XSS攻击-springboot项目修复

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量1.5k 收藏 3
点赞数 1
分类专栏: 工具使用 文章标签: xxs xxs springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hjinping/article/details/102841615
版权

百度百科:

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

处理方案:

 /**
     * xss过滤器定义
     * 
     */

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request =  (HttpServletRequest)servletRequest;
        filterChain.doFilter(new XSSRequestWrapper(request) , servletResponse);
    }

    @Override
    public void destroy() {

    }
}

 /**
     * 对传入的恶意指令代码进行编码转换
     */

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        //获取所有参数值的集合
        String[] results = this.getParameterMap().get(name);
        if (results != null && results.length > 0) {
            int length = results.length;
            for (int i = 0; i < length; i++) {
                //过滤参数值
                results[i] = HtmlUtils.htmlEscape(results[i]);
            }
            return results;
        }
        return null;
    }

}
 /**
     * 获取项目中的所有的url,并注册到过滤器中
     */
@Component
public class FilterUrlMapping {
    @Autowired
    ApplicationContext applicationContext;

    /**
     * 获取项目中的所有url
     *
     * @return
     */
    public Set<String> allUrlMappings() {
        Set<String> result = new HashSet();
        RequestMappingHandlerMapping rmhp = applicationContext.getBean(RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = rmhp.getHandlerMethods();

        for (RequestMappingInfo info : map.keySet()) {
            result.add(info.getPatternsCondition().toString().replace("[", "").replace("]", ""));
        }
        return result;
    }

    @Bean
    public FilterRegistrationBean filterRegistration() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new XSSFilter());//添加过滤器
        Set<String> allSaveUrlPattern = allUrlMappings();// 若过滤所有,可使用 /* 处理
        filterRegistration.setUrlPatterns(allSaveUrlPattern);
        filterRegistration.setName("XSSFilter");
        return filterRegistration;
    }

}

处理效果:

1、恶意指令不会执行

2、在数据库中的存储方式发生变化:

      修复前:test1<script>alert(1)</script>

      修复后:  test1&lt;script&gt;alert(22)&lt;/script&gt;

 

 

 

 

hjinping
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合XSS
03-20
springboot 整合预防xss攻击
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot 解决跨站脚本漏洞XSS)问题
ideal-lingyun
06-25 2801
SpringBoot 解决跨站脚本漏洞XSS)问题
Java - Spring Boot项目抵御XSS攻击
Mryfl的博客
12-03 1368
意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 1969
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类存储(Stored XSS)、反射(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
xss防御】springboot项目如何防御XSS攻击
run_boy_2022的博客
07-10 982
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
XSS攻击 springboot项目修复
ytrdgfdtr的专栏
06-24 266
攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等内容 比如输入框 输入 页面会有弹出框 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void init(FilterConfi..
JavaWeb 之 Springboot项目防止XSS漏洞攻击解决办法
古小龙
07-15 5803
1. 什么是XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意...
springboot解决XSS存储漏洞
weixin_42949219的博客
12-18 3310
在这个过滤器中监听XSSFilter,使用上面写的XssRequestWrappers来处理请求中的非法内容/**} }/**} }/**} }Filter;
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2616
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储和反射XSS的防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSSXSS分为以下两种类
springboot XSS防御
songxiuliang的专栏
09-15 1020
通常网上搜索到的xss解决方案大多数都是增加filter,将所有带< > /等特殊字符转换,实践中这种方式确实可以防止xss攻击,但是请求数据会误伤,将原本<>字符转义后放入数据库,如果字符是大于号或者小于号的作用时,后端处理容易出现问题。 其实xss问题无非就是展示到前端的时候出现问题,所以我们可以在response的时候将数据处理,,这样就不会出现入参数据误伤问题,最直接的解决办法就是将序列化进行调整,在序列化的时候将特殊字符进行处理就可以解决xss问...
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5574
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <dependency> <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter</artifactId> <version>0.0.1</version> </dependency> 目前支持3种入参数xss过滤 @RequestMapping("/test1") public String test1(String name) { log.error("name:{}", name); return name; } @RequestMapping("/test2/{name}/{age}/{tes
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
Spring Boot 1.5.10 发布:修复重要安全漏洞!!!
Java技术栈,分享最主流的Java技术
02-28 3004
2018/01/31,Spring Boot团队发布了Spring Boot 1.5.10。 Maven: &amp;lt;parent&amp;gt; &amp;lt;groupId&amp;gt;org.springframework.boot&amp;lt;/groupId&amp;gt; &amp;lt;artifactId&amp;gt;spring-boot-starter-parent&amp;
springboot maven项目漏洞排查修复过程记录(个人笔记)
wangjw.bug
04-10 2440
项目交付后往往会遇到第三方检测机构或者公司内部在交付之前进行的系统安全漏洞检测,本文章记录一次sprinboot maven项目漏洞排查修复过程。
Springboot之Actuator的渗透测试和漏洞修复
u010797364的博客
12-18 8691
Actuator 的 REST 接口Actuator监控分成两类:原生端点和用户自定义端点;自定义端点主要是指扩展性,用户可以根据自己的实际应用,定义一些比较关心的指标,在运行期进行监控。原生端点是在应用程序里提供众多 Web 接口,通过它们了解应用程序运行时的内部状况。
X-XSS-Protection缺失 修复
06-13
X-XSS-Protection是一个HTTP响应头,用于防止跨站脚本攻击(XSS)。如果该头缺失,可能会导致攻击者通过注入恶意脚本来攻击网站用户。为了修复这个问题,您可以在Web服务器或应用程序中配置该头。以下是一些具体的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值