JAVA----参数过滤器配置文件,配置参数,实现:防XSS,去掉参数左右空格

最新推荐文章于 2022-08-27 17:04:53 发布
最新推荐文章于 2022-08-27 17:04:53 发布
阅读量382 收藏
点赞数
分类专栏: JAVA 文章标签: 过滤器 filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/damys/article/details/116457717
版权

实现功能:防参数XSS攻击,去掉参数左右空格

ParamsFilterConfig 参数过滤配置文件

Configuration
public class ParamsFilterConfig {

    @Value("${xss.enabled}")
    private String enabled;

    @Value("${xss.excludes}")
    private String excludes;

    @Value("${xss.urlPatterns}")
    private String urlPatterns;

    @SuppressWarnings({"rawtypes", "unchecked"})
    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));
        registration.setName("xssFilter");
        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = new HashMap<>();
        initParameters.put("excludes", excludes);
        initParameters.put("enabled", enabled);
        registration.setInitParameters(initParameters);

        return registration;
    }
}
配置参数配置
xss:
  enabled: true                             # 过滤开关
  excludes: /download/*,/upload/*           # 排除url
  urlPatterns: /*                           # 匹配url
damys
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
积分管理系统java源码-xss-defense:xss
06-06
积分管理系统java源码 XSS御手册 1 引言 本文提供了一个简单的正向机制来御:恰当地输出转义/编码后的数据。虽然有大量的XSS攻击方式,但是遵循一些简单的规则可以完全抵御这些严重攻击。本文不探讨XSS对技术、业务的影响,只说XSS可以导致攻击者能够获取到操作浏览器的做任何事情的能力。 都可以通过在服务端执行适当的验证和转义来规避。可以使用 一文中描述的子集规则来御。 有关XSS相关的攻击方法,请参阅。在可以找到关于浏览器安全和各种浏览器的更多背景。 在阅读本文之前,对有个基本了解是非常有必要的。 1.1 积极的XSS御模型 本文将HTML页面视为模板,模板中存在插槽(slots),允许开发人员在插槽中插入不可信数据。这些插槽覆盖了开发人员绝大多数放置不可信数据的位置。不允许在插槽外的其他位置放置不可信数据。这是一个白名单模式,只有在白名单之中的才是被允许的。 鉴于浏览器解析HTML的方式,不同类型的插槽具有稍微不同的安全规则。将不可信数据放入到插槽时,需要采取一定的措施来确保数据不会从该插槽中跳到允许执行代码的上下文中。从某种意义上,这种方法将HTML文档视为参数化的数据
anti-xss:AntiAntiXSS | 通过PHP止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介 不要写自己的正则表达式来解析HTML! 阅读此文本-> XSS(跨站点脚本)预备忘单 测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装 composer require voku/anti-xss 用法:
asp-xss-filter:ASP-XSS-过滤器
06-30
asp-xss-filter This is classical ASP, not ASP.NET!!!! 这是经典ASP,不是ASP.NET!!!! Transplanted from (由项目移植) Although it is written by JScript, but can also be used in VBScript.(虽然它是由JScript写的,但是在VBScript里也可以正常调用。) Install In Windows, run build.vbs, then you will get 2 files in dist. Copy the file that you need to your projects, then include it. 在Windows下,双击build.vbs,然后你会在dist目录里得到两个文件。复制你需要的文件到你的项目内,引用即
JVM参数-Xms-Xmx-Xmn-Xss-调优总结.docx
09-13
JVM参数_-Xms_-Xmx_-Xmn_-Xss_调优总结
利用Express模拟web安全之---xss的攻与
01-26
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种产常见的就是CSRF(后面讲到)。
javaweb配置xssproject,完美解决安全检测报XSS漏洞
01-14
java配置xssproject,文件包括配置步骤,需要的jar包,完整的xssproject类,并且提供的类解决了multipart/form-data类型的Request请求xss过滤问题
java xss设置_配置Java Xss保护过滤器
weixin_33288893的博客
02-13 625
/*** Eclipse Class Decompiler plugin, copyright (c) 2016 Chen Chao ([email protected]) ***/package com.vprisk.vpframe.xss;import com.vprisk.vpframe.xss.XssHttpServletRequestWrapper;import java.io...
