Spring MVC防御CSRF、XSS和SQL注入攻击 一

最新推荐文章于 2024-04-23 21:56:52 发布
最新推荐文章于 2024-04-23 21:56:52 发布
阅读量1.2k 收藏 1
点赞数
分类专栏: javase

       对每个post请求的参数过滤一些关键字,替换成安全的,方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替 

       换掉getParameter函数即可。首先添加一个XssHttpServletRequestWrapper:

       方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替换掉getParameter函数即可。

       首先添加一个XssHttpServletRequestWrapper:

package com.ibm.web.sys;
import java.util.Enumeration;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if (values==null)  {
                  return null;
          }
      int count = values.length;
      String[] encodedValues = new String[count];
      for (int i = 0; i < count; i++) {
                 encodedValues[i] = cleanXSS(values[i]);
       }
      return encodedValues;
    }
    public String getParameter(String parameter) {
          String value = super.getParameter(parameter);
          if (value == null) {
                 return null;
                  }
          return cleanXSS(value);
    }
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private String cleanXSS(String value) {
                //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

}
添加一个过滤器XssFilter :

package com.ibm.web.sys;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;

public  class XssFilter  implements Filter {
    FilterConfig filterConfig =  null;

     public  void init(FilterConfig filterConfig)  throws ServletException {
         this.filterConfig = filterConfig;
    }

     public  void destroy() {
         this.filterConfig =  null;
    }

     public  void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain)  throws IOException, ServletException {
        chain.doFilter( new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}
复制代码

最后在web.xml里面配置一下,所有的请求的getParameter会被替换,如果参数里面 含有敏感词会被替换掉:

  < filter >
      < filter-name >XssSqlFilter </ filter-name >
      < filter-class >com.ibm.web.beans.XssFilter </ filter-class >
   </ filter >
   < filter-mapping >
      < filter-name >XssSqlFilter </ filter-name >
      < url-pattern >/* </ url-pattern >
      < dispatcher >REQUEST </ dispatcher >
   </ filter-mapping >

这个不但可以防止CSRF、XSS攻击,还可以防止SQL注入攻击。

转载:http://itindex.net/blog/2013/10/25/1382688300000.html


451819255888
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-MVC处理XSSSQL注入攻击方法总结
11-14
Spring-MVC处理XSSSQL注入攻击方法总结
Spring Boot 如果防护 XSS + SQL 注入攻击 ?一文带你搞定!
Java技术栈,分享最主流的Java技术
03-20 465
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
jeecg框架日常开发问题解决方法
热门推荐
JEECG官方博客
03-27 1万+
jeecg框架日常开发问题解决方法
Spring Security 解决注入攻击的配置
最新发布
keyboard专栏
04-23 353
Spring Security 本身主要是用来处理认证和授权的安全框架,它并不直接处理注入攻击,如SQL注入或者其他类型的注入攻击。注入攻击的预防主要在于如何处理和验证输入数据以及安全地使用API,特别是那些与数据库交互的API。不过,Spring Security可以配合其他Spring组件来提高应用的安全性,间接帮助防止注入攻击
spring mysql防注入攻击_Spring MVC 如何防止XSSSQL注入攻击
weixin_34570507的博客
02-04 185
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路:在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转义如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeHTML()即可。附:Ja...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
基于 _Excel_ 的web的报表项目,使用spring mvc
07-11
4. **Spring Security**:Spring Security是一个强大的安全框架,用于保护Web应用免受攻击,如未经授权的访问、XSS(跨站脚本)和CSRF(跨站请求伪造)。在这个项目中,Spring Security可能被用来确保只有经过身份...
Spring mvc简单的登陆注册功能
05-03
登录和注册功能需要考虑的安全问题包括但不限于:密码加密存储,防止SQL注入XSS攻击防护,CSRF(跨站请求伪造)防御,以及合适的错误消息展示,避免泄露敏感信息。 7. **异常处理**: 使用Spring MVC的异常...
a-spring:spring-mvc spring mybatis spring-security angularjs
06-05
它提供了一套强大的工具来保护应用程序免受常见攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。Spring Security还支持身份验证、授权和会话管理,可以灵活地配置访问控制策略。 **AngularJS** AngularJS是...
202305-Spring MVC面试题(2023最新版)思维导图.zip
06-16
1. Java基础知识: - 语法 ...- XSSCSRFSQL注入等常见安全漏洞 - Spring Security安全框架 以上是Java后端必会的所有技能,掌握这些技能可以帮助开发人员在Java后端开发领域更加得心应手。
sql注入xss攻击springmv拦截器
07-24
sql注入xss攻击springmv拦截器,可自由调整需要拦截的字符
springmvc4配置防止XSS攻击方法
04-05
配置防止XSS攻击方法尝试,其中包含可以对sql注入方法解决。
springboot+spring security +csrf 的拥有后台管理功能的厨具批发商城网站
04-25
文件解压后直接在根目录上找shopping.sql文件导入mysql数据库,创建数据库名为shopping,在此数据库默认导入即可(utf-8),使用idea直接打开项目等待maven导入jar 包即可
Spring MVC 如何防止XSSSQL注入攻击
hck341204的专栏
04-16 442
在Web项目中,通常需要处理XSS,SQL注入攻击,解决这个问题有两个思路: 在数据进入数据库之前对非法字符进行转义,在更新和显示的时候将非法字符还原 在显示的时候对非法字符进行转义 如果项目还处在起步阶段,建议使用第二种,直接使用jstl的标签即可解决非法字符的问题。当然,对于Javascript还需要自己处理一下,写一个方法,在解析从服务器端获取的数据时执行以下escapeH...
springboot---防止sql注入xss攻击,cros恶意访问
西门飘雪的博客
07-25 5622
目录 1.sql注入 2.xss攻击 3.csrf/cros 4.服务端代码处理,以springboot为例 5.几个防止暴力破解的网站 1.sql注入 sql注入解释: 把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: 1)无论是直接使用数据库还是使用如mybatis组件,使用sq...
java后台接收参数特殊字符被转义多出空格问题
H_lver的博客
12-10 2281
偶然间在向后台传递带单引号的参数值发现:单引号被转义成“& #39;”,不是正常的html符号转义,而是“&”后面多了一个空格,导致无法再被反转义。 后追踪代码发现项目中做了防XSS攻击处理导致的,代码如下: private String cleanXSS(String value) { //You'll need to remove the spaces from the html entities below value = value.repl
非法字符过滤
weixin_34341117的博客
05-05 126
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot配置XSS攻击&Sql注入(完整版)
Zhangmaoyang的博客
07-05 6719
Springboot配置防XSS攻击&Sql注入(含Post请求、跳过文件上传、跳过自定义路径)
springcloud防止XSS,CSRF,SQL攻击,详细代码
06-12
防止XSS攻击Spring Cloud内部集成了Spring Security,可以通过配置Spring Security来防止XSS攻击。...以上是一些防止XSSCSRFSQL注入攻击的常见方法,具体的代码实现需要参考具体的业务场景和技术框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值