XSS防御

最新推荐文章于 2023-03-29 09:53:16 发布
最新推荐文章于 2023-03-29 09:53:16 发布
阅读量178 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/njpkhuan/article/details/114907242
版权

自定义json反序列化器

package cc.fedtech.filter;

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;
import org.springframework.web.util.HtmlUtils;

import java.io.IOException;

public class XssJsonDeserializer extends JsonDeserializer<String> {
        @Override
        public String deserialize(JsonParser jsonParser, DeserializationContext ctxt)
                throws IOException, JsonProcessingException {
            String value = jsonParser.getValueAsString();
            if (value != null) {
                //对于值进行HTML转义
                return HtmlUtils.htmlEscape(value);
            }
            return value;
        }

        @Override
        public Class<String> handledType() {
            return String.class;
        }
    }

自定义json序列化器

package cc.fedtech.filter;

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import org.springframework.web.util.HtmlUtils;

import java.io.IOException;

public class XssJsonSerializer extends JsonSerializer<String> {
    @Override
    public Class<String> handledType() { return String.class; }

    @Override
    public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider)
            throws IOException {
        if (value != null) {
            //对字符串进行HTML转义
            jsonGenerator.writeString(HtmlUtils.htmlEscape(value));
        }
    }
}

自定义拦截器

package com.fedtech.common.filter.xss;

import org.apache.commons.lang3.StringUtils;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 自定义过滤器
 *
 * @author <a href = "mailto:njpkhuan@gmail.com" > huan </a >
 * @date 2021/2/8
 * @since 1.0.0
 */
@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class XssFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        String path = ((HttpServletRequest) request).getServletPath();
        if (path.equals("/")) {
            chain.doFilter(request, response);
        }
        if (StringUtils.containsAny(path, "/assets", "/templates", "/mapper","/oauth")) {
            chain.doFilter(request, response);
        }

        chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void destroy() {

    }
}

请求参数处理

package cc.fedtech.filter;

import org.apache.commons.lang3.StringUtils;
import org.springframework.web.util.HtmlUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.Arrays;

public class XssRequestWrapper extends HttpServletRequestWrapper {

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        //获取多个参数值的时候对所有参数值应用clean方法逐一清洁
        return Arrays.stream(super.getParameterValues(parameter)).map(this::clean).toArray(String[]::new);
    }

    @Override
    public String getHeader(String name) {
        //同样清洁请求头
        return clean(super.getHeader(name));
    }

    @Override
    public String getParameter(String parameter) {
        //获取参数单一值也要处理
        return clean(super.getParameter(parameter));
    }
    //clean方法就是对值进行HTML转义
    private String clean(String value) {
      return StringUtils.isEmpty(value)? "" : HtmlUtils.htmlEscape(value);
    }
}

