SpringBoot防止Xss和Sql注入攻击过滤器

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: SpringBoot 文章标签: xss sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/meser88/article/details/121211112
版权 
package org.demo.monitor;

import com.ctrip.framework.apollo.model.ConfigChangeEvent;
import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.EnvironmentAware;
import org.springframework.core.env.Environment;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.net.URLDecoder;
import java.util.Arrays;
import java.util.Enumeration;
import java.util.Iterator;
import java.util.List;
import java.util.regex.Pattern;

@WebFilter(filterName = "xssAndSqlFilter", urlPatterns = {"/*"})
@Slf4j
@Component
public class XssAndSqlFilter implements Filter, EnvironmentAware {
    private Pattern paramPattern;
    private Pattern urlPattern;
    protected Environment environment;
    //filter是否启用的总开关(ON/OFF)
    protected String flag;
    protected String nameListType;
    // 白名单
    protected List<String> whiteList;
    // 黑名单
    protected List<String> blackList;

    public XssAndSqlFilter() {
    }

    public void init(FilterConfig filterConfig) {
    }

    public void destroy() {
    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        boolean directFlag = this.safeProtectFilter(request, response);
        if (directFlag) {
            try {
                ((HttpServletResponse) response).sendError(500, "illegal request parameter from smy filter");
                return;
            } catch (Exception var6) {
                log.error("sendError fail, e:{}.", var6.getMessage(), var6);
            }
        }

        chain.doFilter(request, response);
    }

    public boolean safeProtectFilter(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        String uri = httpRequest.getRequestURI();
        if (this.supports(uri)) {
            if (this.urlPattern != null) {
                uri = URLDecoder.decode(uri, "utf-8");
                if (this.urlPattern.matcher(uri).find()) {
                    return true;
                }
            }

            if (this.paramPattern != null) {
                Enumeration allParam = request.getParameterNames();

                while (allParam.hasMoreElements()) {
                    String pName = (String) allParam.nextElement();
                    String pValue = request.getParameter(pName);
                    if (pValue != null) {
                        pValue = pValue.toLowerCase();
                        if (this.paramPattern.matcher(pValue).find()) {
                            return true;
                        }
                    }
                }
            }
        }

        return false;
    }

    public boolean supports(String uri) {
        if (!"ON".equalsIgnoreCase(this.flag)) {
            return false;
        } else if ("white".equalsIgnoreCase(this.nameListType)) {
            return !this.matchList(this.whiteList, uri);
        } else {
            return "black".equalsIgnoreCase(this.nameListType) ? this.matchList(this.blackList, uri) : false;
        }
    }

    private boolean matchList(List<String> list, String uri) {
        Iterator var3 = list.iterator();

        String item;
        do {
            if (!var3.hasNext()) {
                return false;
            }

            item = (String) var3.next();
        } while (item == null || item.length() <= 0 || !uri.contains(item));

        return true;
    }

    public void setEnvironment(Environment environment) {
        this.environment = environment;
        this.refreshProp();
    }

    // 监听apollo配置变化
    @ApolloConfigChangeListener
    private void onChange(ConfigChangeEvent changeEvent) {
        this.refreshProp();
    }

    private void refreshProp() {
        try {
            this.refreshPropInternal();
        } catch (Exception var2) {
            log.error("refreshProp error, e:{}.", var2.getMessage(), var2);
            this.flag = "OFF";
        }

    }

    void refreshPropInternal() {
        this.flag = this.environment.getProperty("xss.sql.filter.flag", "OFF");
        this.nameListType = this.environment.getProperty("xss.sql.filter.name.list.type", "white");
        this.whiteList = Arrays.asList(this.environment.getProperty("xss.sql.filter.white.list", "").split(","));
        this.blackList = Arrays.asList(this.environment.getProperty("xss.sql.filter.black.list", "").split(","));
        // 检查requestParam的正则
        String paramReg = this.environment.getProperty("xss.sql.filter.request.param.reg", "(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|union|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\\b)");
        this.paramPattern = Pattern.compile(paramReg, 2);
        String urlReg = this.environment.getProperty("xss.sql.filter.request.url.reg", "<[\\s\\x00]*script|<textarea|<applet|<object|<embed|<noscript|<style|alert[\\s\\x00]*\\(");
        this.urlPattern = Pattern.compile(urlReg, 2);
    }
}

开关,白名单等参数使用apollo动态配置

依赖:

 <!-- https://mvnrepository.com/artifact/com.ctrip.framework.apollo/apollo-client -->
        <dependency>
            <groupId>com.ctrip.framework.apollo</groupId>
            <artifactId>apollo-client</artifactId>
            <version>1.8.0</version>
        </dependency>

码上得天下
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xss攻击字符过滤器 Java_使用Filter过滤器解决XSS跨脚本攻击SQL注入问题
weixin_28839601的博客
02-24 990
在JAVA开发工程中难免会出现XSSSQL注入漏洞,这些问题的产生都是由于url中带有js、html、特殊字符欺骗服务器达到请求数据。解决的思路是把传到后端的参数进行转义处理,从而避免这些问题的产生。第一步:自定义filter过滤器.public class XSSFilter extends OncePerRequestFilter {private String exclude = null...
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
sql注入xss攻击, springmv拦截器
07-24
sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
java过滤器防止XSSSQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
SpringBoot中如何防止XSS攻击sql注入
最新发布
2302_77596945的博客
05-23 512
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
预防XSS攻击SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
SpringBoot 防止XSS攻击SQL攻击拦截器(Filter)
zhouzhiwengang的专栏
03-24 3327
什么是SQL攻击、什么是XSS攻击 SQL 攻击:把SQL命令插入到Web表单并提交,欺骗服务器执行恶意的SQL命令。 XSS 攻击:向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。 创建拦截器第一步: 创建XssAndSqlHttpServletRequestWrapper包装器,这是实现XSSSQL过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对ht
springboot 防止xsssql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 1832
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
java web Xsssql注入过滤器.zip
04-22
5. **单元测试和集成测试**:为了确保过滤器SQL注入防护的有效性,项目可能包含了一些测试用例,使用JUnit和Mockito等工具模拟请求和数据库交互,验证安全措施是否正常工作。 总之,这个项目提供了预防XSSSQL...
spring boot加入拦截器Interceptor过程解析
08-25
主要介绍了spring boot加入拦截器Interceptor过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一个开源的安全库,提供了一系列的安全功能,包括输入验证、输出编码、安全随机数生成...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
springboot整合XSS
03-20
2. 使用安全的编程模式,例如预编译SQL语句以防止SQL注入,同时也能防止XSS。 3. 使用最新的安全框架和库,定期更新以修复已知漏洞。 4. 在服务器端和客户端同时实施防护策略,提高安全性。 5. 建立严格的访问控制和...
SpringBoot防止跨站脚本(XSS注入攻击
Sunshine_zjh的博客
06-20 3236
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
Java实现XSS防御
热门推荐
宏微的博客
07-25 2万+
XSS概述跨站脚本攻击(Cross Site Scripting)
实用:防止SQLXSS注入攻击的Filter
johennes的专栏
08-26 4826
本文主要原理是转换过滤或拦截请求中的非法字符 FILTER代码: XssFilter.java /** * {@link CharLimitFilter} * * 拦截防止XSS注入 * * @author Administrator */ public class XssFilter implements Filter { /* (non-Javadoc) * @se
SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4497
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
springboot如何实现使用过滤器防止xss攻击sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来防止XSS攻击SQL注入。 1. 防止XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值