Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)

最新推荐文章于 2024-04-24 10:36:07 发布
最新推荐文章于 2024-04-24 10:36:07 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: Spring Boot 文章标签: xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/one_rabbit2016/article/details/103763844
版权

第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”)

@Component
@Slf4j
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
@Order(5)
public class XssFilter implements Filter {

    private static final String SCRIPT_LOW_REGEX = ".*((((\\%3C)|<)[^\\n]+((\\%3E)|>))|(((\\%22)|"|(\\%27)|')[(\\%20) ]*((\\%2B)|\\+|(\\%3B)|;))|(((\\%3D)|=)[(\\%20) ]*((\\%22)|"|(\\%27)|'))).*";
    private static final String SCRIPT_UPPER_REGEX = ".*((((\\%3C)|<)[^\\n]+((\\%3E)|>))|(((\\%22)|"|(\\%27)|')[(\\%20) ]*((\\%2B)|\\+|(\\%3B)|;))|(((\\%3D)|=)[(\\%20) ]*((\\%22)|"|(\\%27)|'))).*";
    private static final String SQL_REGEX = ".*((\\%27)|(\\')).*((\\-\\-)|(((\\%6F)|o|(\\%4F))((\\%72)|r|(\\%52)))|((\\%3B)|(;))).*";
    private static final String NOT_PROTECT = "/undefined$";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }
@Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("*************执行过滤xssFilter******");
        HttpServletResponse res = (HttpServletResponse) servletResponse;
        res.setCharacterEncoding("UTF-8");
        res.setContentType("application/json; charset=utf-8");
        HttpServletRequest request ;
        if (servletRequest instanceof HttpServletRequest) {
            request = new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }

        //是否合法 :true 合法,false 不合法
        boolean isLegal = checkParams(request) ;
        String url = request.getRequestURI();
        log.info("-----------XssFilter ---- 接口{}是否合法:{}",url,isLegal);
        final Pattern notProject = Pattern.compile(NOT_PROTECT);
        if (!notProject.matcher(url).find()) {
            if (!isLegal) {
                PrintWriter writer = null;
                try {
                    writer = res.getWriter();
                    String resultVal = JSON.toJSONString(ApiRes.getInstance(ResultEnum.XSS_ERROR));
                    writer.write(resultVal);
                    writer.flush();
                    writer.close();
                } catch (Exception e) {
                    log.error("AuthPathFilter Error" + e.getMessage(), e);
                } finally {
                    if (null != writer) {
                        writer.close();
                    }
                }
                return;
            }
        }
        filterChain.doFilter(request, servletResponse);
        return;
    }

    @Override
    public void destroy() {

    }

    /**
     * 校验入参是否含有特殊字符
     * @param request
     * @return
     */
    private boolean checkParams(HttpServletRequest request) {
        Pattern scriptLowRegex = Pattern.compile(SCRIPT_LOW_REGEX);
        Pattern sqlRegex = Pattern.compile(SQL_REGEX);
        Pattern scriptUpperRegex = Pattern.compile(SCRIPT_UPPER_REGEX);

        try (BufferedReader streamReader = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"))){
            StringBuilder responseStrBuilder = new StringBuilder();
            String inputStr;
            while ((inputStr = streamReader.readLine()) != null) {
                responseStrBuilder.append(inputStr);
            }
            String jString = responseStrBuilder.toString();
            //组装成数组
            if (jString.indexOf("[") ==  -1) {
                jString = "["+jString+"]";
            }
            if (StringUtils.isNotBlank(jString)) {
                boolean valid = isJSONValid(jString);
                if (valid) {
                    JSONArray jsonArray = JSONArray.parseArray(jString);
                    for (int i = 0; i < jsonArray.size() ; i++) {
                        JSONObject jsonObject = jsonArray.getJSONObject(i);
                        Iterator<Map.Entry<String, Object>> iterator = jsonObject.entrySet().iterator();
                        while (iterator.hasNext()) {
                            Map.Entry<String, Object> next = iterator.next();
                            if (!Objects.isNull(next.getValue())) {
                                String value = next.getValue().toString();
                                String paraValue = value.toUpperCase();
                                paraValue = replaceStr(paraValue);
                                if (scriptLowRegex.matcher(paraValue).matches()|| sqlRegex.matcher(paraValue).matches() || scriptUpperRegex.matcher(paraValue).matches()) {
                                    return false;
                                }
                            }
                        }
                    }
                }
            }

        } catch (IOException io) {
            io.printStackTrace();
            log.error("参数解析错误", io);
        }
        return true;
    }

    /**
     * 判断字符串是否满足json格式
     * @param jsonInString
     * @return
     */
    private boolean isJSONValid(String jsonInString) {
        try {
            final ObjectMapper mapper = new ObjectMapper();
            mapper.readTree(jsonInString);
            return true;
        } catch (IOException e) {
            return false;
        }
    }

