SpringBoot配置XSS过滤器基于mica-xss

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量4.2k 收藏 9
点赞数 1
分类专栏: 基础框架 文章标签: XSS过滤器mica-xss SpringBoot集mica
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37583655/article/details/123948725
版权
本文介绍了如何在SpringBoot项目中集成mica-xss来防御XSS攻击。首先,解释了XSS攻击的概念及其危害,然后详细说明了mica框架的特点和版本信息。接着,展示了如何添加mica-xss的maven依赖,并通过代码实例演示了如何在 UserController 中使用@XssCleanIgnore注解实现XSS过滤。最后,提供了测试验证的方法,证明了注解能有效防止XSS攻击。
摘要由CSDN通过智能技术生成

SpringBoot配置XSS过滤器基于mica-xss

1. 业务概述

1.1 XSS简介

XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。通俗的讲就是通过web应用可输入参数,输入script脚本实现xss攻击。主要防御措施是通过web页面关键字特殊字符过滤。

常见网络攻击详解:https://blog.csdn.net/m0_37583655/article/details/123948614

1.2 需求概述

在常见的开发中需要注意xss跨站脚本的攻击,需要对参数关键字做一些校验与过滤,避免将script脚本存入数据库或者造成数据泄漏等安全问题,mica则是常见的开发工具包,其提供的xss功能可以解决该问题,避免xss攻击,当然方式有很多,通过jsonp或者过滤器也可以实现,为了避免重复造轮子,这里采用mica-xss方式实现。

2. mica概述

2.1 mica简介

Mica,Spring Cloud 微服务开发核心包,支持 web 和 webflux。

2.1 mica对应springboot版本信息

最新版本mica版本spring boot 版本spring cloud 版本
2.6.6mica 2.6.x2.6.x2021
2.5.8mica 2.5.x2.5.x2020
2.4.11mica 2.4.x2.4.x2020
2.1.1-GAmica 2.0.x~2.1.x2.2.x ~ 2.3.xHoxton

2.2 mica核心功能

mica-auto (Spring boot starter 利器): https://gitee.com/596392912/mica-auto
mica-weixin(jfinal weixin 的 spring boot starter): https://gitee.com/596392912/mica-weixin
mica-mqtt(基于 t-io 实现的 mqtt组件): https://gitee.com/596392912/mica-mqtt
Spring cloud 微服务 http2 方案(h2c): https://gitee.com/596392912/spring-cloud-java11
mica-security(mica权限系统 vue 改造中): https://gitee.com/596392912/mica-security

在这里插入图片描述

2.3 mica协议文档

mica采用LGPL(GNU Lesser General Public License)协议。

LGPL 是 GPL 的一个为主要为类库使用设计的开源协议。和 GPL 要求任何使用/修改/衍生之 GPL 类库的的软件必须采用 GPL 协议不同。LGPL 允许商业软件通过类库引用(link)方式使用 LGPL 类库而不需要开源商业软件的代码。这使得采用 LGPL 协议的开源代码可以被商业软件作为类库引用并发布和销售。

但是如果修改 LGPL 协议的代码或者衍生,则所有修改的代码,涉及修改部分的额外代码和衍生的代码都必须采用 LGPL 协议。因此 LGPL 协议的开源代码很适合作为第三方类库被商业软件引用,但不适合希望以 LGPL 协议代码为基础,通过修改和衍生的方式做二次开发的商业软件采用。

mica相关文档
mica 源码 Github:https://github.com/lets-mica
mica 源码 Gitee(码云):https://gitee.com/596392912/mica
mica 性能压测:https://github.com/lets-mica/mica-jmh
文档地址(官网):http://wiki.dreamlu.net
文档地址(语雀-可关注订阅):https://www.yuque.com/dreamlu

mica gitee:https://gitee.com/596392912/mica
mica2.x使用文档:https://www.dreamlu.net/mica2x/index.html
跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss):https://www.cnblogs.com/cao-lei/p/14101782.html

3. SpringBoot集成mica-xss

3.1 maven依赖

<dependency>
	<groupId>net.dreamlu</groupId>
	<artifactId>mica-core</artifactId>
	<version>2.0.9-GA</version>
</dependency>
<dependency>
	<groupId>net.dreamlu</groupId>
	<artifactId>mica-xss</artifactId>
	<version>2.0.9-GA</version>
</dependency>

3.2 代码实现

UserController

package com.zrj.flowable.controller;

import com.zrj.flowable.entity.UserEntity;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import lombok.extern.slf4j.Slf4j;
import net.dreamlu.mica.xss.core.XssCleanIgnore;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 用户控制器
 *
 * @author zrj
 * @since 2022/4/4
 **/
@Slf4j
@RestController
@RequestMapping(value = "user")
@Api(tags = "UserController", description = "用户控制器")
public class UserController {

    /**
     * 获取用户信息
     * 当参数username=<script>alert(666)</script>
     * 接收不到username参数,username=null
     *
     * @param user 用户对象
     * @return
     */
    @GetMapping("/get")
    @ApiOperation("普通方式,获取用户信息")
    public String get(UserEntity user) {
        log.info("【普通方式】获取用户信息,user:{}", user);
        return user.toString();
    }

