SpringMVC 跨站脚本攻击防护(防止XSS攻击)

最新推荐文章于 2024-05-16 11:55:16 发布
最新推荐文章于 2024-05-16 11:55:16 发布
阅读量2.1k 收藏 3
点赞数
分类专栏: java web springMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Michean/article/details/85620419
版权

SpringMVC 跨站脚本攻击防护(防止XSS攻击)

SpringBoot参考SpringBoot 自定义ConfigurableWebBindingInitializer(可配置web初始化绑定器)

  1. 定义一个基础controller
import org.springframework.beans.propertyeditors.StringTrimmerEditor;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.InitBinder;
import org.springframework.web.multipart.MultipartFile;

/**
* Controller - 基类
*/
public class BaseController {
   @InitBinder
   protected void initBinder(WebDataBinder binder) {
       binder.registerCustomEditor(MultipartFile.class, new StringTrimmerEditor(true));
       binder.registerCustomEditor(String.class, new HtmEscapeEditor(true));
   }
}

HtmEscapeEditor

import org.apache.commons.lang3.StringUtils;
import org.springframework.beans.propertyeditors.StringTrimmerEditor;
import org.springframework.web.util.HtmlUtils;

/**
* HTML转义(防止XSS攻击)
*/
public class HtmEscapeEditor extends StringTrimmerEditor {

  public HtmEscapeEditor(boolean emptyAsNull) {
      super(emptyAsNull);
  }

  @Override
  public void setAsText(String text) {
      super.setAsText(text);
      String value = (String) getValue();
      if (StringUtils.isNotEmpty(value)) {
          setValue(HtmlUtils.htmlEscape(value));
      }
  }

}

2.让所有的controller类都继承BaseController.
3.所有的controller所提交的信息首先要进入BaseController.initBinder方法将输入信息进行转义。
4.使用HtmlUtils.htmlUnescape()方法可以进行解码

