SpringBoot防御Xss攻击 Filter方式实现

最新推荐文章于 2024-05-29 16:00:24 发布
最新推荐文章于 2024-05-29 16:00:24 发布
阅读量1.2k 收藏
点赞数
文章标签: spring boot xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hk1909/article/details/124630093
版权

导入依赖

 <!-- xss -->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-text</artifactId>
            <version>1.4</version>
        </dependency>
        <!-- Jsoup 如果使用Jsoup过滤,则需要添加该依赖,否则不需要 -->
        <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.11.3</version>
        </dependency>

工具类
JsoupUtil .java



import lombok.extern.slf4j.Slf4j;

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 * 描述: 过滤和转义html标签和属性中的敏感字符
 */
@Slf4j
public class JsoupUtil {
    /**
     * 标签白名单
     */
    public static Whitelist WHITELIST = Whitelist.relaxed();

    /**
     * 配置过滤化参数,不对代码进行格式化
     */
    static Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);

    /**
     * 设置自定义的标签和属性
     */
    static {
        /**
         * addAttributes()  设置标签需要保留的属性 ,[:all]表示所有
         * preserveRelativeLinks()  是否保留元素的URL属性中的相对链接,或将它们转换为绝对链接,默认为false. 为false时将会把baseUri和元素的URL属性拼接起来
         */
        WHITELIST.addAttributes(":all","style");
        WHITELIST.preserveRelativeLinks(true);
    }

    public static String clean(String s) {
        log.info("[xss过滤标签和属性] [原字符串为] : {}",s);
        String r = Jsoup.clean(s,  WHITELIST);
        log.info("[xss过滤标签和属性] [过滤后的字符串为] : {}",r);
        return r;
    }

    /**
     * 处理Json类型的Html标签,进行xss过滤
     * @param s
     * @return
     */
    public static String cleanJson(String s) {
        //先处理双引号的问题
        s = jsonStringConvert(s);
        return clean(s);
    }

    /**
     * 将json字符串本身的双引号以外的双引号变成单引号
     * @param s
     * @return
     */
    public static String jsonStringConvert(String s) {
        log.info("[处理JSON字符串] [将嵌套的双引号转成单引号] [原JSON] :{}",s);
        char[] temp = s.toCharArray();
        int n = temp.length;
        for (int i = 0; i < n; i++) {
            if (temp[i] == ':' && temp[i + 1] == '"') {
                for (int j = i + 2; j < n; j++) {
                    if (temp[j] == '"') {
                        //如果该字符为双引号,下个字符不是逗号或大括号,替换
                        if (temp[j + 1] != ',' && temp[j + 1] != '}') {
                            //将json字符串本身的双引号以外的双引号变成单引号
                            temp[j] = '\'';
                        } else if (temp[j + 1] == ',' || temp[j + 1] == '}') {
                            break;
                        }
                    }
                }
            }
        }
        String r = new String(temp);
        log.info("[处理JSON字符串] [将嵌套的双引号转成单引号] [处理后的JSON] :{}",r);
        return r;
    }

}

HtmlText.java


import java.util.regex.Pattern;

public class HtmlText {
    public static String Html2Text(String inputString) {
        String htmlStr = inputString;
        String textStr ="";
        java.util.regex.Pattern p_script;
        java.util.regex.Matcher m_script;
        java.util.regex.Pattern p_style;
        java.util.regex.Matcher m_style;
        java.util.regex.Pattern p_html;
        java.util.regex.Matcher m_html;

        java.util.regex.Pattern p_html1;
        java.util.regex.Matcher m_html1;

        try {
            //定义script的正则表达式{或<script[^>]*?>[\\s\\S]*?<\\/script> }
            String regEx_script = "<[\\s]*?script[^>]*?>[\\s\\S]*?<[\\s]*?\\/[\\s]*?script[\\s]*?>";
            //定义style的正则表达式{或<style[^>]*?>[\\s\\S]*?<\\/style> }
            String regEx_style = "<[\\s]*?style[^>]*?>[\\s\\S]*?<[\\s]*?\\/[\\s]*?style[\\s]*?>";
            //定义HTML标签的正则表达式
            String regEx_html = "<[^>]+>";
            String regEx_html1 = "<[^>]+";
            p_script = Pattern.compile(regEx_script,Pattern.CASE_INSENSITIVE);
            m_script = p_script.matcher(htmlStr);
            htmlStr = m_script.replaceAll(""); //过滤script标签

            p_style = Pattern.compile(regEx_style,Pattern.CASE_INSENSITIVE);
            m_style = p_style.matcher(htmlStr);
            htmlStr = m_style.replaceAll(""); //过滤style标签

            p_html = Pattern.compile(regEx_html,Pattern.CASE_INSENSITIVE);
            m_html = p_html.matcher(htmlStr);
            htmlStr = m_html.replaceAll(""); //过滤html标签

            p_html1 = Pattern.compile(regEx_html1,Pattern.CASE_INSENSITIVE);
            m_html1 = p_html1.matcher(htmlStr);
            htmlStr = m_html1.replaceAll(""); //过滤html标签


            textStr = htmlStr;