注册反序列化器

    //注册自定义的Jackson反序列器
    @Bean
    public Module xssModule() {
        SimpleModule module = new SimpleModule();
        module.addDeserializer(String.class, new XssJsonDeserializer());
        module.addSerializer(String.class, new XssJsonSerializer());
        return module;
    }
程序员朱永胜
关注
XSS防御方法
墨痕诉清风的博客
03-14 2371
XSS防御是复杂的。流行的浏览器都内置了一些对抗XSS的措施,比如Firefox的CSP,Noscript扩展,IE8内置的XSS Filter等。而对于网站来说,也应该寻找优秀的解决方案,保护用户不被XSS攻击。 1)HttpOnly HttpOnly最早是由微软提出,并在IE 6中实现的,至今已成为一个标准。浏览器将禁止页面的JavaScript访问带有HttpOnly属性的Cookie。严格来说,HttpOnly并非为了对抗XSS--HttpOnly解决的是XSS后的Cookie劫持。 一个C
浅谈PHP序列化,反序列化
weixin_43553654的博客
12-24 434
1.序列化是什么意思呢?序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize();2.反序列化是什么意思呢?其实就是字面的意思,把序列化的数据,转换成我们需要的格式 unserialize();那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过ar...
一文读懂Json序列化与反序列化
热门推荐
天的博客
04-16 1万+
通常我们在`Web`开发中,都使用`Json`来传输和交换数据。今天我们来揭开`Json`神秘的面纱,看一看: 1. `Json`的`5w`(`why`、`what`、`who`、`when`、`where`) 2. `Java`开发中,如何将`Java`对象序列化成`Json`和如何将`Json`反序列化成`Java`对象 3. `SpringBoot`开发Web项目时,`Json`如何在`Http`协议和`SpringWeb`框架中发挥作用 最后,我们再补充一点在实际项目中可行的一些实践。
项目中如何对XSS统一处理
m0_57042151的博客
03-29 131
则当用户打开页面时,就会弹出一个警告框,而这个警告框可以被恶意脚本所替代,例如读取cookies或者其他敏感信息等操作。XSS攻击是指攻击者利用网站中的漏洞,向页面中注入恶意脚本,从而获取用户的信息或者控制用户的计算机。某一些字段可能是需要支持富文本的,比如公告栏里的内容之类的。通过在参数中的字段上加上类似@Xss的注解,来表示这个字段是不允许输入XSS脚本的。举一个通俗的例子,早期使用JSP页面渲染页面的项目,如果将用户名改成。有一些项目使用Filter+注解的方式来过滤或者提示XSS攻击。
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9153
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
Spring过滤json中的XSS
学医救不了中国人
10-24 6505
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
spring boot xss防御
11-05
本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境中有效地防止XSS攻击。以下是关于这个主题的详细知识点: 1. XSS攻击类型: - 存储型XSS:攻击者的脚本被存储在服务器端,并在后续请求时传递给其他用户...
HTML实体编码:XSS防御的关键策略
08-18
本文将详细探讨HTML实体编码在XSS防御中的作用,并提供相关的代码示例。 HTML实体编码是防御XSS攻击的关键策略之一。通过将特殊字符转换为它们的HTML实体形式,可以有效地防止恶意脚本的注入和执行。然而,为了全面...
强化Web应用防护:使用自定义规则增强WAF的XSS防御
08-18
大多数WAF提供基本的XSS防御规则,但针对特定应用的自定义规则可以提供更精确的保护。本文将详细介绍如何使用自定义规则来增强WAF的XSS防御能力,并提供代码示例。 通过使用自定义规则,可以显著增强WAF的XSS防御...
Web应用防火墙(WAF)在XSS防御中的应用
08-18
Web应用防火墙(WAF)是网络...通过本文的深入探讨,你应该能够了解WAF在XSS防御中的作用和配置方法,以及如何将其集成到Web应用的开发和部署流程中。希望本文能够为你在构建安全的Web应用时提供有价值的指导和启发。
Spring Boot XSS 攻击过滤插件使用
冷冷的博客
12-03 1299
XSS 是什么 XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。 xss 攻击流程 简单 xss 攻击示例 若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。 解决方案 XSS 过滤说明 对表单绑定的字符串类型进行 xss 处理。 对 json 字符串数据进行
对 Spring 中的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 2868
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring处
SpringMvc防御XSS实践
a120717的博客
06-13 1544
开始不知道csdn支持md格式,现在已修改,请移步: SpringMvc防御XSS实践—md格式 项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。 历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。 方案目标: ---- * 只配置一次,与业务接口无关 * 过滤两...
HMM XSS检测
djph26741的博客
12-04 191
HMM XSS检测 转自:http://www.freebuf.com/articles/web/133909.html 前言 上篇我们介绍了HMM的基本原理以及常见的基于参数的异常检测实现,这次我们换个思路,把机器当一个刚入行的白帽子,我们训练他学会XSS的攻击语法,然后再让机器从访问日志中寻找符合攻击语法的疑似攻击日志。 通过词法分割,可以把攻击载荷序列化成观察...
Microsoft Office Professional Plus 2007 Datasheet_CN_Final.doc
10-11
Microsoft Office Professional Plus 2007 Datasheet_CN_Final.doc
ProPlus2007 SuiteComparison.doc
10-11
ProPlus2007 SuiteComparison.doc
Unity动态加载外部3D模型的插件TriLib1.8.7-TriLib2.2.0
10-11
1.8-1.9直接导入,支持2018.4.9 2.0以上版本 当创建一个标准渲染管道项目时,从包中导入“TriLibCore”文件夹。 当创建HDRP项目时,从包中导入“TriLibHDRP”和“TriLibCore”文件夹。 在创建UniversalRP项目时,从包中导入“TriLibUniversalRP”和“TriLibCore”文件夹。 当使用自定义渲染管道时,你应该扩展“MaterialMapper”类。 FBX, OBJ, GLTF2, STL, PLY, 3MF, DAE*和ZIP文件支持跨平台:Windows, Mac, Linux, UWP, Android, WebGL和ioSImport模型从文件系统,web,或任何自定义源trilib可以帮助您添加建模功能,创建关卡/场景编辑器,创建AR/VR可视化
扫描电子显微镜(SEM),全球前9强生产商排名及市场份额(by QYResearch).pdf
10-11
QYResearch是全球知名的大型咨询公司,行业涵盖各高科技行业产业链细分市场,横跨如半导体产业链(半导体设备及零部件、半导体材料、集成电路、制造、封测、分立器件、传感器、光电器件)、光伏产业链(设备、硅料/硅片、电池片、组件、辅料支架、逆变器、电站终端)、新能源汽车产业链(动力电池及材料、电驱电控、汽车半导体/电子、整车、充电桩)、通信产业链(通信系统设备、终端设备、电子元器件、射频前端、光模块、4G/5G/6G、宽带、IoT、数字经济、AI)、先进材料产业链(金属材料、高分子材料、陶瓷材料、纳米材料等)、机械制造产业链(数控机床、工程机械、电气机械、3C自动化、工业机器人、激光、工控、无人机)、食品药品、医疗器械、农业等。 邮箱:market@qyresearch.com
DiscuzX3.4模板W!简论坛风格 适合于资源站
最新发布
10-11
DiscuzX3.4模板W!简论坛风格 适合于资源站等 此模板使用程序是Discuz!X3.4 应用介绍: 【升级提示】因20180808升级新增了论坛首页边栏调用内容,所以在导入论坛首页diy的时候,需要开启边栏,管理中心--界面--界面设置--论坛首页--开启边栏(是)。老用户如果想更新请先清空论坛首页diy,再重新导入新diy文件。 --模板介绍-- ->模板名称:W!"简"论坛风格。 ->模板无门户页面,开启门户无任何效果。 ->无DIY免费版没有diy文件,需要diy文件的请先购买相应带diy版本。 ->模板部分数据采用DIY数据数据调用方式,前台操作简单易用。 >模板论坛列表页开启边栏,再进行diy的导入。 ->模板论坛页面支持宽窄屏切换,支持discuz自带图片列表模式(瀑布流)。 安装教程:下载模板-----把模板上传到网站根目录的/template文件夹------解压
nginx实现XSS防御
05-24
在 Nginx 中实现 XSS 防御,可以通过 Nginx 自带的 HttpHeaderModule 模块来实现。具体的实现方法是,在 Nginx 的配置文件中添加以下...2. 除了Nginx,还有哪些常用的XSS防御方法? 3. XSS攻击可以对网站造成哪些危害?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员朱永胜

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值