使用Jsoup防御XSS攻击

最新推荐文章于 2023-02-21 10:34:50 发布
最新推荐文章于 2023-02-21 10:34:50 发布
阅读量1.7k 收藏 5
点赞数 2
分类专栏: springBoot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/li_jiazhi/article/details/103046139
版权

使用Jsoup防御XSS攻击

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

使用Jsoup可以有效的过滤不安全的代码。Jsoup使用白名单的机制来预防XSS攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都会被过滤掉。

常见的XSS攻击

比如页面的某个表单允许用户输入任意内容,当某个调皮的用户输入如下内容:QQ截图20180329102901.png

保存后,你会发现页面文字都变成了红色!

QQ截图20180329102936.png

或者输入<script>for(var i=0;i<10;i++){alert("fuck you");}</script>,保存后页面将弹窗10次!

引入Jsoup

使用Maven构建一个简单的Spring Boot项目,在pom中引入:

1
2
3
4
5

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.9.2</version>
</dependency>

 

JsoupUtil

创建一个JsoupUtil工具类:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

import java.io.FileNotFoundException;
import java.io.IOException;

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 * Xss过滤工具
 *
 */
public class JsoupUtil {

    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /*
    * 配置过滤化参数,不对代码进行格式化
    */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    static {
        /*
         * 富文本编辑时一些样式是使用style来进行实现的 比如红色字体 style="color:red;" 所以需要给所有标签添加style属性
         */
        whitelist.addAttributes(":all", "style");
    }

    public static String clean(String content) {
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }
}

 

这里采用的白名单为basicWithImages,Jsoup内置了几种常见的白名单供我们选择,如下表所示:

白名单对象标签说明
none只保留标签内文本内容
simpleTextb,em,i,strong,u简单的文本标签
basica,b,blockquote,br,cite,code,dd,
dl,dt,em,i,li,ol,p,pre,q,small,span,
strike,strong,sub,sup,u,ul		基本使用的标签
basicWithImagesbasic 的基础上添加了 img 标签
及 img 标签的 src,align,alt,height,width,title 属性		基本使用的加上 img 标签
relaxeda,b,blockquote,br,caption,cite,
code,col,colgroup,dd,div,dl,dt,
em,h1,h2,h3,h4,h5,h6,i,img,li,
ol,p,pre,q,small,span,strike,strong,
sub,sup,table,tbody,td,tfoot,th,thead,tr,u,ul		在 basicWithImages 的基础上又增加了一部分部分标签

XssHttpServletRequestWrapper

创建一个XssHttpServletRequestWrapper,同过重写getParameter()getParameterValues()getHeader()方法来过滤HTTP请求中参数包含的恶意字符:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringUtils;

import cc.mrbird.common.util.JsoupUtil;

/**
 * Jsoup过滤http请求,防止Xss攻击
 *
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest = null;
    
    private boolean isIncludeRichText = false;
    
    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
        super(request);
        orgRequest = request;
        this.isIncludeRichText = isIncludeRichText;
    }

    /**
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤如果需要获得原始的值,则通过super.getParameterValues(name)来获取
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
    */
    @Override
    public String getParameter(String name) {
        if (("content".equals(name) || name.endsWith("WithHtml")) && !isIncludeRichText) {
            return super.getParameter(name);
        }
        name = JsoupUtil.clean(name);
        String value = super.getParameter(name);
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] arr = super.getParameterValues(name);
        if (arr != null) {
            for (int i = 0; i < arr.length; i++) {
                arr[i] = JsoupUtil.clean(arr[i]);
            }
        }
        return arr;
    }

    /**
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤如果需要获得原始的值,则通过super.getHeaders(name)来获取
    * getHeaderNames 也可能需要覆盖
    */
    @Override
    public String getHeader(String name) {
        name = JsoupUtil.clean(name);
        String value = super.getHeader(name);
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value);
        }
        return value;
    }

    /**
    * 获取原始的request
    */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
    * 获取原始的request的静态方法
    */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }
        return req;
    }

}

 

XssFilter

创建XssFilter,同过使用上面定义的XssHttpServletRequestWrapper类中的getParameter()等方法来保证参数得到了过滤:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.apache.commons.lang.BooleanUtils;
import org.apache.commons.lang.StringUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;