        }catch(Exception e) {
            System.err.println("HtmlText: " + e.getMessage());
        }
        return textStr;
    }
}

XssAndSqlHttpServletRequestWrapper.java



import org.apache.commons.lang3.StringUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.nio.charset.Charset;

public class XssAndSqlHttpServletRequestWrapper  extends HttpServletRequestWrapper {
    private HttpServletRequest request;

    //判断是否是上传 上传忽略
    boolean isUpData = false;

    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
        String contentType = request.getContentType();
        if (null != contentType) {
            isUpData = contentType.startsWith("multipart");
        }
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。
     * getParameter方法是直接通过request获得querystring类型的入参调用的方法
     */
    @Override
    public String getParameter(String name) {
        String value = request.getParameter(name);
        if (!StringUtils.isEmpty(value)) {
//            value = StringEscapeUtils.escapeHtml4(value);
//        	value = JsoupUtil.clean(value);
            value = HtmlText.Html2Text(value);
        }
        return value;
    }

    /**
     * 覆盖getParameterValues方法
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues == null) {
            return null;
        }
        for (int i = 0; i < parameterValues.length; i++) {
            String value = parameterValues[i];
//            parameterValues[i] = JsoupUtil.clean(value);
            parameterValues[i] = HtmlText.Html2Text(value);
//            parameterValues[i] = StringEscapeUtils.escapeHtml4(value);
        }
        return parameterValues;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取
     * getHeaderNames 也可能需要覆盖
     //     */
//    @Override
//    public String getHeader(String name) {
//      String value = super.getHeader(name);
//      if (value != null) {
//        value = JsoupUtil.clean(value);
//      }
//      return value;
//    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        if (isUpData) {
            return super.getInputStream();
        } else {
            //处理原request的流中的数据
            byte[] bytes = inputHandlers(super.getInputStream()).getBytes();
            final ByteArrayInputStream bais = new ByteArrayInputStream(bytes);
            return new ServletInputStream() {
                @Override
                public int read() throws IOException {
                    return bais.read();
                }
                @Override
                public boolean isFinished() {
                    return false;
                }

                @Override
                public boolean isReady() {
                    return false;
                }

                @Override
                public void setReadListener(ReadListener readListener) {
                }
            };
        }

    }

    public String inputHandlers(ServletInputStream servletInputStream) {
        StringBuilder sb = new StringBuilder();
        BufferedReader reader = null;
        try {
            reader = new BufferedReader(new InputStreamReader(servletInputStream, Charset.forName("UTF-8")));
            String line = "";
            while ((line = reader.readLine()) != null) {
                sb.append(line);
            }
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (servletInputStream != null) {
                try {
                    servletInputStream.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (reader != null) {
                try {
                    reader.close();
                } catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        String finl = JsoupUtil.cleanJson(sb.toString());
        return finl;
    }
}

XssFilter.java
这里要注意filterName可能会重名



import com.fasterxml.jackson.annotation.JsonInclude;
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.DeserializationFeature;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

/**
 * @Description:TODO(防止xss 的过滤器)
 */
@WebFilter(filterName = "xssFilter1", urlPatterns = "/*", asyncSupported = true)
@Slf4j
@Configuration
@Component
public class XssFilter implements Filter {

    private static List<String> MATCH_WORD = new ArrayList<>();

    /**
     * 不是所有请求都经过xss过滤处理, 所以就把请求路径中,
     * 选择请求路径中含有"ADD",“EDIT”,“REMOVE”,"LIST"的这些接口进行过滤
     */
    static {
        MATCH_WORD.add("ADD");
        MATCH_WORD.add("EDIT");
        MATCH_WORD.add("REMOVE");
        MATCH_WORD.add("LIST");
        MATCH_WORD.add("edit");
        MATCH_WORD.add("verifyCarmi");
        MATCH_WORD.add("updata");
        MATCH_WORD.add("add");
        MATCH_WORD.add("get");
        MATCH_WORD.add("check");
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        if (request instanceof HttpServletRequest){
            HttpServletRequest req = (HttpServletRequest) request;
            String s = req.getRequestURL().toString().toUpperCase();
            //涉及保存操作的进行xss过滤
            boolean b = MATCH_WORD.stream().anyMatch(w -> s.contains(w));
            if(b) {
                request = new XssAndSqlHttpServletRequestWrapper((HttpServletRequest) request);
            }
        }
        chain.doFilter(request, response);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
    }