java xss 配置不作用_SpringXss配置
weixin_39882589的博客
02-27 264
web.xml配置<!-- xss过滤器 --><filter><filter-name>XssFilter</filter-name><filter-class>com.zyyt.sipctask.common.filter.XssFilter</filter-class></filter><filter-...
xss护及sql注入
cyk_en5566的博客
03-31 532
xssFilter public class XssFilter implements Filter { /** * 排除链接 */ private List<String> excludes = new ArrayList<>(); /** * xss过滤开关 */ private boolean enabled = false; @Override public void init
springBoot微服务项目启动报错:Could not resolve placeholder ‘xss.enabled‘ in value “${xss.enabled}“
java后端开发的博客,不仅仅是后端开发
03-31 5170
最近本地环境更新代码后报@Value注解的参数值获取不到错的解决过程,在这里记录一下。
SpringBoot之过滤器配置(十五)
青鸟飞鱼
12-25 4827
有两种方式:代码注册或者注解注册 1.代码注册方式 通过代码方式注入过滤器 @Bean public FilterRegistrationBean someFilterRegistration() { FilterRegistrationBean registration = new FilterRegistrationBean(); regist...
SpringBoot搭建笔记以及常见问题
m0_37027631的博客
06-12 1577
一、spring、springMvc、springBoot和springCloud的联系与区别 https://blog.csdn.net/alan_liuyue/article/details/80656687 Spring Boot实现了自动配置,降低了项目搭建的复杂度。 众所周知Spring框架需要进行大量的配置,Spring Boot引入自动配置的概念,让项目设置变得很容易。Spri...
Java XSS攻击(Spring boot & Spring 方式)
bad_boy的博客
02-17 1596
——SpringBoot application.properties 开启xss配置 # XSS配置 xss.enabled=true # 不过滤路径, 以逗号分割 xss.excludes=/open/* # 过滤路径, 逗号分割 xss.urlPatterns=/* 过滤器配置 package com.xlj.tools.config; import cn.hutool.core.util.StrUtil; import com.fasterxml.jackson.databind.Obj
JAVA----maven 引入本地sdk包, 引用 dingtalk本地sdk
Damys
11-06 6180
maven 引入本地sdk包 开发钉钉扫码登录第三方网站,原引用maven 最新包,开发时不支持现有业务,在线包也一直没有更新,故使用本地sdk 包, 引入maven 原引用maven 最新包 <dependency> <groupId>com.aliyun</groupId> <artifactId>alibaba-dingtalk-service-sdk</artifactId> <version>1
JAVA----获取地址工具方法
Damys
10-26 5250
获取地址工具方法 @Slf4j public class AddressUtils { public static final String IP_URL = "http://ip.taobao.com/service/getIpInfo.php"; public static String getRealAddressByIP(String ip) { String address = "127.0.0.1"; // 内网不查询
JAVA----钉钉事件订阅回调配置
Damys
11-13 2799
一般配置 回调地址 @ResponseBody @PostMapping("/dingTalkCallBack") public Map<String, String> dingTalkCallBack ( @RequestParam(value = "msg_signature", required = false) String msg_signature, @RequestParam(value = "timestamp",
JAVA----钉钉机器人-订单提醒功能
Damys
08-27 2508
钉钉机器人-订单提醒功能
JAVA----Springboot前后端时间传输 @JsonFormat 得到时分秒为00:00:00
Damys
02-24 1967
问题 Springboot前后端时间传输 @JsonFormat 得到时分秒为00:00:00 处理 安装 jackson 插件 <!-- JSON工具类 --> <dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> </dependency> 检测 单独添加
JAVA----Quartz 11个数据表
Damys
04-15 1923
官网共11个表 – 下载地址:http://www.quartz-scheduler.org/downloads/ 注意:创建,删除表要按顺序,涉计到外键约束 drop table if exists qrtz_fired_triggers; -- 1 保存已经触发的触发器状态信息 drop table if exists qrtz_paused_trigger_grps; -- 2 存放暂停掉的触发器表表 drop table if exists qrtz_scheduler_state;
java -jar 启动服务参数优化
最新发布
12-28
根据引用[2]中提供的参考链接,以下是一些可以用于优化使用`java -jar`启动服务的参数: 1. 设置堆内存大小:使用`-Xmx`参数设置最大堆内存大小,使用`-Xms`参数设置初始堆内存大小。例如,`java -jar -Xmx2g -Xms...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值