springboot XSS过滤

最新推荐文章于 2023-04-02 22:18:39 发布
最新推荐文章于 2023-04-02 22:18:39 发布
阅读量341 收藏 2
点赞数 2
分类专栏: springboot 文章标签: springboot XSS
原文链接:https://www.cnblogs.com/xiaowangbangzhu/p/10275580.html
版权

springboot XSS过滤

XSS攻击是什么

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。

后端代码实现

XssAndSqlHttpServletRequestWrapper.java
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.text.StringEscapeUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 防止XSS攻击
 */
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest request;

    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        this.request = request;
    }

    @Override
    public String getParameter(String name) {
        String value = request.getParameter(name);
        if (!StringUtils.isEmpty(value)) {
            value = StringEscapeUtils.escapeHtml4(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (parameterValues == null) {
            return null;
        }
        for (int i = 0; i < parameterValues.length; i++) {
            String value = parameterValues[i];
            //这个过滤xss攻击的工具类,现在是借助第三方插件使用的。 也可以自己写一个工具类 比如下面的 XssUtil
            parameterValues[i] = StringEscapeUtils.escapeHtml4(value);
            //自定义工具类
            // parameterValues[i] = XssUtil.xssEncode(parameterValues[i]);
            //
            } return parameterValues;
    }
}
XssFilter.java
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 *
 */
@WebFilter(filterName = "xssFilter", urlPatterns = "/*", asyncSupported = true)
@Component
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req);
        chain.doFilter(xssRequestWrapper, response);
    }

    @Override
    public void destroy() {

    }

    /**
     * 过滤json类型的 * @param builder * @return
     */
    @Bean
    @Primary
    public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) {
        //解析器
        ObjectMapper objectMapper = builder.createXmlMapper(false).build();
        //注册xss解析器
        SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer");
        xssModule.addSerializer(new XssStringJsonSerializer());
        objectMapper.registerModule(xssModule);
        //返回
        return objectMapper;
    }
}
XssStringJsonSerializer.java
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import org.apache.commons.text.StringEscapeUtils;

import java.io.IOException;


/**
 *  这里通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过第一种方法,
 *  重写getInputStream方法来实现,但由于得到的是ServletInputStream,不太好处理。
 *  (通过json类型传参会走getInputStream方法,通过重写该方法打印输出可以证明)
 */
public class XssStringJsonSerializer extends JsonSerializer<String> {

    @Override
    public Class<String> handledType() {
        return String.class;
    }

    @Override
    public void serialize(String value, JsonGenerator jsonGenerator,
                          SerializerProvider serializerProvider) throws IOException {
        if (value != null) {
            String encodedValue = StringEscapeUtils.escapeHtml4(value);
            jsonGenerator.writeString(encodedValue);
        }
    }

}
XssUtil.java
import org.apache.commons.lang3.StringUtils;

import java.util.regex.Pattern;

/**
 * Web防火墙工具类
 */
public class XssUtil {

    public static final String REPLACE_STRING = "*";

    private XssUtil() {
    }

    /**
     * xss校验
     * @param s
     * @return
     */
    public static String xssEncode(String s) {
        if (StringUtils.isEmpty(s)) {
            return s;
        } else {
            s = stripXSSAndSql(s);
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            switch (c) {
                case '>':
                    sb.append(">");// 转义大于号
                    break;
                case '<':
                    sb.append("<");// 转义小于号
                    break;
                case '\'':
                    sb.append("'");// 转义单引号
                    break;
                case '\"':
                    sb.append(""");// 转义双引号
                    break;
                case '&':
                    sb.append("&");// 转义&
                    break;
                case '#':
                    sb.append("#");// 转义#
                    break;
                default:
                    sb.append(c);
                    break;
            }
        }
        return sb.toString();
    }

    /**
     * xss校验
     * @param value
     * @return
     */
    public static String stripXSSAndSql(String value) {
        if (StringUtils.isNotEmpty(value)) {
            // Avoid null characters
            value = value.replaceAll(" ", REPLACE_STRING);
            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
            scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid e-xpression(...) expressions
            scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
            // Avoid /r /n:... expressions
            scriptPattern = Pattern.compile("\"\\\\s*|\\t|\\r|\\n\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }

