Java - Spring Boot项目抵御XSS攻击

最新推荐文章于 2024-04-07 17:31:48 发布
最新推荐文章于 2024-04-07 17:31:48 发布
阅读量1.3k 收藏 23
点赞数 22
文章标签: java xss 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mryfl/article/details/134767257
版权

目录

 1、XSS危害(跨站脚本攻击)

 2、XSS攻击方式

 3、实现抵御XSS攻击

 

        XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 

 1、XSS危害(跨站脚本攻击)

XSS(跨站脚本攻击)的危害包括:

        1. 窃取用户信息:攻击者可以利用XSS漏洞来窃取用户的敏感信息,如用户名、密码、银行账号等。

        2. 控制用户会话:攻击者可以利用XSS漏洞来劫持用户的会话,从而实施恶意操作,如发送恶意请求、修改用户设置等。

        3. 恶意重定向:攻击者可以利用XSS漏洞来将用户重定向到恶意网站,从而导致用户受到钓鱼攻击或安装恶意软件。

        4. 破坏网站功能:攻击者可以利用XSS漏洞来篡改网站内容,破坏网站功能,甚至导致网站崩溃。

        5. 影响搜索引擎排名:如果网站受到XSS攻击,搜索引擎可能会将其标记为不安全,从而影响网站的排名和信誉。

        总的来说,XSS攻击可能会给用户和网站带来严重的安全风险和经济损失。因此,开发人员和网站管理员应该及时发现和修复XSS漏洞,以保护用户和网站的安全。

2、XSS攻击方式

        XSS(跨站脚本攻击)是一种利用Web应用程序的漏洞,向页面注入恶意脚本,从而在用户的浏览器中执行恶意代码的攻击方式。XSS攻击的方式主要包括以下几种:

        1. 存储型XSS攻击:攻击者将恶意脚本存储在Web应用程序的数据库中,当用户访问包含恶意脚本的页面时,恶意脚本会从数据库中加载并在用户的浏览器中执行。

        2. 反射型XSS攻击:攻击者将恶意脚本作为参数附加到URL中,当用户点击包含恶意脚本的链接时,恶意脚本会被发送到服务器并在用户的浏览器中执行。

        3. DOM型XSS攻击:攻击者利用前端JavaScript动态生成页面的特性,通过修改页面的DOM结构来执行恶意脚本。

        攻击者通常利用XSS攻击来窃取用户的敏感信息、劫持用户的会话、破坏网站功能等。为了防范XSS攻击,开发人员需要对输入的数据进行严格的过滤和转义,避免将未经处理的用户输入直接输出到页面上。同时,网站管理员也需要定期对网站进行安全审计,及时发现和修复XSS漏洞。

 3、实现抵御XSS攻击

        首先我们要创建一个执行转义的封装类XssHttpServletRequestWrapper,这个类继承HttpServletRequestWrapper父类。 在这个类中我们需要把获取请求头和请求体数据的方法都要重写,返回的是经过XSS转义后的数据。

        需要用到hutool工具包,引入依赖。 

<dependency>
	<groupId>cn.hutool</groupId>
	<artifactId>hutool-all</artifactId>
	<version>5.4.0</version>
</dependency>
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            // 清除所有HTML标签,但是保留标签内的内容,达到转义的效果
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.cleanHtmlTag(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        StringBuffer body = new StringBuffer();
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> result = new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                if (!StrUtil.hasEmpty(val.toString())) {
                    result.put(key, HtmlUtil.cleanHtmlTag(val.toString()));
                }
            } else {
                result.put(key, val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

        接下来我们要创建一个Filter类XssFilter,拦截所有的HTTP请求,然后调用上面创建的XssHttpServletRequestWrapper类,这样就能按照我们设定的方式获取请求中的数据了。

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper, servletResponse);
    }