/**
 * Xss攻击拦截器
 *
 */
public class XssFilter implements Filter {

    private static Logger logger = LoggerFactory.getLogger(XssFilter.class);
    // 是否过滤富文本内容
    private static boolean IS_INCLUDE_RICH_TEXT = false;
    
    public List<String> excludes = new ArrayList<String>();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        logger.info("------------ xss filter init ------------");
        String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
        if (StringUtils.isNotBlank(isIncludeRichText)) {
            IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
        }
        String temp = filterConfig.getInitParameter("excludes");
        if (temp != null) {
            String[] url = temp.split(",");
            for (int i = 0; url != null && i < url.length; i++) {
                excludes.add(url[i]);
            }
        }
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (handleExcludeURL(req, resp)) {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,
        	IS_INCLUDE_RICH_TEXT);
        chain.doFilter(xssRequest, response);
    }

    @Override
    public void destroy() {
    
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        if (excludes == null || excludes.isEmpty()) {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find())
            return true;
        }
        return false;
    }
}

 

Spring Boot中配置XssFilter

使用JavaConfig的形式配置:

1
2
3
4
5
6
7
8
9
10
11
12
13

@Bean
public FilterRegistrationBean xssFilterRegistrationBean() {
    FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
    filterRegistrationBean.setFilter(new XssFilter());
    filterRegistrationBean.setOrder(1);
    filterRegistrationBean.setEnabled(true);
    filterRegistrationBean.addUrlPatterns("/*");
    Map<String, String> initParameters = new HashMap<String, String>();
    initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
    initParameters.put("isIncludeRichText", "true");
    filterRegistrationBean.setInitParameters(initParameters);
    return filterRegistrationBean;
}

 

参考文章:

  1. https://blog.csdn.net/u014411966/article/details/78164752

  2. https://www.jianshu.com/p/32abc12a175a?nomobile=yes

li_jiazhi
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot2.x使用JsoupXSS攻击的实现
10-15
主要介绍了springboot2.x使用JsoupXSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot整合XSS.zip
04-30
总结,通过SpringBoot整合XssFilter和Jsoup,我们可以有效地防御XSS攻击,保护Web应用的安全。同时,理解并实践良好的编程习惯和安全策略,对于预防SQL注入等其他安全问题也至关重要。在实际项目中,应结合多种防护...
使用 Jsoup 防御 XSS 攻击
编码行者的博客
05-07 1563
跨站脚本攻击 (Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。 使用 Jsoup 可以有效的过滤不安全的代码。Jsoup 使用白名单的机制来预防 XSS 攻击,比如白名单中规定只允许<span>标签的存在,那么其他标签都
使用java的HTML解析器 jsoup来防止XSS攻击
努力让自己更优秀的博客
09-08 1622
1,基本概念 jsoup 是一款Java 的HTML解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于jQuery的操作方法来取出和操作数据。 2,使用jsoup能够做什么 1&amp;amp;amp;amp;gt; 从URL,文字或者字符串中解析HTML; 2&amp;amp;amp;amp;gt;查找和提取数据,使用DOM遍历或者CSS选择器; 3&amp;amp;am
springboot整合XSS
03-20
在现代Web应用开发中,安全性是至关重要的一个环节。Spring Boot作为Java领域广泛使用的微服务...通过配置Spring Security,使用过滤器,以及配合其他安全库,我们可以显著增强Spring Boot应用对XSS攻击防御能力。
java的jsoup
12-29
`Jsoup.clean()`方法会根据白名单策略清洗HTML,移除所有不安全的元素和属性,从而防止XSS攻击Jsoup还提供了许多其他功能,例如选择器API,它类似CSS,可以方便地定位和提取HTML元素。例如: ```java Document ...
jsoup-1.6.2.jar
02-19
4. **HTML清理**:jsoup具有内置的HTML清理功能,它可以确保输入的HTML符合标准,消除可能的安全隐患,如XSS攻击。这是因为在处理用户输入时,防止恶意代码注入是非常重要的。 5. **安全的DOM操作**:由于jsoup对...
使用Jsoup防止XSS攻击
刘迪敏的专栏
01-17 3199
树挪死,人挪活。 大城市小人物,生活最终会把你变成你讨厌的人。 前阵子项目国测后,打开一个项目页面,莫名其妙弹出xss,搜了全局也没找到alert("xss"),问了一下项目经理,原来是国测做防注入的时候,在添加数据的时候做的,一脸懵逼。 查了一下资料,以前做项目的时候都没想到这个问题,如果保存一段script脚本,查数据的时候,这段脚本就会被执行,这东西后果挺严重啊,如果是在桌面外弹框...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Jsoup 解析JSP
11-16
jsoup 是一款 Java 的HTML 解析器,可直接解析某个URL地址、HTML文本内容。它提供了一套非常省力的API,可通过DOM,CSS以及类似于JQuery的操作方法来取出和操作数据。 但是他不支持JSP页面,例如不支持: 1、<%@page contentType="text/html; charset=UTF-8"%> <%@page import="*" %>等标签 2、不支持内嵌入java代码。 3、不能在<html>元素之前添加JSP标签,例如: <jsp:page contentType="text/html; charset=UTF-8" /> 该版本在jsoup-1.6.1之上修改,支持以上等内容。
Jsoup代码解读之八-防御XSS攻击
weixin_33756418的博客
08-31 109
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Boot 使用 Jsoup 拦截XSS
吃西瓜不吐葡萄皮
01-12 620
文章来源:转载以便下次可以找到:https://zdran.com/20180511.html 文章目录目标工具实现原理参数拦截脚本过滤 目标 使用 Spring Boot 的 Filter 对参数拦截,使用 Jsoup 对 参数中的 XSS进行过滤。 工具 Spring Boot 2.0 Jsoup(可选) 实现原理 Spring Boot 的 Filter 拦截到前端的参数后进行过滤(看着是不是很简单??)。 说白了就是两个功能:参数拦截、脚本过滤。 参数拦截 想要过滤XSS首先要能拦截到前端的
java解释样式表(配合jsoup使用过滤 expression等xss)
一名普通码农的菜地
04-25 2703
https://code.google.com/p/phloc-css/wiki/FirstSteps
JsoupUtil
yushuichang的博客
02-21 262
Jsoup抓取
独立完成系统开发九:安全问题
呵呵彡的博客
06-06 3057
独立完成系统开发九:安全问题 上一篇说了缓存的相关应用,通过spring的缓存抽象我们就可以在项目中随意切换缓存了,这样整个项目就可以不用再依赖于redis,直接就可以跑起来,当然如果需要搭建分布式那么在切换到redis就可以了。 这篇博文我会介绍一下,系统中会碰到的一些安全问题,以及漏洞的处理,如果后面遇到了其他的安全问题会持续更新 XSS(跨站脚本攻击) xss介绍 跨站脚本攻击在实际中还是很常见的。而且实现XSS攻击还并不是很复杂,所以还是很有必要对XSS进行处理的 先介绍一下什么是XSS: 跨站脚本
Jsoup学习笔记(java爬虫实践)
qq_45212775的博客
05-05 301
Jsoup爬取是我第一次进行的爬虫实践,虽然途中有些坎坷,总体的使用体验还算不错。接下来简单做个随记 Jsoup的git地址 导入Jsoup包 以AndroidStudio为例,在libs目录里添加下载好的jar包 记得添加网络权限 <uses-permission android:name="android.permission.INTERNET"/> 创建JsoupUti...
使用jsoup解决xss(跨站脚本攻击)威胁
T2080305的博客
09-07 2895
1. 在介绍jsoup之前,首先来详细介绍一下关于xss的信息。 1.1 什么是xss  Cross-Site Scripting(XSS)是一类注入问题,恶意脚本被注入到健康的、可信任的网站。当一个攻击者通过一个网站应用程序,     以浏览器端脚本的形式,给另一端的用户发送恶意代码时,XSS攻击就发生了。允许这种攻击成功的缺陷广泛存在于各个大小网站,     只要这个网站某个页面将用户的输...
springboot怎么防止xss攻击
最新发布
05-22
Spring Boot提供了一些方法来防止XSS攻击: 1. 使用Thymeleaf等模板引擎进行HTML转义。 2. 使用Jsoup等HTML解析器对输入的HTML数据进行过滤。 3. 使用Spring Security框架的CSRF功能,防止跨站请求伪造攻击。 4. 在前端页面使用HttpOnly属性来防止Cookie被获取,从而减少XSS攻击的威胁。 5. 对输入的数据进行验证,确保用户输入的数据符合预期的格式,例如只允许输入特定字符或数字。 6. 避免将用户输入的数据作为HTML标签或JavaScript代码直接插入到页面中,而是应该使用编码函数对其进行转义处理,例如对特殊字符进行转义。 在实际应用中,我们应该综合使用上述方法来防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值