}

在这里插入图片描述

huiyingzzx1018
关注
专栏目录
spring boot实战之XSS过滤
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
Springboot实现XSS漏洞过滤
qq_39914899的博客
01-19 2037
言 唉,开始变懒了,一开始计划的每次学习到新东西就要写博客记录一下,然后写了一篇文章后,就没动静了~没动静了~动静了~了~ 背景 阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot过滤xss
Time_Point的博客
04-26 3391
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布需要进行3部分安全扫描,其中第一个就出现这种
SpringbootXss过滤
xia744510124的专栏
07-17 1034
声明:大部分代码我都是重别人博客里面复制过来的,只是稍稍的修改了一下,能够支持对文件的过滤,话不多说了,直接贴代码了! 配置文件(application.properties) # 如果不想进行Xss过滤,可以注释掉或者设置为false common.xss-filter-open=true 过滤配置类(XssFilterConfig.java) @Configuration @Cond...
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4224
Springboot配置XSS过滤XssFilter
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Springboot xss过滤
最新发布
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...
springboot XSS过滤器代码实现
06-01
以下是一个简单的Spring Boot XSS过滤器的代码实现: 1. 创建一个名为XSSFilter的Java类,并实现javax.servlet.Filter接口。 ```java @Component public class XSSFilter implements Filter { @Override public...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
spring-boot-xss
05-13
目标 我正在尝试提供一个有意义的示例,说明 。 我希望该演示在JSP(或其他基于Java的模板技术)中运行。 确切地说,我目提出了以下示例: < html > < head ></ head > < body > < script > < c xss=removed> </ script > < p> < c xss=removed> </ p> </ body > </ html > 该示例演示了如何在HTML上下文中正确地编码不受信任的值alert(7)HTML,但是在[removed]中是不安全的。 但是,这不是很现实,因为用户可能会将不受信任的值放在引号中: < html > < head ></ head > < body > < script > var v = '< c : ou
SpringBoot过滤Xss脚本攻击
wangfeng117254的博客
12-20 2428
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如何避免XSS攻击 解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。 代码实现 1、新建XssAndSqlHttpServletRequestWrapper.java import org.apache.comm
SpringBoot过滤XSS脚本攻击
weixin_30346033的博客
01-16 201
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些端代码,如果不做处理的话,这些端代码将会在展示的时候被浏览器执行...
Springboot Xss注入过滤
weixin_30902675的博客
06-12 154
1.编写 XssHttpServletRequestWrapperimport javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; public class XssHttpServletRequestWrapper extends HttpServlet...
springboot request参数过滤XSS漏洞)
weixin_39327182的博客
03-25 691
springboot request参数过滤XSS漏洞)项目搭建filter过滤配置get请求参数过滤Post参数过滤启动类 项目搭建 保证eclipse +maven项目能够运行(基于filter过滤request参数) filter过滤配置 package com.li.springboot.filter; import java.io.IOException; import javax...
Spring Boot 使用 Jsoup 拦截XSS
吃西瓜不吐葡萄皮
01-12 650
文章来源:转载以便下次可以找到:https://zdran.com/20180511.html 文章目录目标工具实现原理参数拦截脚本过滤 目标 使用 Spring Boot 的 Filter 对参数拦截,使用 Jsoup 对 参数中的 XSS进行过滤。 工具 Spring Boot 2.0 Jsoup(可选) 实现原理 Spring Boot 的 Filter 拦截到端的参数后进行过滤(看着是不是很简单??)。 说白了就是两个功能:参数拦截、脚本过滤。 参数拦截 想要过滤XSS要能拦截到端的
SpringBoot项目创建过滤器抵御XSS攻击
晓梦林的博客
07-05 889
一、XSS攻击的危害与应对 XSS攻击的定义: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。 攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 For Example: 我们登陆到某个网站。如果网站
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值