    @Override
    public void destroy() {

    }
}
Mryfl
关注
  • 22
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3083
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
springboot_service:Spring Boot安全性
02-19
7. **HTTP头部安全**:为了增强应用的安全性,Spring Boot会自动添加一些HTTP头部,如X-XSS-Protection、Content-Security-Policy和X-Content-Type-Options等,来抵御常见的Web攻击。 8. **JWT(JSON Web Tokens)*...
springboot整合XSS
03-20
springboot 整合预防xss攻击
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4186
上传文件流防XSS
文件上传漏洞、XSS漏洞、RCE漏洞
Fly_Mojito的博客
05-27 1090
文件上传漏洞、XXS漏洞、RCE漏洞
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
最新发布
起而行动,方能平定心中的惶恐
04-07 3676
Java项目-上传文件-解决PDF文件XSS攻击
Springboot 对应XSS漏洞类配置处理
喜欢猪猪
12-08 3260
}}= null) {)\\)");)\\)");)>(.*?)>(.*?)>(.*?)\\)");)\\\"");)\\\"");)>(.*?)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");
SpringBoot中防止跨站脚本(XSS)注入攻击
Sunshine_zjh的博客
06-20 3271
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
XSS攻击-springboot项目修复
hanjinping的博客
10-31 1512
百度百科: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内...
Ueditor的XML文件上传导致存储型XSS(可以再试试xxe)和ssrf漏洞
weixin_50464560的博客
05-16 7489
UEditor 富文本web编辑器最新漏洞版XML文件上传导致存储型XSS - 『原创发布区』 - 大神论坛 |脱壳破解|易语言|病毒分析|www.dslt.tech 一、Ueditor最新版XML文件上传导致存储型XSS 测试版本:php版v1.4.3.3 下载地址:https://github.com/fex-team/ueditor复现步骤: 1.上传一个图片文件 2.然后buprsuit抓包拦截 3.将uploadimage类型改为uploadfile,并修改文件后...
XSS的攻击 与防范
05-01
XSS的攻击与防范 XSS的攻击与防范
Java项目之网络考试系统
10-30
Java的HTTPS支持确保数据传输的安全,而Spring框架的CSRF防护和XSS过滤可以抵御常见的Web攻击。 7. 用户界面:一个友好的用户界面是吸引用户的关键。可以使用Java的Web框架如Spring Boot结合前端技术如HTML、CSS和...
基于javajava项目源码在线相册系统.zip
05-27
- **后端处理**:基于Java的服务器端处理,如Spring Boot框架,提供RESTful API接口,处理用户请求。 - **数据库存储**:MySQL或PostgreSQL等关系型数据库用于存储用户信息、照片元数据以及访问权限等。 - **文件...
CS378-Modern-Web-Apps:现代网络应用程序
06-01
- **防止SQL注入和XSS攻击**: 学习如何编写安全的代码以抵御常见Web攻击。 通过【CS378-Modern-Web-Apps】项目,学生不仅能够掌握现代Web开发的全面知识,还能获得实际操作经验,为未来在Web开发领域的工作打下...
Java毕业设计】毕业设计---基于java的软件资源库的实现(后端).zip
02-27
- **DDoS防护**:部署防火墙或使用云服务的DDoS防护功能,抵御大规模拒绝服务攻击。 6. **测试与部署** - **单元测试**:使用JUnit、Mockito等工具编写单元测试,确保代码质量。 - **集成测试**:通过Spring ...
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 954
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
记一次springboot项目漏洞挖掘
YJ_12340的博客
05-08 1436
本文测试是在该cms旧版本上进行的,新版本对已有问题已进行了修复,这次对该java实现的cms漏洞挖掘收获满满,对cms安装、部署以及代码审计中要注意的点得到了良好的锻炼。
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4259
xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面中,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其中一个方式..
netty-websocket-spring-boot-starter
06-28
### 回答1: Netty-WebSocket-Spring-Boot-Starter是一个用于将Websocket集成到Spring Boot应用程序中的库。它使用Netty作为底层框架,提供了一种快速和可靠的方式来处理异步通信。 这个库提供了一种简单的方法来创建Websocket端点,只需要使用注释和POJO类即可。在这些端点上可以添加动态的事件处理程序,以处理连接、断开连接和消息事件等。 此外,Netty-WebSocket-Spring-Boot-Starter还包括了一些安全性的特性,如基于令牌的授权和XSS保护,可以帮助您保持您的Websocket应用程序安全。 总的来说,Netty-WebSocket-Spring-Boot-Starter提供了一种快速和易于使用的方式来构建Websocket应用程序,使得它成为应用程序开发人员的有用工具。 ### 回答2: netty-websocket-spring-boot-starter 是一个开源的 Java Web 开发工具包,主要基于 Netty 框架实现了 WebSocket 协议的支持,同时集成了 Spring Boot 框架,使得开发者可以更加方便地搭建 WebSocket 服务器。 该工具包提供了 WebSocketServer 配置类,通过在 Spring Boot 的启动配置类中调用 WebSocketServer 配置类,即可启动 WebSocket 服务器。同时,该工具包还提供了多种配置参数,如端口号、URI 路径、SSL 配置、认证配置等等,可以根据业务需求进行自定义配置。 此外,该工具包还提供了一些可扩展的接口和抽象类,如 WebSocketHandler、ChannelHandlerAdapter 等,可以通过继承和实现这些接口和抽象类来实现业务逻辑的处理和拓展。 总的来说,netty-websocket-spring-boot-starter 提供了一个高效、简单、易用的 WebSocket 服务器开发框架,可以减少开发者的开发成本和工作量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值