XXS 安全防护:拦截器+注解实现校验

于 2024-09-02 10:31:30 发布
阅读量139 收藏
点赞数 5
分类专栏: RuoYi-Vue-Plus 学习 文章标签: RuoYi-Vue-Plus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javaxueba/article/details/141669947
版权

一、简介

XSS(跨站脚本)攻击是一种网络安全威胁,允许攻击者注入恶意脚本到看似安全的网站。

当用户浏览这些被注入恶意代码的网页时,恶意脚本会在用户的浏览器环境中执行,这可能导致多种安全问题,如窃取敏感数据、劫持用户会话等。

XSS主要有三种类型:

  1. 反射型 XSS:通过恶意链接传播,脚本不在服务器上存储。
  2. 存储型 XSS:恶意脚本存储在服务器上,通过用户提交的内容传播。
  3. DOM 基于的 XSS:通过篡改页面的 DOM 结构来执行恶意脚本。

这些攻击利用了应用程序对用户输入处理不当的问题。预防方法包括输入验证、输出编码等。

二、防止攻击配置 

1-yml文件配置
# 防止XSS攻击
xss:
  # 过滤开关
  enabled: true
  # 排除链接(多个用逗号分隔)
  excludes: /system/notice
  # 匹配链接
  urlPatterns: /system/*,/monitor/*,/tool/*
2-编写配置属性:对应上面配置文件

                

        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  syfjava
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    5
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击

				
			

			

				

					qq_37894645的博客
				

				

					12-30
					
					1324
					
				

			

		

		

			
				
Web安全常见攻击手段
XSS、SQL注入、防盗链、CSRF、上传漏洞

一、 XSS攻击

什么是XSS攻击手段
XSS攻击使用Javascript脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。
表单提交数据
下面由 thymeleaf + spring Boot 2.2.4 代码实现:
1、省略创建maven工程步骤
2.、修改pom.xml

<parent>
    <groupId>org.spr

			
		

	



                

              
                



	

		

			

				
					
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!

				
			

			

				

					m0_71777195的博客
				

				

					03-21
					
					1187
					
				

			

		

		

			
				
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;

			
		

	



                


  
              

                


	

		

			

				
					
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)

				
			

			

				

					weixin_73588491的博客
				

				

					07-05
					
					6917
					
				

			

		

		

			
				
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。

			
		

	





	

		

			

				
					
Java防XSS攻击实现(AOP+注解+反射)

				
			

			

				

					dh554112075的博客
				

				

					06-21
					
					2727
					
				

			

		

		

			
				
本文使用JSP验证效果
引人依赖
        <!-- springboot-aop -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-...

			
		

	



		

			
		



	

		

			

				
					
单元测试与系统安全的规约

				
			

			

				

					lfssst的博客
				

				

					11-18
					
					3381
					
				

			

		

		

			
				
单元测试规约
需要单元测试的原因:

是否能够交付产品级别的项目

根据项目的不同需求,进行性能测试和稳定性测试
单元测试
保证接口能够正常使用

越早发现成本越低,单元测试的提早发现,对于软件的质量有显著的保障,也可以,提高软件质量优化代码,提高代码质量,找到潜在的问题,可以在重构的时候注意到更好的解决方案
同样的一个代码,晚一轮发现,所用的时间会翻倍
单元测试没有发现的bug,会导致集成测试时产生问题,需要返回啦单元测试
系统测试的时候找bug会非常困难
单元测试的air原则
单元测试的代码框架不会对.

			
		

	





	

		

			

				
					
Shiro - 安全验证

				
			

			

				

					weixin_45453240的博客
				

				

					09-25
					
					1083
					
				

			

		

		

			
				
简介

Apache Shiro 是 Java 的一个安全(权限)框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro就足够了。对于它俩到底哪个好,这个不必纠结,能更简单的解决项目问题就好了。
Shiro 可以非常容易的开发出足够好的应用,其不仅可以用在JavaSE 环境,也可以用在 JavaEE 环境
Shiro 可以完成:认证、

			
		

	





	

		

			

				
					
Springboot 阻止XSS攻击

					
热门推荐

				
			

			

				

					果然的博客
				

				

					11-24
					
					1万+
					
				

			

		

		

			
				
Springboot中阻止XSS攻击
写在前面
写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。
看看问题
XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a

			
		

	





	

		

			

				
					
Java添加过滤器过滤xss入侵

				
			

			

				

					qq_49326435的博客
				

				

					08-22
					
					2605
					
				

			

		

		

			
				
java防止XSS攻击

			
		

	





	

		

			

				
					
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ??

