6、springboot-防止xxs攻击

VIP文章 已于 2022-06-03 15:31:29 修改
阅读量3.4k 收藏 4
点赞数
分类专栏: 项目实训 文章标签: spring boot java javascript
于 2022-05-25 21:57:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aunt_y/article/details/124974649
版权

疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。
本篇主要讲述防止xss攻击部分

定义:

​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。

原理:

​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。

1、Springboot XSS过滤插件(mica-xss)

mica-xss组件说明:

1、对表单绑定的字符串类型进行 xss 处理。

2、对 json 字符串数据进行 xss 处理。

3、提供路由和控制器方法级别的放行规则。

配置

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-pcTCrAlU-1653486656214)(9、springboot-防止xss攻击.assets/1234sad.png)]

引入即可

<dependency>
      <groupId>net.dreamlu</groupId>
      <artifactId>mica-xss</artifactId>
      <version>2.0.9-GA</version>
 </dependency>
<dependency>
    <groupId>net.dreamlu</groupId>
    <artifactId>mica-core</artifactId>
    <version>2.1.0-GA</version>
</dependency>

这样就可以了,但本篇主要讲述手动构造的方式进行

过程主要是三步:包装request->创建过滤器->添加过滤器

首先创建包装request的类,主要是对请求头和请求体中的有效字符进行逐个过滤,将有攻击性的字符进行逐一替换,让其在不失去原有功能的情况下,失去攻击性,是通过装饰模式补充父类HttpServletRequestWrapper让xss的更新直接调配可以加入

public class Xss extends HttpServletRequestWrapper {
   

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
   
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
   
        String[] values = super.getParameterValues(parameter);
        if (values==null)  {
   
            return null;
        }
        int count = values
最低0.47元/天 解锁文章
飞鸡炸弹
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3756
Springboot配置XSS过滤器XssFilter
Spring Boot 防止XSS攻击
最新发布
HAN_789的博客
03-28 438
恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。原本是打算通过SpringMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。包装request->创建过滤器->添加过滤器。
springboot经验之sql注入、xss注入拦截(POST)
lipeng的博客
02-08 3823
简介 sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2527
springboot增加xss过滤器,防止xss攻击
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
springboot后端kafka demo
09-05
springboot后端kafka demo
Springboot 阻止XSS攻击
web13985085406的博客
08-02 696
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot 防御Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9048
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
SpringBoot拦截XSS攻击
link88889的博客
03-16 185
<!--XSS 安全过滤--> <dependency> <groupId>net.dreamlu</groupId> <artifactId>mica-core</artifactId> <version>2.0.9-GA</version> </dependency> <dependency> <groupId>net.dreamlu&l
防止xxs攻击
祁_z
08-23 5972
xxs攻击描述 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击的条件 XSS攻击需要具备两个条......
Spring Boot配置XSS
a123123sdf的博客
02-21 2228
spring boot 配置xss
XSS 防御方法总结
weixin_33932129的博客
08-03 2759
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
xxs和csrf的防御
zyq51的博客
09-11 700
一、关于xxs和csrf的防御 1.防御XSS攻击 HttpOnly 防止劫取 Cookie 用户的输入检查 服务端的输出检查 2.防御CSRF攻击 验证码 Referer Check Token 验证 二、详解 XSS 1 HttpOnly 防止劫取 Cookie HttpOnly 最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript 访问带有 HttpOnly 属性的Cookie。 上文有说到,攻击者可以通过注入恶意脚本获取用户的 Cookie 信息。通常 Cookie 中都包含
Web应用安全防护-XXS
壮乡码农
12-07 4718
一、什么是XSS? XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。 恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。 二、XSS 攻击类型 1)持久性XSS 将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。 2)反射性XSS 2)DOM性XSS...
java -xxm -xxs
04-29
java -xxm -xxs 命令是指Java虚拟机启动参数,用于设置Java进程的内存和堆栈大小。 其中,-xxm参数用于设置最大Java堆内存大小。Java堆是存放对象实例的内存区域,当Java应用程序需要创建对象时,会在堆内存中分配...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值