问题,例如防止XSS和CSRF攻击,以及优化性能,如使用GZIP压缩等。
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6355
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
xss springmvc ajax,Java SpringMVC防止跨站脚本(XSS)注入攻击实现
weixin_31898831的博客
08-05 1793
跨站脚本(XSS)注入攻击防御的最有效办法是,通过Filter过滤检查提交参数的合法性。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Spring MVC Xss FilterXSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指...
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
springmvcxss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 1252
springmvcxss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义一、前言二、原理三、springmvc如何实现xss过滤3.1、xss转义包装器3.2 xss过滤器3.3 web.xml配置过滤器 一、前言 xss脚本注入攻击大家应该经常见了,不多说了,直接讲防xss脚本注入的原理吧。 二、原理 原理很简单,http后端通过过滤器过滤request接受的参数内容,把包含"<“和”>","&"、"/“和“””的字符进行转义即可。 例如: 普通注入脚
SpringMVC防止XSS攻击
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter XssFilter com.xbz.filter.XssF
Spring Mvc防止Xss攻击
pursue.dreams的博客
11-19 671
Spring Mvc防止Xss攻击 1,在web.xml中添加Filter 2,编写XssFilter类 3,编写XsslHttpServletRequestWrapper类 HttpServletRequest xssRequest = null; public XsslHttpServletRequestWrapper(HttpServletRequest reques...
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
m0_45446516的博客
03-16 688
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符 一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单中有这么一个字段: <input type="text" id="author" name="author" placeholder="昵称" /&...
springmvc sql注入
07-29
Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 2. 使用预编译语句:在执行SQL语句时,使用预编译语句(Prepared Statement)来代替拼接字符串的方式,预编译语句会对参数进行自动转义,从而防止SQL注入攻击。 3. 进行输入验证:在接收用户输入之前,对输入进行验证和过滤,确保输入的数据符合预期的格式和范围。可以使用正则表达式或者自定义的验证器来进行输入验证。 4. 使用ORM框架:使用ORM(对象关系映射)框架,如Hibernate或MyBatis,可以将SQL语句与参数的拼接工作交给框架来处理,从而减少手动拼接字符串的机会,降低了SQL注入的风险。 综上所述,通过合理使用参数绑定、预编译语句、输入验证和ORM框架等措施,可以有效地防止Spring MVC应用程序中的SQL注入攻击。\[1\] #### 引用[.reference_title] - *1* [Spring MVC防御CSRF、XSS和SQL注入攻击](https://blog.csdn.net/weixin_33774615/article/details/85524273)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringMVC处理脚本,SQL注入问题](https://blog.csdn.net/weixin_30709061/article/details/96236818)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值