				
			

			

				

					m0_71777195的博客
				

				

					10-30
					
					271
					
				

			

		

		

			
				
就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式。

			
		

	





	

		

			

				
					
基于pythton+pytorch实现的MobileViT的xxs、xs、s版本的迁移学习图像分类项目源码

				
			

			

				

					07-28
				

			

		

		

			
				
实现mobileViT的三个xxs、xs、s版本实现,框架为pytorch 代码教程参考:https://blog.csdn.net/qq_44886601/category_12056269.html  数据集摆放:data(train、val、test)不同目录摆放即可  损失函数为交叉熵损失...

			
		

	





	

		

			

				
					
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货

				
			

			

				

					06-08
				

			

		

		

			
				
在上述代码中,`@ControllerAdvice`注解使得这个拦截器应用到所有控制器,`handleRequest`方法对每个请求的输入参数进行转义。这只是一个基本示例,实际应用中可能需要根据业务需求定制更复杂的验证逻辑。  除了在...

			
		

	





	

		

			

				
					
springboot后端实现防御xSRF攻击的策略代码.zip

				
			

			

				

					02-10
				

			

		

		

			
				
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java  

			
		

	





	

		

			

				
					
弹性力学优化算法:多目标优化:弹性力学优化的数值方法.docx

				
			

			

				

					09-01
				

			

		

		

			
				
弹性力学优化算法:多目标优化:弹性力学优化的数值方法.docx

			
		

	





	

		

			

				
					
安卓开发工具库.zip

					
最新发布

				
			

			

				

					09-01
				

			

		

		

			
				
安卓开发工具库.zip

			
		

	





	

		

			

				
					
527、基于PAM8610设计的智能蓝牙音箱系统开发(原理图、PCB图)

				
			

			

				

					09-01
				

			

		

		

			
				
527、基于PAM8610设计的智能蓝牙音箱系统开发(原理图、PCB图)
该系统为基于PAM8610设计的智能蓝牙音箱,实现蓝牙音箱功能;
功能如下:
1、PAM8610核心设计;
2、按键控制开、关、下一首、上一首等控制;
3、可以通过12V的电源口通电,也可以用端子接电 ,满足多种接电方式;
4、音频输入用M18模块,也可以通过音频接口来输出,开关来决定用那个音频输入信号;
5、左右声道都预留8个LED灯作为声音大小跳变显示,音频显示效果;


			
		

	





	

		

			

				
					
基于 Transformer-Unet 实现的内窥镜图像语义分割代码【包含代码+数据集】

				
			

			

				

					09-01
				

			

		

		

			
				
内窥镜图像数据集: 腹壁、肝脏、胃肠道、脂肪、抓握器、结缔组织、血液、胆囊管、L 钩电烙术(仪器)、胆囊、肝静脉和肝韧带

参数:优化器为AdamW,学习率衰减策略为余弦退火算法,损失为交叉熵

1.train 脚本会生成训练集、验证集的loss、iou曲线、学习率衰减曲线、训练日志、数据集可视化图像等外加最后和最好的权重文件。

2.evaluate 验证脚本用于评估模型,计算测试集的iou、recall、precision、像素准确率等等(训练集用于网络拟合,验证集用于调整参数,测试集用于评估模型)
3.predice 脚本用于推理图像,会生成gt以及gt+image的掩膜图像

【代码做了详细注释,可以自行下载查看,想要训练自己的数据,参考README文件,傻瓜式运行】

			
		

	





	

		

			

				
					
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx

				
			

			

				

					09-01
				

			

		

		

			
				
弹性力学数值方法:有限元法(FEM):三维弹性问题有限元分析.docx

			
		

	





	

		

			

				
					
基于springboot的智能家居系统设计与实现.docx

				
			

			

				

					09-01
				

			

		

		

			
				
基于springboot的智能家居系统设计与实现.docx

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
syfjava

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值