防范xss攻击-springboot代码实现

最新推荐文章于 2024-07-13 11:08:13 发布
最新推荐文章于 2024-07-13 11:08:13 发布
阅读量6.9k 收藏 6
点赞数 1
分类专栏: 后端开发 项目安全防范 文章标签: java spring xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lisiping317/article/details/82684631
版权

【现象】:form 提交可执行的HTML 标签或JS 代码成功。比如:"/><script>alert('啦啦啦啦啦啦')</script><!-   或者
<img src='1.jpg' οnlοad=alert(1)>

【后果】:盗取用户cookie 信息、网页钓鱼攻击、修改网站代码、网站重定向。

【原因】: 提交的内容未做任何处理就入库。

【解决方案】: 对所有入库的数据转码HtmlUtils.htmlEscape,增加加Filter

【代码实现】

1.定义一个过滤器

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;


/**
 * @Description: 转义所有form数据的过滤器
 */
public class XSSFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request =  (HttpServletRequest)servletRequest;
        filterChain.doFilter(new XSSRequestWrapper(request) , servletResponse);
    }

    @Override
    public void destroy() {

    }
}

2.写一个包装类

import org.springframework.web.util.HtmlUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * @Auther: Lee
 * @Date: 2018-08-14
 * @Description: request的包装类
 */
public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        //获取所有参数值的集合
        String[] results = this.getParameterMap().get(name);
        if (results != null && results.length > 0) {
            int length = results.length;
            for (int i = 0; i < length; i++) {
                //过滤参数值
                results[i] = HtmlUtils.htmlEscape(results[i]);
            }
            return results;
        }
        return null;
    }

}

3.编写一个URL过滤器,得到所有需要过滤的URL的集合

import org.apache.commons.collections.CollectionUtils;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.ApplicationContext;
import org.springframework.context.annotation.Bean;
import org.springframework.stereotype.Component;
import org.springframework.web.method.HandlerMethod;
import org.springframework.web.servlet.mvc.method.RequestMappingInfo;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping;

import java.util.HashSet;
import java.util.LinkedHashSet;
import java.util.Map;
import java.util.Set;
import java.util.regex.Pattern;

/**
 * 从springContext中获取所有ControllerMapping 并过滤出含有save的url,这些url的请求会经过TransferFilter
 */
@Component
public class FilterUrlMapping {

    @Autowired
    ApplicationContext applicationContext;

    //@Bean
    public Set<String> allUrlMappings() {
        Set<String> result = new HashSet();
        RequestMappingHandlerMapping rmhp = applicationContext.getBean(RequestMappingHandlerMapping.class);
        Map<RequestMappingInfo, HandlerMethod> map = rmhp.getHandlerMethods();

        for (RequestMappingInfo info : map.keySet()) {
            //getMatchingPatterns优化
             result.add(info.getPatternsCondition().toString().replace("[", "").replace("]", ""));
        }
        return result;
    }

    @Bean
    public FilterRegistrationBean filterRegistration() {
        FilterRegistrationBean filterRegistration = new FilterRegistrationBean();
        filterRegistration.setFilter(new XSSFilter());//添加过滤器
        Set<String> allSaveUrlPattern = allUrlMappings();//emsBasePrivilegeDao.findAllSaveUrlPattern();

        if(CollectionUtils.isEmpty(allSaveUrlPattern)){
            return filterRegistration;
        }

        String pattern = "/*.*save.*";//  save
        Set<String> urlPatterns = new LinkedHashSet();

        for (String saveUrlPattern : allSaveUrlPattern) {
            if (Pattern.matches(pattern, saveUrlPattern)) {
                urlPatterns.add(saveUrlPattern);
            }
        }
        filterRegistration.setUrlPatterns(urlPatterns);

        filterRegistration.setName("XSSFilter");//
        return filterRegistration;
    }


}

 

佳崴
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Springboot 阻止XSS攻击
web13985085406的博客
08-02 823
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
springboot 中防止 XSS 攻击
Fightevery的博客
07-05 1455
1. 什么是XSS攻击XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何防范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
【前端安全】-【防范xss攻击
m0_59598029的博客
03-24 1765
这样攻击者可以绕过后端的关键词规则,又成功的完成了注入。是恶意代码,因而将其执行。这里不仅仅div的内容被注入了,而且input的value属性也被注入,alert会弹出两次。公司需要一个搜索页面,根据 URL 参数决定关键词的内容。,虽然代码不会立即执行,但一旦用户点击a标签时,浏览器会就会弹出“XSS”。的值转换成小写,再比对,下文省略了转换成小写的代码。时,服务端会解析出请求参数keyword,得到。,会导致页面弹出两次弹窗,因为当浏览器请求。XSS 攻击是页面被注入了恶意的代码
Spring Boot实战:多层面防御XSS攻击的详细步骤
最新发布
kiingking的博客
07-13 361
Spring Boot中防止XSS(跨站脚本)攻击通常涉及几个关键步骤,包括使用注解、创建过滤器以及配置安全策略。
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2383
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
SpringBootXss攻击
weixin_48040732的博客
11-11 5788
这里记录一下怎么防止Xss攻击代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
SpringBootXSS攻击
weixin_30785593的博客
04-24 119
1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.9.2</version> </...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 7137
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
springboot2.x使用Jsoup防XSS攻击实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1330
Web安全常见攻击手段 XSS、SQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
SpringBoot整合XSS.zip
04-30
总结,通过SpringBoot整合XssFilter和Jsoup,我们可以有效地防御XSS攻击,保护Web应用的安全。同时,理解并实践良好的编程习惯和安全策略,对于预防SQL注入等其他安全问题也至关重要。在实际项目中,应结合多种防护...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
weixin_42132035的博客
07-06 2356
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
springbootxss攻击的三种方式(SQL注入适用)
qq_38275707的博客
09-09 1679
文章目录拦截器自定义消息转码器注解+反射比较 XSS攻击和SQL注入,原理就不多说了,主要记录一下3种方式来避免 拦截器 主要是继承HttpServletRequestWrapper,然后重写里面的方法实现,再加上实现Filter达到拦截效果。其实转码方式可以直接用HtmlUtils.htmlEscape,但是getInputStream里面返回会有“\t”,会被转义,导致json格式不对,所以只能自己写转义方法 ,也可以不重写getInputStream,改为直接对json化工具动手,直接注入自定义的ob
关于springboot自动注入出现Considerdefiningabeanoftypexxxinyourconfiguration问题解决方案
永远热泪盈眶 坚持输出
06-14 2197
关于spring boot自动注入出现Consider defining a bean of type ‘xxx’ in your configuration问题解决方案 原文写的挺好的,我就不再赘述了。 原文地址:https://blog.csdn.net/a532672728/article/details/77702772
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ??
良月柒
10-31 187
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 10分钟。来自:blog.csdn.net/sinat_31420295/article/details/121519010写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值