    /**
     * 获取用户名称
     * 不会把参数username=<script>alert(666)</script>过滤掉
     *
     * @param username 用户名称
     * @return
     */
    @GetMapping("/getUserName")
    @ApiOperation("普通方式,获取用户名称")
    public String getUserName(String username) {
        log.info("【普通方式】获取用户名称,username:{}", username);
        return username;
    }

    /**
     * 获取用户名称
     * 跳过过滤, 在Controller或者方法上添加注解@XssCleanIgnore。
     * 会把参数username=<script>alert(666)</script>过滤掉
     *
     * @param username 用户名称
     * @return
     */
    @XssCleanIgnore
    @GetMapping("/getRegisterUserName")
    @ApiOperation("过滤方式,获取用户名称")
    public String getRegisterUserName(String username) {
        log.info("【过滤方式】获取用户名称,username:{}", username);
        return username;
    }

}

UserEntity

package com.zrj.flowable.entity;

import lombok.Data;

/**
 * @author zrj
 * @since 2022/4/4
 **/
@Data
public class UserEntity {
    /**
     * 用户ID
     */
    private String id;

    /**
     * 用户名称
     */
    private String username;
}

3.3 测试验证

xss防御主要是通过@XssCleanIgnore注解实现。正常请求不会把参数username=。
在这里插入图片描述
在这里插入图片描述

靖节先生
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot成Hutool或mica防止XSS攻击实现
toudousi的博客
07-20 1358
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
最新发布
weixin_73588491的博客
07-05 6653
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
SpringBoot使用mica-xss防止Xss攻击
热门推荐
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
XSS过滤器配置解析
m0_37027631的博客
12-13 4225
XSS过滤器配置解析 http://pan.baidu.com/s/1eSgIwMI(百度云代码下载链接) 知识点拓展:在myeclipse或者eclipse中src或者WebRoot(myeclipse中)/WebContent(eclipse中)中的文件的路径是项目的根路径 1、src下(或者任意路径下)创建XSSFilter文件夹,里面创建五个类(详细代码去上边百度云链接地址中下载)
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4129
Springboot配置XSS过滤器XssFilter
Springboot学习(十五) 配置XSS过滤器
文若书生的专栏
01-24 8085
引入JSOUP // https://mvnrepository.com/artifact/org.jsoup/jsoup compile group: 'org.jsoup', name: 'jsoup', version: &quot;${jsoupVersion}&quot; 定义XssHttpServletRequestWrapper public class XssHttpServletR...
SpringBoot整合XSS.zip
04-30
2. **配置过滤器**:在SpringBoot配置文件(application.properties或application.yml)中,添加XssFilter的相关配置,指定过滤规则和行为。 3. **编写过滤器代码**:创建一个实现了Filter接口的类,并在doFilter...
面向规则缺陷的浏览器XSS过滤器测试方法
01-20
为了缓解跨站脚本(XSS,cross-site scripting)攻击,现代...基于所提方法,设计原型系统对几种主流浏览器XSS过滤器进行自动化测试,得到了不同浏览器的XSS过滤能力。经过实际测试,该系统具备发现未公开漏洞的能力。
mica-xss预防文件导入XSS
05-19
Mica-xss 的使用非常简单,只需要在 web.xml 文件中配置过滤器,即可对所有上传的文件进行过滤。下面是一个示例: ```xml <filter-name>xssFilter</filter-name> <filter-class>...
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
只需添加以下依赖即可启用XSS过滤功能: ```xml <!-- XSS 安全过滤 --> <groupId>net.dreamlu</groupId> <artifactId>mica-core <version>2.0.9-GA <groupId>net.dreamlu</groupId> <artifactId>mica-xss ...
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
xss根据白名单过滤HTML防止XSS攻击
08-12
xss是一个用于对用户输入的内容进行过滤,以避免遭受XSS攻击的模块 (什么是XSS攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、 格式控制相关的HTML的场景,xss模块通过白名单来控制允许的标签及相关的标签属性。
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3523
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
java xss设置_配置Java Xss保护过滤器
weixin_33288893的博客
02-13 644
/*** Eclipse Class Decompiler plugin, copyright (c) 2016 Chen Chao (cnfree2000@hotmail.com) ***/package com.vprisk.vpframe.xss;import com.vprisk.vpframe.xss.XssHttpServletRequestWrapper;import java.io...
Spring boot 微服务核心组件 mica v1.0.1 发布
weixin_34401479的博客
04-04 108
百度智能云 云生态狂欢季 热门云产品1折起>>> mica(云母) mica 云母,寓意为云服...
跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss
C3Stones
12-06 1828
1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。   XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2. XSS相关博客   跨站点脚本编制 - SpringBoot配置XS...
SpringBootXSS攻击
HDesigner的博客
11-10 2005
XSS是啥就不多介绍了,主要介绍一下SpringBoot用最简单的方式进行防护 首先需要引入的依赖如下 <dependency> <groupId>net.dreamlu</groupId> <artifactId>mica-xss</artifactId> <version>2.0.9-GA</version> </dependency> <dependency>
springboot配置xss过滤返回结果
05-30
要在Spring Boot应用程序中配置XSS过滤器并返回结果,可以按照以下步骤操作: 1. 创建一个名为XSSFilter的类并实现javax.servlet.Filter接口。 2. 在doFilter()方法中实现XSS过滤逻辑。 3. 在Spring Boot应用程序的...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值