springmvc 防止XSS攻击

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。

spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止XSS攻击,就用到PropertyEditorSupport编辑器

项目中继承该类,写一个StringEscapeEditor类防止脚本或者html代码

public class StringEscapeEditor extends PropertyEditorSupport {


private boolean escapeHTML;// 编码HTML
private boolean escapeJavaScript;// 编码javascript


public StringEscapeEditor() {
super();
}


public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
}


@Override
public String getAsText() {
Object value = getValue();
return value != null ? value.toString() : "";
}


@Override
public void setAsText(String text) throws IllegalArgumentException {
if (text == null) {
setValue(null);
} else {
String value = text;
if (escapeHTML) {
value = HtmlUtils.htmlEscape(value);
System.out.println("value:"+value);
}
if (escapeJavaScript) {
value = JavaScriptUtils.javaScriptEscape(value);
System.out.println("value:"+value);
}
setValue(value);
}
}

然后绑定控制层就ok了,

在basecontroller中

@Controller
@RequestMapping("/baseController")
public class BaseController {


@InitBinder
public void initBinder(ServletRequestDataBinder binder) {
/**
* 自动转换日期类型的字段格式
*/
binder.registerCustomEditor(Date.class, new CustomDateEditor(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"), true));

/**
* 防止XSS攻击
*/
binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));

}

其他控制层继承这个basecontroller就可以防止XSS攻击了。

不过只是post方式有效,get方式就没办法了

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
在Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 2. 使用预编译语句:在执行SQL语句时,使用预编译语句(Prepared Statement)来代替拼接字符串的方式,预编译语句会对参数进行自动转义,从而防止SQL注入攻击。 3. 进行输入验证:在接收用户输入之前,对输入进行验证和过滤,确保输入的数据符合预期的格式和范围。可以使用正则表达式或者自定义的验证器来进行输入验证。 4. 使用ORM框架:使用ORM(对象关系映射)框架,如Hibernate或MyBatis,可以将SQL语句与参数的拼接工作交给框架来处理,从而减少手动拼接字符串的机会,降低了SQL注入的风险。 综上所述,通过合理使用参数绑定、预编译语句、输入验证和ORM框架等措施,可以有效地防止Spring MVC应用程序中的SQL注入攻击。\[1\] #### 引用[.reference_title] - *1* [Spring MVC防御CSRF、XSS和SQL注入攻击](https://blog.csdn.net/weixin_33774615/article/details/85524273)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringMVC处理脚本,SQL注入问题](https://blog.csdn.net/weixin_30709061/article/details/96236818)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值