SpringBoot中防止跨站脚本(XSS)注入攻击

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量3.2k 收藏 12
点赞数 4
分类专栏: java 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sunshine_zjh/article/details/118054764
版权

一、啥为跨网站脚本呢?

1、介绍

跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java, VBScript, ActiveX, Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

那为啥是XSS缩写,而不是CSS呢?
Cross-site scripting的缩写是CSS,但因为CSS在网页设计领域已经被广泛指层叠样式表(Cascading Style Sheets),所以将Cross改以发音相近的X做为缩写。但早期的文件还是会使用CSS表示Cross-site scripting。

2、检测办法

通常有一些方式可以测试网站是否有正确处理特殊字符:

><script>alert(document.cookie)</script>
='><script>alert(document.cookie)</script>
"><script>alert(document.cookie)</script>
<script>alert(document.cookie)</script>
<script>alert(vulnerable)</script>
%3Cscript%3Ealert('XSS')%3C/script%3E
<script>alert('XSS')</script>
<img src="javascript:alert('XSS')">
<img src="http://xxx.com/yyy.png" οnerrοr="alert('XSS')">
<div style="height:expression(alert('XSS'),1)" />(这个仅限 IE 有效)

3、攻击手段和目的

攻击者使被攻击者在浏览器中执行脚本后,如果需要收集来自被攻击者的数据(如cookie或其他敏感信息),可以自行架设一个网站,让被攻击者通过JavaScript等方式把收集好的数据作为参数提交,随后以数据库等形式记录在攻击者自己的服务器上。

4、常用的XSS攻击手段和目的

1)、盗用cookie,获取敏感信息。
2)、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。
3)、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
4)、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
5)、在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

5、漏洞的防御和利用

过滤特殊字符
避免XSS的方法之一主要是将用户所提供的内容进行过滤,许多语言都有提供对HTML的过滤:

PHP的htmlentities()或是htmlspecialchars()。
Python的cgi.escape()。
ASP的Server.HTMLEncode()。
ASP.NET的Server.HtmlEncode()或功能更强的Microsoft Anti-Cross Site Scripting Library
Java的xssprotect(Open Source Library)。
Node.js的node-validator。

二、如何造SpringBoot项目中实现防止跨站脚本(XSS)注入攻击呢?

说明:因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用servlet规范提供的请求包装类,定义数据转义功能。

1、导入Hutool工具包的依赖

<!-- https://mvnrepository.com/artifact/cn.hutool/hutool-all -->
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.7.2</version>
</dependency>

2、添加一个Filter过滤器

package com.zjhang.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @Author: zjhang
 * @Date: 2021/6/19 14:37
 * @Description: 拦截防止注入漏洞(即防止XSS的跨站脚本攻击)
 */
@WebFilter(urlPatterns = "/*", filterName = "xssFilter")
public class XssFilter implements Filter {
    private FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        filterChain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

3、使用HttpServletRequestWrapper重新request参数

package com.zjhang.filter;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: zjhang
 * @Date: 2021/6/19 14:37
 * @Description: 使用HttpServletRequestWrapper重新request参数
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        Map<String, String[]> map = new LinkedHashMap<>();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap(map.size());
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(val.toString()));
            } else {
                resultMap.put(key, val);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }
        };
    }

}

4、给主类(启动类)添加注解

package com.zjhang;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

/**
 * @Author: zjhang
 * @Date: 2021/6/19 14:37
 * @Description: 主启动类
 */
@SpringBootApplication
@ServletComponentScan
public class ZjHangApplication {

    public static void main(String[] args) {
        SpringApplication.run(ZjHangApplication.class, args);
    }

}

5、测试

自行测试即可!!!!!

