【项目实战】Spring Boot项目抵御XSS攻击

已于 2024-03-18 23:29:32 修改
阅读量3.7k 收藏 83
点赞数 72
分类专栏: 项目实战案例 文章标签: spring boot xss 后端 跨站脚本攻击
于 2022-11-22 08:36:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apple_51673523/article/details/127674977
版权

本专栏将为大家总结项目实战相关的知识! 点击即可关注本专栏,获取更多知识!

文章目录

前言

作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。

一、什么是XSS攻击

XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。

XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,黑客在文本框中填写的文字信息里面包含一段JS代码,那么前端页面在显示这个信息的时候,就会执行这些JS代码了。

如下我是我在CSDN评论区评论的消息,如果CSDN没有做XSS防御的话,将来某个用户翻到这个评论的话,这时候<script>标签就会被当做JS脚本来执行了,用户浏览器就会弹出HelloWorld这样的文字。

在这里插入图片描述

这只是比较简单的脚本语句,如果黑客植入的JS脚本先读取浏览器的Cookie信息,然后把Cookie通过Ajax发送给黑客的服务器,那么远端的黑客就能用你的Cookie来模拟登陆,这后果是非常严重的。

二、如何抵御XSS攻击

防御XSS攻击的办法很简单,那就是对所有用户的数据先做转义处理,然后再保存到数据库里面。转义之后的信息,将来被加载到网页上面就丧失了作为脚本执行的能力。

比如说上面文本框里面的脚本,经过转义之后就变成了&lt;script&gt;alert(&quot;HelloWorld&quot;)&lt;/script&gt;这个样子。就拿&lt;script&gt;来说吧,它会被渲染成<script>字符串,而不是当做脚本标签来执行。

如果我们能修改请求类的内容,那么我们只需要修改获取请求数据的函数,使得返回的数据并不是客户端Form表单或者Ajax提交的数据,而是经过转义之后数据。

但是在Web项目中,我们无法修改HttpServletRequest实现类的内容,因为请求的实现类是由各个Web容器厂商自己扩展的。但是有时候我们还想修改请求类中的内容,这该怎么办呢?

不用担心,Java语言给我们留出了缺口,我们只要继承Java Web内置的HttpServletRequestWrapper父类,就能修改请求类的内容。

接下来,我们正式开始在Spring Boot项目中实现抵御XSS攻击!

三、实现抵御XSS攻击

首先我们要创建一个执行转义的封装类XssHttpServletRequestWrapper,这个类继承HttpServletRequestWrapper父类。在这个类中我们需要把获取请求头和请求体数据的方法都要重写,返回的是经过XSS转义后的数据。

这里我们使用HtmlUtil.cleanHtmlTag()清除所有HTML标签,但是保留标签内的内容,达到转义的效果。

/**
 * HttpServletRequest的包装类,用于防止XSS攻击
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }


    /**
     * 重写getParameter方法,对参数值进行HTML标签清理
     */
    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    /**
     * 重写getParameterValues方法,对参数值数组进行HTML标签清理
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.cleanHtmlTag(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    /**
     * 重写getParameterMap方法,对参数值映射进行HTML标签清理
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    /**
     * 重写getHeader方法,对请求头进行HTML标签清理
     */
    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    /**
     * 重写getInputStream方法,对请求体进行HTML标签清理
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

接下来我们要创建一个Filter类XssFilter,它是一个XSS过滤器,使用@WebFilter注解将其应用到所有请求上。它拦截所有的HTTP请求,并将请求对象传递给XssHttpServletRequestWrapper类进行XSS过滤,然后将处理后的请求对象传递给下一个过滤器或Servlet进行处理。

/**
 * XSS过滤器,用于拦截所有请求并进行XSS过滤
 */
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // 初始化方法,留空
    }

    /**
     * 过滤方法,对请求进行XSS过滤
     */
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper, servletResponse);
    }

    @Override
    public void destroy() {
        // 销毁方法,留空
    }
}

在以上代码中我们使用了Hutool工具库中的一些方法,如果你对它感兴趣,可以去网站https://xiaojianzheng.cn/docs/hutool进行学习!

结语

更多项目实战知识可以关注本专栏,持续更新中…

🏳️‍🌈点击即可关注本专栏,学习更多知识!

abcccccccccccccccode
关注
专栏目录
springboot整合XSS
03-20
springboot 整合预防xss攻击
Jsoup清除HTML标签(非白名单)
qq_22594791的博客
10-25 432
Jsoup默认提供五种白名单: 1): none() 该API会清除所有HTML标签,仅保留文本节点。 2): simpleText() ...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 2527
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
SpringBootXss攻击
weixin_48040732的博客
11-11 5797
这里记录一下怎么防止Xss攻击的代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5674
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
SpringBoot 防护XSS攻击
Wcybaonier
04-12 3764
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
spring boot xss防御
11-05
项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中有效地防止XSS攻击。以下是关于这个主题的详细知识点: 1. XSS攻击类型: - 存储型XSS:攻击者的脚本被存储在服务器端,并在后续请求时传递给其他用户...
JSP spring boot / cloud 使用filter防止XSS
10-19
XSS攻击全称为跨站脚本攻击(Cross Site Scripting),它是一种常见的网络攻击手段,攻击者通过在网页中插入恶意的JavaScript代码,当其他用户浏览该网页时,嵌入其中的恶意脚本就会被用户的浏览器执行,从而达到...
Spring Boot项目实战之拦截器与过滤器
08-28
Spring Boot 项目实战之拦截器与过滤器 本文主要介绍了 Spring Boot 项目实战之拦截器与过滤器,包括拦截器和过滤器的基本概念、过滤器的配置等。 一、拦截器与过滤器 在 Spring Boot 项目中,拦截器和过滤器都是...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
Spring Boot 中的 XSS 攻击是什么,原理,如何预防
it_xushixiong的博客
07-06 1919
XSS 攻击是一种利用 Web 应用程序漏洞的攻击方式,攻击者通过在 Web 应用程序中注入恶意脚本,从而获取用户的敏感信息或控制用户的浏览器。存储型 XSS 攻击:攻击者将恶意脚本存储在 Web 应用程序的数据库中,当用户访问包含恶意脚本的页面时,恶意脚本会被执行。反射型 XSS 攻击:攻击者将恶意脚本作为参数传递给 Web 应用程序,当用户访问包含恶意脚本的 URL 时,恶意脚本会被执行。
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4315
xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面中,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其中一个方式..
Springboot 对应XSS漏洞类配置处理
喜欢猪猪
12-08 3297
}}= null) {)\\)");)\\)");)>(.*?)>(.*?)>(.*?)\\)");)\\\"");)\\\"");)>(.*?)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");
springboot解决XSS存储型漏洞
weixin_42949219的博客
12-18 3546
在这个过滤器中监听XSSFilter,使用上面写的XssRequestWrappers来处理请求中的非法内容/**} }/**} }/**} }Filter;
SpringBoot 解决跨站脚本漏洞(XSS)问题
ideal-lingyun
06-25 2868
SpringBoot 解决跨站脚本漏洞(XSS)问题
SpringBoot 抵御XSS攻击
小青龙,创造,变强
02-27 786
SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1720
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

abcccccccccccccccode

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值