ly-lp
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
4.3 预防跨站脚本
Kaitiren的专栏
01-20 314
现在的网站包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成 XSS)的威胁,而静态站点则完全不受其影响。 攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、 ActiveX或Flash以欺骗用户。一旦得手,他们可以盗取用户帐户信息,修改用户设置,盗取/污染cookie和植入恶意广告等。 对XSS最佳的
XSS 跨站脚本攻击 的防御解决方案
03-26
XSS 跨站脚本攻击 的防御解决方案 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
JavaWeb开发中对于XSS跨站脚本攻击防护措施
jasontome的android之路:Do it. Do it right. Do it righ
01-26 1960
XSS漏洞概述: XSS(Cross Site Script)跨站点脚本攻击是一种注射的问题,在这种恶意脚本注入否则良性和信任的网站类型。跨站点脚本XSS攻击攻击者使用时,会出现一个网络应用程序发送恶意代码,一般是在浏览器端脚本的形式,向不同的最终用户。这些缺陷,使攻击成功是相当普遍,发生在任何地方从一个Web应用程序使用在输出它没有验证或编码了用户输入。攻击者可以使用XSS的恶意脚本
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
最新发布
weixin_44421461的博客
05-16 254
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事中“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
java专家之路(四)——Web安全之——Xss注入类风险
softwareCraftsman
07-10 2059
简介: 1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的...
XSS跨站脚本攻击
hhthwx的博客
04-18 1578
作者写的很仔细,推荐推荐:原文链接:记一次跨站脚本攻击XSS)实例 XSS原理:XSS攻击是指”黑客”通过”HTML注入”篡改了网页,插入了恶意脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。在一开始,这种攻击演示案例是跨域的,所以称为“跨站脚本“。但是发展到今天,由于JavaScript的强大功能以及网站前端应用的复杂化,是否跨域已经不在重要。由于历史的原因,XSS这个名字一直保存下...
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
**防御XSS攻击** XSS(Cross-Site Scripting)是一种常见的Web应用安全漏洞,允许攻击者注入恶意脚本到页面中。为了防止XSS,可以采取以下措施: 1. **使用安全的视图技术**:例如Spring MVC的`@ResponseBody`和`@...
SpringMVC+Spring+Spring JDBC + Maven 源码 模仿乐乎基本登录注册文件上传
11-10
这是一个基于SpringMVC、Spring、Spring JDBC和Maven的源码项目,旨在模仿乐乎(类似于知乎)的基本功能,如用户登录、注册以及文件上传。这个项目非常适合初学者理解和实践Spring框架的核心概念,并且提供了完整的...
springmvc-ajax:springmvc-ajax 前端后端ajax通信
05-05
6. **安全考虑**:使用Ajax时,应考虑XSS跨站脚本攻击)和CSRF(跨站请求伪造)等安全问题。Spring Security提供了一些内置的防护措施,如使用CSRF令牌,确保请求来源的合法性。 总结起来,"springmvc-ajax"项目...
springMVC+ibatis投票系统
04-16
- **XSS和CSRF防护**:防止跨站脚本和跨站请求伪造攻击,确保投票的公正性和安全性。 - **输入验证**:对用户提交的数据进行验证,避免SQL注入等安全风险。 7. **测试**: - **单元测试**:对SpringMVC的控制器...
BBS系统开发与帐户安全
07-07
5. **XSS(跨站脚本防护**:对用户输入进行过滤和转义,防止注入恶意脚本到页面中执行,保护用户免受钓鱼攻击。 6. **CSRF(跨站请求伪造)防护**:添加随机令牌验证,确保请求来自合法的用户浏览器会话,防止...
跨站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中跨站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringMVC防止XSS攻击
热门推荐
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter XssFilter com.xbz.filter.XssF
360[警告]跨站脚本攻击漏洞/java web利用Filter防止XSS/Spring MVC防止XSS攻击
weixin_34362790的博客
10-21 254
就以这张图片作为开篇和问题引入吧      <options>问题解决办法请参考上一篇   如何获取360站长邀请码,360网站安全站长邀请码      首先360能够提供一个这样平台去检测还是不错的。但是当体检出来 看到漏洞报告,以为360会像windows上360安全卫士一样帮我们打好补丁。但是实际发现漏洞是要自己修复,并且php和asp aspx有360提供的补丁或者解决方案(...
存储型跨站脚本漏洞,过滤特殊字符, SpringMvc防范XSS攻击
weixin_42267411的博客
09-26 2104
公司最近在搞测试,请的第三方测试机构。。。一顿操作猛如虎。。。 记录一次现在很多项目都容易忽略的存储型跨站脚本漏洞处理,就是XSS攻击漏洞,只要有用户输入的地方,就可能会有XSS漏洞,比如我们在留言板,或者发布文章的地方输入: <script>alert(1);</script> 当这条数据被存储到数据库,并且在页面上再次显示的时候,就会弹窗输出“1”,这只是简单的sc...
xss springmvc ajax,Java SpringMVC防止跨站脚本XSS)注入攻击实现
weixin_31898831的博客
08-05 1794
跨站脚本(XSS)注入攻击防御的最有效办法是,通过Filter过滤检查提交参数的合法性。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Spring MVC Xss FilterXSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指...
spring mvc xss html,SpringMvc防御XSS实践
weixin_34835470的博客
07-01 226
项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。方案目标:只配置一次,与业务接口无关过滤两种请求的参数:Content-Type为form表单(application/x-www-form-urlencoded)和 j...
java后台对前端输入的特殊字符进行转义
weixin_33695082的博客
07-13 852
HTML: 常见的帮助类有2个:一个是spring的HtmlUtils,另外一个是apache.commons下的StringEscapeUtils 1 public static void testHtml(){ 2 String str = "&lt;a href='http://www.qq.com'&gt;QQ&lt;/a&gt;&lt;script&gt;"; ...
SpringMvc防止乱码
10-13
SpringMvc防止乱码可以通过以下两种方式实现: 1. 在web.xml中配置过滤器,设置编码为UTF-8: ```xml <filter-name>encodingFilter <filter-class>org.springframework.web.filter....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值