Sunshine_zjh
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot增加XSS跨站脚本攻击防护功能
淮右布衣的博客
05-19 504
参考 文章https://my.oschina.net/u/4407261/blog/3395458 XSS原理 xss攻击的原理是利用前后端校验不严格,用户将攻击代码植入到数据提交到了后台,当这些数据在网页上被其他用户查看的时候触发攻击 举例:用户提交表单时把地址写成:山东省济南市 上面的数据如果没有在后台做处理,当数据被展示到网页上的时候,会在网页上弹出N个alert框,当然实际攻击肯定是比这个要复杂的多的 SpringBoot防护 1.增加一个Filter类 import org.apache.c
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
SpringBoot如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 418
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Spring Boot XSS 攻击是什么,原理,如何预防
it_xushixiong的博客
07-06 1839
XSS 攻击是一种利用 Web 应用程序漏洞的攻击方式,攻击者通过在 Web 应用程序注入恶意脚本,从而获取用户的敏感信息或控制用户的浏览器。存储型 XSS 攻击攻击者将恶意脚本存储在 Web 应用程序的数据库,当用户访问包含恶意脚本的页面时,恶意脚本会被执行。反射型 XSS 攻击攻击者将恶意脚本作为参数传递给 Web 应用程序,当用户访问包含恶意脚本的 URL 时,恶意脚本会被执行。
xss防御】springboot项目如何防御XSS攻击
run_boy_2022的博客
07-10 830
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3846
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1553
XSS跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSSXSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
SpringBoot 解决跨站脚本漏洞(XSS)问题
ideal-lingyun
06-25 2716
SpringBoot 解决跨站脚本漏洞(XSS)问题
[安全类] Xss跨站脚本攻击 springboot (简易版)
pingzhuyan的博客
09-11 2265
!-- 自定义验证注解 -->/*** 自定义xss校验注解*/String message() default "不允许任何脚本运行";Class
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1637
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
预防XSS攻击和SQL注入XssFilter
05-19
对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
XSS & SQL注入
10-30
XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSS 和 SQL 注入的概念、原理和应用。 什么是 XSSXSS,或者称为 CSS,代表着跨站脚本。基本上,XSS 意味着你可以...
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 734
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
springboot抵御即跨站脚本(XSS)攻击
deng_zhihao692817的专栏
05-11 941
XSS攻击通常指的是通过利用网站系统保存系统的漏洞,通过巧妙的方法把恶意指令注入到网页,用户加载网页的时候会自动执行恶意脚本。2.在自己的com.xxx.filter.xss包新建类XssHttpServletRequestWrapper。如果客户能在你的浏览器执行javascript,那么就能窃取cookie或者token。7. 但是呢,同时也把html的标签也过滤掉了,我不想过滤掉html标签。3. 再建个XssFilter。4. 最后一步是在启动文件里加上。抵御即跨站脚本(XSS)攻击
springboot防止XSS攻击和sql注入
02-22 1376
springboot防止XSS攻击和sql注入
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2290
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面
springboot跨站脚本攻击
09-01
Spring Boot本身并不提供专门的跨站脚本攻击(Cross-Site Scripting,XSS)防护功能但它提供了一些安全性相关的功能和配置选项,可以帮助我们减少XSS攻击的风险。 以下是一些常用的方法来防止Spring Boot应用程序跨站脚本攻击: 1. 输入验证和数据清洁:确保用户输入的数据进行适当的验证,过滤或转义,以防止恶意脚本注入。您可以使用一些开源库,如OWASP Java Encoder或ESAPI来进行数据清洁操作。 2. 安全头部设置:在应用程序配置安全头部,特别是设置Content Security Policy(CSP)头部。CSP可以限制哪些内容可以加载到您的应用程序防止执行恶意脚本。 3. 使用模板引擎:如果您使用模板引擎来生成HTML页面,确保正确地使用模板引擎提供的输出转义功能。这将确保任何用户输入都被正确地转义,从而防止XSS攻击。 4. 防御型编码:使用合适的方法处理用户输入,例如使用HTML转义字符(如<、>、"等)代替原始字符。这样可以确保用户输入不会被浏览器解析为恶意脚本。 5. 安全框架:Spring Security是一个强大的安全框架,可以帮助保护应用程序免受各种攻击,包括XSS。您可以使用Spring Security来配置和实施细粒度的访问控制和安全策略。 请注意,以上措施只是一些常见的防御措施,具体的安全实施需要根据您的应用程序需求和架构进行调整和定制。还请注意,安全是一个持续的过程,您应该保持关注最新的安全漏洞和最佳实践,及时更新和改进应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值