springboot 、springmvc 预防xss 攻击 自定义WebBindingInitializer 实现类

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: java 文章标签: java xss spring boot  自定义WebBindingInit
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/michaelgong/article/details/79454462
版权 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.support.WebBindingInitializer;
import org.springframework.web.context.request.WebRequest;
import org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter;

/**
 * 全局请求参数绑定:
 * 
 * 		针对表单绑定参数处理
 * 
 */
@Configuration
public class MyWebBindingInitializer implements WebBindingInitializer {
	
	private static final WebBindingInitializer webBindingInitializer = new MyWebBindingInitializer();

	@Override
	public void initBinder(WebDataBinder binder, WebRequest request) {
		binder.registerCustomEditor(String.class, new StringEscapeEditor(true, true, false));
	}
	
	
	@Autowired
	public void getWebBindingInitializer(RequestMappingHandlerAdapter requestMappingHandlerAdapter){
		requestMappingHandlerAdapter.setWebBindingInitializer(webBindingInitializer);
	}

}


import java.beans.PropertyEditorSupport;

import org.apache.commons.lang3.StringEscapeUtils;

public class StringEscapeEditor extends PropertyEditorSupport {

	private boolean escapeHTML;
	private boolean escapeJavaScript;
	private boolean escapeSQL;

	public StringEscapeEditor() {
		super();
	}

	public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {
		super();
		this.escapeHTML = escapeHTML;
		this.escapeJavaScript = escapeJavaScript;
		this.escapeSQL = escapeSQL;
	}

	@Override
	public void setAsText(String text) {
		if (text == null) {
			setValue(null);
		} else {
			String value = text;
			if (escapeHTML) {
				value = StringEscapeUtils.escapeHtml3(value);
			}
			if (escapeJavaScript) {
				value = this.escapeScript(value);
			}
			if (escapeSQL) {
				value = this.escapeSql(value);
			}
			setValue(value);
		}
	}

	@Override
	public String getAsText() {
		Object value = getValue();
		return value != null ? value.toString() : "";
	}
	
	/**
	 * 剥离SQL注入部分代码
	 * @param value
	 * @return
	 */
	public String escapeSql(String value) {
		return value.replaceAll("('.+--)|(--)|(\\|)|(%7C)", "");
	}
	
	/**
	 * 剥离js注入
	 * @param value
	 * @return
	 */
	public String escapeScript(String value){
		value = value.replace("script", "\\script").replace("/script", "\\/script");
		return value;
	}
}

如果是springmvc 框架:

还需要在springMVC-servlet.xml文件里面进行配置,且去掉

@Configuration

注解

springMVC-servlet 配置:

<!-- 防止xss攻击 自定义 WebBindingInitializer-->
	<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">  
        <property name="cacheSeconds" value="0"/>  
        <property name="webBindingInitializer">  
            <bean class="com.wphk.filter.MyWebBindingInitializer"/>  
        </property>  
    </bean>

michaelgong
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS攻击预防措施
qq_45335911的博客
09-07 6432
XSS攻击预防 结合上一篇文章知道了XSS的基本攻击方式和基本概念,这里就主要讲一下如何预防XSS攻击。 上面是我在网上找的一个可以作为简单理解的概念图,如果不理解可以根据顺序参照理解。 预防储存型和反射型XSS攻击 存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。 预防这两种漏洞,有两种常见做法: 改成纯前端渲染,把代码和数据分隔开。 对 HTML 做充分转义。 纯前端渲染 纯前端渲染的过程: 浏览器先加载一
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 1927
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 6240
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Jsoup清除HTML标签(非白名单)
qq_22594791的博客
10-25 406
Jsoup默认提供五种白名单: 1): none() 该API会清除所有HTML标签,仅保留文本节点。 2): simpleText() ...
springmvc4配置防止XSS攻击的方法
04-05
Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。具体地,需要创建一个包装XssHttpServletRequestWrapper,用于覆盖HttpServletRequest的方法,对所有进入的请求数据进行...
springboot springmvc mybatis整合
12-24
SpringBootSpringMVC和MyBatis是Java开发中非常重要的三个框架,它们分别用于快速构建微服务、处理HTTP请求以及实现持久层操作。本文将详细介绍这三个组件的整合过程及核心概念。 首先,SpringBoot是由Pivotal...
springboot springmvc抛出全局异常的解决方法
08-30
主要为大家详细介绍了springboot springmvc抛出全局异常的解决方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
SpringMVC迁移到Springboot的方法步骤
08-28
SpringMVC迁移到Springboot的方法步骤 从SpringMVC迁移到Springboot是一种常见的迁移方式,本篇文章主要介绍了从SpringMVC迁移到Springboot的方法步骤。 Profile配置是Spring框架中的一种重要机制,用于管理多个...
springboot+springmvc+mybatis+layui实现登录用户菜单权限管理好例子
08-25
标题 "springboot+springmvc+mybatis+layui实现登录用户菜单权限管理好例子" 描述了一个集成多种技术的Web应用程序示例,它主要用于中小规模项目的框架或基础结构。这个项目结合了Spring BootSpring MVC、MyBatis...
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <dependency> <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter</artifactId> <version>0.0.1</version> </dependency> 目前支持3种入参数xss过滤 @RequestMapping("/test1") public String test1(String name) { log.error("name:{}", name); return name; } @RequestMapping("/test2/{name}/{age}/{tes
如何有效预防XSS?这几招管用
日拱一兵
06-30 7520
原文链接 预防XSS,这几招管用 最近重温了一下「黑客帝国」系列电影,一攻一防实属精彩,生活中我们可能很少有机会触及那么深入的网络安全问题,但工作中请别忽略你身边的精彩 大家应该都听过 XSS (Cross-site scripting) 攻击问题,或多或少会有一些了解,但貌似很少有人将这个问题放在心上。一部分人是存有侥幸心理:“谁会无聊攻击我们的网站呢?”;另一部分人可能是工作职责所在,很...
XSS简单预防
u010855333的博客
05-06 490
原理 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数据,如Cook
预防xss攻击
KeepCoding
12-26 823
常见的xss攻击有两种,一种是反射型,攻击者诱使用户点击一个嵌入恶意脚本的链接,达到攻击目的。另外一种是持久型,攻击者提交含有恶意脚本的请求并被应用保存在了数据库中。 虽然xss攻击相对来说是一种比较老的攻击手段,但是却又在不断的变化出新的攻击方式,因此对它的防范也是较复杂的,但是主要的防御手段有如下两种。 消毒 xss一般利用恶意脚本来攻击,所以输入的内容一般用户是较少使用的,所以
Spring Boot配置XSS
a123123sdf的博客
02-21 2483
spring boot 配置xss
XSS如何防范
qq_45803050的博客
11-27 8141
XSS如何防范 题意分析 在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。下面我们首先简单了解一下什么是 XSS 和 CSRF 。 XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击
springboot springmvc
03-16
Spring Boot是一种基于Spring Framework的快速应用程序开发框架,它可以让开发者快速构建项目并且减少配置。Spring MVC是Spring Framework中的一个模块,用于构建Web应用程序。在Spring Boot中,可以使用Spring MVC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值