springmvc 防止XSS攻击

最新推荐文章于 2023-07-30 10:00:17 发布
最新推荐文章于 2023-07-30 10:00:17 发布
阅读量4k 收藏
点赞数
分类专栏: springMVC javascript html、css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/M87138/article/details/39023361
版权

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。

spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止XSS攻击,就用到PropertyEditorSupport编辑器

项目中继承该类,写一个StringEscapeEditor类防止脚本或者html代码

public class StringEscapeEditor extends PropertyEditorSupport {


private boolean escapeHTML;// 编码HTML
private boolean escapeJavaScript;// 编码javascript


public StringEscapeEditor() {
super();
}


public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
}


@Override
public String getAsText() {
Object value = getValue();
return value != null ? value.toString() : "";
}


@Override
public void setAsText(String text) throws IllegalArgumentException {
if (text == null) {
setValue(null);
} else {
String value = text;
if (escapeHTML) {
value = HtmlUtils.htmlEscape(value);
System.out.println("value:"+value);
}
if (escapeJavaScript) {
value = JavaScriptUtils.javaScriptEscape(value);
System.out.println("value:"+value);
}
setValue(value);
}
}

然后绑定控制层就ok了,

在basecontroller中

@Controller
@RequestMapping("/baseController")
public class BaseController {


@InitBinder
public void initBinder(ServletRequestDataBinder binder) {
/**
* 自动转换日期类型的字段格式
*/
binder.registerCustomEditor(Date.class, new CustomDateEditor(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"), true));

/**
* 防止XSS攻击
*/
binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));

}

其他控制层继承这个basecontroller就可以防止XSS攻击了。

不过只是post方式有效,get方式就没办法了

37度冬天
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
SpringMVC防止XSS攻击
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter XssFilter com.xbz.filter.XssF
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3208
1.在输出时过虑文本(JSON) JSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加入一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
字符串处理类.避免字符串中带有的有害脚步.
z13571836771的博客
08-20 276
字符串处理类.避免字符串中带有的有害脚步. public class StringEscapeEditor extends PropertyEditorSupport { public StringEscapeEditor() { super(); } @Override public void setAsText(String text) { if (text == null) { setVal...
Spring MVC防御CSRF、XSS和SQL注入攻击
最新发布
CHIKA2333的博客
07-30 773
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
springMVC12.rar_springMvc 注册_springmvc
09-24
在实际开发中,还需要考虑安全性问题,如密码加密存储、防止 SQL 注入、XSS 攻击等。此外,为提高用户体验,通常还会添加 AJAX 异步请求,以及分页、搜索等高级功能。 总之,"springMVC12" 项目展示了如何利用 ...
SpringMVC中后台转换json格式
10-06
在开发Web应用时,SpringMVC作为Spring框架的一部分,常被用于处理HTTP请求和响应。在前后端交互中,JSON...在实际项目中,还可能需要考虑JSON安全问题,例如防止XSS和CSRF攻击,以及优化性能,如使用GZIP压缩等。
SpringMVC用户登录Demo
12-02
7. **安全考虑**:在实际项目中,我们还需要考虑安全性问题,例如防止SQL注入、XSS攻击等。Spring Security是一个很好的工具,它可以集成到SpringMVC中,提供身份验证和授权功能,增强系统的安全性。 在压缩包文件...
SpringMVC 跨站脚本攻击防护(防止XSS攻击
Michean的博客
01-02 2153
SpringMVC 跨站脚本攻击防护(防止XSS攻击) 定义一个基础controller import org.springframework.beans.propertyeditors.StringTrimmerEditor; import org.springframework.web.bind.WebDataBinder; import org.springframework.web.b...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
spring mvc 防止xss攻击
hyhanyu的博客
07-18 2690
在网上查询了一些方法: 1.写一个过滤器和一个HttpServletRequestWrapper 并重写他的getParameterValues 和 getParameter方法,这个方法是可行的但是对@RequsetBody 参数无效 针对Spring MVC中的@RequestParam获取的参数,走的是getParameterValues()方法。   import java.io....
springMVC利用过滤器防止xss攻击
zxq520131422222的博客
01-22 4163
转载地址http://blog.csdn.net/catoop/article/details/50338259 一、什么是XSS攻击  XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 <script>alert(233)</script> 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
SpringBoot只需要几行代码,就可以防XSS攻击
passerbyYSQ
02-23 1046
前言 可能很多同学在学习过程中自己做项目,很容易忽略XSS攻击。网上不少博客的自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。 防止XSS攻击,一般有两种做法: 1、转义 Spring有提供工具类HtmlUtils来实现转义。个人比较喜欢这种方式,所以下面代码均采用转义处理。 2、过滤敏感标签(将敏感标签去除) jsoup实现了非常强大的clean敏感标签的功能,但是我对jsoup了解并不多。 接下来的
Springboot2.0防止XSS攻击的几种方式
listeningdu的博客
03-29 412
在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。转载链接:https://blog.csdn.net/changzhi9421/article/details/121693397。自定义转换器,集成PropertyEditorSupport类实现,转换器还可以实现数据格式转换,例如:date的转换;jsoup实现了非常强大的clean敏感标签的功能。
防止SpringMVC注解方式的XSS攻击的方法
Angevin的博客
01-03 1万+
本最近项目遇到了一个问题,就是XSS攻击问题,搜索了很多资料。最终实现了符合当前项目的方式: 环境概述 由于,本项目中全部采用的是注入方式,就是没有web.xml的方式,所以和网上找到的在web.xml中配置过滤器方式对我现在的项目并不适用。并且,项目是前后端分离的,也就是前端和后端是完全分开部署的。项目特征是前端传递json类型数据到后端接口,后端接口以 publi
springmvc sql注入
07-29
在Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 2. 使用预编译语句:在执行SQL语句时,使用预编译语句(Prepared Statement)来代替拼接字符串的方式,预编译语句会对参数进行自动转义,从而防止SQL注入攻击。 3. 进行输入验证:在接收用户输入之前,对输入进行验证和过滤,确保输入的数据符合预期的格式和范围。可以使用正则表达式或者自定义的验证器来进行输入验证。 4. 使用ORM框架:使用ORM(对象关系映射)框架,如Hibernate或MyBatis,可以将SQL语句与参数的拼接工作交给框架来处理,从而减少手动拼接字符串的机会,降低了SQL注入的风险。 综上所述,通过合理使用参数绑定、预编译语句、输入验证和ORM框架等措施,可以有效地防止Spring MVC应用程序中的SQL注入攻击。\[1\] #### 引用[.reference_title] - *1* [Spring MVC防御CSRF、XSS和SQL注入攻击](https://blog.csdn.net/weixin_33774615/article/details/85524273)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] - *2* *3* [SpringMVC处理脚本,SQL注入问题](https://blog.csdn.net/weixin_30709061/article/details/96236818)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v4^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值