Spring 中处理XSS

最新推荐文章于 2024-05-16 11:55:16 发布
最新推荐文章于 2024-05-16 11:55:16 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nz360/article/details/52252716
版权

有2种方式

一:在BaseController中定义方法

	/**
	 * 初始化数据绑定
	 * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击
	 * 
	 */
	@InitBinder
	protected void initBinder(WebDataBinder binder) {
		// String类型转换,将所有传递进来的String进行HTML编码,防止XSS攻击
		binder.registerCustomEditor(String.class, new PropertyEditorSupport() {
			@Override
			public void setAsText(String text) {
				setValue(text == null ? null : StringEscapeUtils.escapeHtml4(text.trim()));
			}
			@Override
			public String getAsText() {
				Object value = getValue();
				return value != null ? value.toString() : "";
			}
		});
	}

  其他Controller继续该抽象类即可。

二种:定义自己的编辑器

public class StringEscapeEditor extends PropertyEditorSupport {

	public StringEscapeEditor() {
		super();
	}

	public void setAsText(String text) {
		if (text == null) {
			setValue(null);
		} else {
			String value = text;
			value = StringEscapeUtils.escapeHtml4(value);
//			value = StringEscapeUtils.escapeJavaScript(value);
//			value = StringEscapeUtils.escapeSql(value);
			setValue(value);
		}
	}

	public String getAsText() {
		Object value = getValue();
		return value != null ? value.toString() : "";
	}

	public static void main(String[] args) {
		String xx="'><script>alert(document.cookie)</script>";
		System.out.println(StringEscapeUtils.escapeHtml4(xx));
	}
}

public class MyBindingInitializer implements WebBindingInitializer {
	@Override
	public void initBinder(WebDataBinder binder, WebRequest request) {
		// 注册自定义的属性编辑器。这里可以注册多个属性编辑器
		binder.registerCustomEditor(String.class, new StringEscapeEditor());

	}
}

配置文件里注册下

<bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">
<property name="webBindingInitializer">  
        <bean class="com.bypay.forpay.web.common.MyBindingInitializer"/>  
    </property>  
</bean>


其他注意事项:

在Oracle中,如果SQL中有like查询,若输入条件为:'><script>alert(document.cookie)</script>
sql的写法:
推荐:<if test="dbName == 'oracle'">'%'||#{name}||'%'</if> 
不推荐:<if test="dbName == 'oracle'">and name like '%${merId}%'</if>这种写法会导致SQL注入问题

另外网上很多的那种XSSfilter,我自己测试只有URL的那种get请求有效,spring mvc参数直接绑定到对象的方式是不会走这个filter,也就无法防止XSS的。不知道其他人是不是也这样。

nz360
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS危险字符以及其处理方法
01-12
本文档包含了XSS危险字符的基本介绍,以及与其对应的在java以及JSP处理方法
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4236
xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其一个方式..
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
weixin_44421461的博客
05-16 127
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
处理xss攻击
yeyechao的博客
07-30 1044
前端处理方法: function checkXSS(param){ var pattern = /<[^>]+>|alert(.*)/; var str = “”; $("[id=’"+ param +"’]").each(function () { str += $(this).val(); }); if (pattern.test(str)){ $.umapMessager.alert([[#{common.hint}]], [[#{config.cvalue.validate}]])
XSS 处理小结
java-he
03-15 159
网页出现XSS 攻击: 一般是由于插入了可执行脚本。比如innerHTML 或者其他方式。。。 一般处理方式是将其的一些关键地方给替换掉,比如下面的替换:url = url.replace("&amp;", "&amp;") url = url.replace("&lt;", "&lt;") url = url.replace("&gt;", "&g
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser......处理Xss攻击及sql注入.zip
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot整合XSS.zip
04-30
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
使用SpringSecurity处理CSRF攻击的方法步骤
08-26
使用SpringSecurity处理CSRF攻击的方法步骤 春Security是当前最流行的Java Web应用程序安全框架之一,它提供了强大的安全功能,包括身份验证、授权、CSRF防护等。CSRF(Cross-site request forgery)是一种常见的...
Springboot项目XSS漏洞的解决方法
xiaopy_0508的博客
07-12 5117
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 。特点:XSS主要基于JavaScript完成恶意的攻击行为,由于JS可以非
XSS攻击处理办法
马优晨
09-05 1281
XSS 攻击。根据攻击的来源,我们可以将此类攻击分为三种,分别为: 反射型 存储型 DOM 型 存储型 XSS 攻击。此类攻击是攻击者将恶意代码提交至服务器并保存在数据库,用户访问该页面触发攻击行为。这种类型的攻击常见于保存用户编辑数据的场景下,比如案例的发表文章,亦或者评论场景等等。 防范存储型 XSS 攻击的策略就是不相信一切用户提交的信息,比如说用户的评论、发表的文章等等。对于这些信...
XSS攻击及解决方案
冰夜翎博客
11-03 1845
什么是XSS攻击? XSS攻击使用Javascript脚本注入进行攻击 XSS攻击常出现在提交表单,如博客的评论区等,用户可以通过提交评论:,那么只要访问该页面的用户都会弹窗,当然,这可能是为了娱乐娱乐,不要小看XSS攻击,有些人利用XSS攻击窃取用户名密码,调用黑客的工程,将用户名和密码发送过去,也可以伪装成钓鱼网站。 例如在表单注入: 那么页面会跳转到xxx.com 还可以根据js获取本地浏览器的cookie信息,根据cookie信息完全可以模拟用户。 那么该如何防止XSS攻击呢? 实现思路: 使
springmvc 防止XSS攻击
二次加工是一种痛
09-03 4022
spring mvc框架,有很多编辑器,每个编辑器有不同的作用,防止X
SpringMVC 防止XSS 工具(常规方式)
zhouzhiwengang的专栏
04-13 707
要求: xss过滤请求的参数:Content-Type为 json(application/json) SpringMVC 对于application/json 转换处理说明: spring mvc默认使用MappingJackson2HttpMessageConverter转换器, 而它是使用jackson来序列化对象的,如果我们能 将jackson的序列化和反序列化过程修改,加入过滤xs...
浅谈XSS攻击的那些事(附常用绕过姿势)
weixin_50464560的博客
07-27 499
前言随着互联网的不断发展,web应用的互动性也越来越强。但正如一个硬币会有两面一样,在用户体验提升的同时安全风险也会跟着有所增加。今天,我们就来讲一讲web渗透常见的一种攻击方式:XSS攻击。什么是XSS攻击先上一段标准解释(摘自百度百科)。“XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web
java防止跨站脚本攻击_java后台防止XSS的脚本攻击
weixin_34184847的博客
02-16 350
package com.ideatech.common.util;import java.util.regex.Pattern;//具体过滤关键字符public class XSSUtil {private static Pattern[] patterns = new Pattern[]{// Script fragmentsPattern.compile("(.*?)", Pattern.CA...
XSS攻击原理和解决方法
yy1715713348的博客
06-29 2611
XSS攻击原理和解决方法
springcloud gateway XSS安全防护
最新发布
05-30
Spring Cloud Gateway提供了XssEscapeWebFilter来对请求参数进行处理,防止XSS攻击。 具体来说,XssEscapeWebFilter会对请求的参数进行过滤,将特殊字符进行转义,防止恶意代码被注入到页面。 如果您需要对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值