    @Bean
    @Primary
    public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) {
        // 解析器
        ObjectMapper objectMapper = builder.createXmlMapper(false).build();
        // 注册xss解析器
        SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer");
        xssModule.addSerializer(new XssStringJsonSerializer());
        objectMapper.registerModule(xssModule);
        // 通过该方法对mapper对象进行设置,所有序列化的对象都将按改规则进行系列化
        // Include.Include.ALWAYS 默认
        // Include.NON_DEFAULT 属性为默认值不序列化
        // Include.NON_EMPTY 属性为 空("") 或者为 NULL 都不序列化,则返回的json是没有这个字段的。这样对移动端会更省流量
        // Include.NON_NULL 属性为NULL 不序列化
        objectMapper.setSerializationInclusion(JsonInclude.Include.NON_EMPTY);
        objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
        // 允许出现特殊字符和转义符
        objectMapper.configure(JsonParser.Feature.ALLOW_UNQUOTED_CONTROL_CHARS, true);
        // 允许出现单引号
        objectMapper.configure(JsonParser.Feature.ALLOW_SINGLE_QUOTES, true);
        return objectMapper;
    }
}

XssStringJsonSerializer.java


import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;

import java.io.IOException;
/**
 *实现过滤json类型的代码
 */
public class XssStringJsonSerializer extends JsonSerializer<String> {

    @Override
    public Class<String> handledType() {
        return String.class;
    }

    @Override
    public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider)
            throws IOException {
        if (value != null) {
            String encodedValue = HtmlText.Html2Text(value);
            jsonGenerator.writeString(encodedValue);
        }
    }
}

前端在输入框输入标签的时候就会被过滤掉例如

<img data-v-0947769e="" src="https://11111111111" class="user-logo">
这个标签会被过滤成
<img>
鱼刺yuci
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot2.x使用Jsoup防XSS攻击实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4012
Springboot配置XSS过滤器XssFilter
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
Java Xss漏洞拦截
最新发布
chenqqabcdchenqqabcd的专栏
05-29 290
xss ,Java,filter
JAVA代码审计XSSFilter动态代理过滤
dzqxwzoe的博客
08-10 1292
最近写了个小玩意儿,主要功能为用户信息管理,例如新增 删除 添加等。但在没写过滤之前,全是xss所以拿出来给大家进行简单分析,后续通过动态代理进行过滤。
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
public class XssFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户...
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2469
java防止XSS攻击
xss】Java编写filter实现防止XSS攻击
qq_37634156的博客
04-08 4709
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
冰之杍的博客
12-07 1247
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等1.编写CrosXssFilter.java,代码如下2.在springbooot的启动类中加入注解@ServletComponentScan 现在的web系统对安全性要求越来越高,常常需要通过第三方的渗透测试才能进行验收,其中就有关于sql注入、xss攻击相关的,此文记录如果在springbooot中进行非侵入的改造,达到能通过sql注入及xss攻击测试的目的。 1.编写CrosXssFilter.java,代码如下
Springboot过滤xss
Time_Point的博客
04-26 3201
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
Springboot项目XSS漏洞的解决方法
xiaopy_0508的博客
07-12 5170
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 。特点:XSS主要基于JavaScript完成恶意的攻击行为,由于JS可以非
44. 从零开始学springboot撸一个Xss过滤器-Filter实现
CTO技术的博客
08-26 1072
前言 项目安全需要, 需要全局对参数进行xss过滤处理. Xss简介 关于Xss很多人可能都有了解, 出于“礼貌”, 咸鱼君还是简单举个例子 用户注册时可以填写姓名 此时我填写了“” 并提交, 后端呢没有做任何检测就保存了. 那么就可能有问题, 下次再访问这个页面你会发现不停的弹窗“1”! Xss攻击呢也分很多种, 感兴趣的自行查阅资料, 这里不多说了. 那么如何面对Xss攻击呢? 其实也很好解决, 一句话“不要相信用户的任何输入”! 编程上就是对用户的提交内容进行过滤以及非法字符的“转义”! Spring
XSS攻击,使用Filter转义
熊浪的博客
09-09 829
Filter转义后的特殊字符,如果需要直接使用可以通过 XssFilter.XssHttpServletRequestWrapper.unescapeHtml(value)还原,入库和传给前端用转义后的字符串,前端自行还原。
springboot xss攻击防御
07-25
在Spring Boot中防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户输入的数据展示到前端页面时,使用合适的编码方式来避免被浏览器解析为HTML标签。可以使用Thymeleaf模板引擎的`${variableName}`表达式来输出变量值,它会自动进行HTML编码。 3. 设置HTTP头:在响应中设置`X-XSS-Protection`头部字段,启用浏览器内置的XSS过滤器。可以通过设置该字段的值为`1; mode=block`来开启。 4. 使用安全框架:Spring Security是一个功能强大的安全框架,可以用于保护应用程序免受XSS攻击和其他安全威胁。通过配置Spring Security的规则和过滤器,可以对用户输入进行严格的验证和过滤。 5. 使用CSP:Content Security Policy (CSP)是一种安全策略,通过限制网页内容源的加载,减少XSS攻击的风险。在Spring Boot应用中,可以通过设置响应头`Content-Security-Policy`来启用CSP。 请注意,防御XSS攻击是一项综合性的工作,需要从多个方面进行防护。以上方法只是其中的一部分,还需要根据具体情况和需求进行进一步的安全加固。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值