    /**
     * 转义字符
     * @param value
     * @return
     */
    private String replaceStr(String value) {
        value = value.replace("+", "%2B")
                //.replace("/", "%2F")
                .replace("?", "%3F")
                .replace("%", "%25")
                .replace("#", "%23")
                .replace("&", "%26")
                .replace("=", "%3D")
                .replace("@", "%40")
                .replace(":", "%3A")
                .replace(";", "%3B")
                .replace("<", "%3C")
                .replace(">", "%3E")
                .replace("\\", "%5C")
                .replace("|", "%7C")
                .replace("$", "%24")
                .replace("^", "%5E")
                .replace(",", "%2C")
                .replace("'", "%27")
                .replace("=", "%3D")
                .replace("[", "%5B")
                .replace("]", "%5D")
                .replace("{", "%7B")
                .replace("}", "%7D")
                .replace("\"", "%22");
        return value;
    }
}

第二部分代码:

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private final byte[] bytes;

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        // 读取输入流里的请求参数,并保存到bytes里
        bytes = IOUtils.toByteArray(request.getInputStream());

    }
    @Override
    public ServletInputStream getInputStream() throws IOException {
        return new BufferedServletInputStream(this.bytes);
    }

    class BufferedServletInputStream extends ServletInputStream {
        private ByteArrayInputStream inputStream;
        public BufferedServletInputStream(byte[] buffer) {
            //此处即赋能,可以详细查看ByteArrayInputStream的该构造函数;
            this.inputStream = new ByteArrayInputStream( buffer );
        }
        @Override
        public int available() throws IOException {
            return inputStream.available();
        }
        @Override
        public int read() throws IOException {
            return inputStream.read();
        }
        @Override
        public int read(byte[] b, int off, int len) throws IOException {
            return inputStream.read( b, off, len );
        }

        @Override
        public boolean isFinished() {
            return false;
        }

        @Override
        public boolean isReady() {
            return false;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }
    }
}
今天的砖头很烫手
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVC或Spring Boot中使用Filter打印请求数问题
12-21
Spring体系中,过滤器的定义我们一般采用继承OncePerRequestFilter的方式,当然也可以使用原始的Filter。 错误写法一: 如果不对request和response进行处理,使用伪代码采用如下写法打印请求和响应数(注:此时...
彻底解决spring mvc XSS漏洞问题(包括json格式入参和出
3月3的风筝
05-07 8993
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取数的方法进行重写,对数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
【技术总结】使用Filter进行XSS过滤
张育嘉的博客
11-18 5345
一般来说,系统进行表单数据处理时都需要解决类似XSS攻击以及转义这样的问题,这样的问题具有普遍性,不可能在每个提交表单数据的处理中都加重复的处理代码。通常通过 Filter 或 Interceptor 来拦截处理。 这里介绍下通过 Filter 进行XSS过滤的方法。 流程:使用Filter拦截请求,将普通请求转化为包装过的可以处理XSS的自定义请求,之后获取数时都会经过XSS处理。 主要实...
【RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 2878
简单分析 XSS 过滤器以及 @Xss 注解。
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3621
Springboot配置XSS过滤器XssFilter
spring boot 添加自定义拦截器过滤器 Content-Type=application/json 格式数请求方式处理
热门推荐
weikzhao0521的博客
09-04 2万+
 Content-Type=application/json 格式数请求方式处理 用postman测试 后台处理步骤: 一、 添加过滤器: Content-Type=application/json 格式数数据接收是通过流的形式接收的。流读取一次就没有了,如果只用拦截器里直接获取数流统一验证后,再转到control层数肯定就没了。所以这个需要先把流读取出来再放进去。 ...
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2486
springboot增加xss过滤器,防止xss攻击
Spring Boot配置XSS
a123123sdf的博客
02-21 2131
spring boot 配置xss
jfilter:用于过滤REST Spring Web Service类型的应用程序响应的JFilter
02-05
关于JFilter库可以在Spring Web Service项目中用于Service响应中字段的过滤器(排除)。 当您使用Jackson @JsonView接口并且需要更强大和灵活的时候,该库可能会很有用。 有关信息,请点击以下链接。刊物样品您可以...
从零开始学Spring Boot
09-23
1.24 Spring Boot过滤器、监听器 1.25 Spring Boot 拦截器HandlerInterceptor 1.26 Spring Boot启动加载数据CommandLineRunner 1.27 Spring Boot环境变量读取和属性对象的绑定 1.28 Spring Boot使用自定义的...
Spring Boot中文文档.rar
12-06
spring boot中文文档,从安装到部署。 I. Spring Boot文件 1.关于文档 2.获得帮助 3.第一步 4.使用Spring Boot 5.了解Spring Boot功能 6.转向生产 7.高级主题 II。门 8.介绍Spring Boot ...
SpringBootSpring Boot 2小时门基础教程
06-09
第二章:servlet、过滤器、监听器、拦截器配置及使用场景 第三章:讲解日志、静态资源、启动加载数据处理方式 第四章:数据库配置,jdbctemplate、mybatis、事务原理及实现 第五章:服务发布部署
【Burpsuite靶场】XSS专题精讲
2302_79800344的博客
04-23 995
基于Burpsuite靶场,深度学习XSS三种类型的各类情况。
什么是 XSS 攻击?
m0_38066007的博客
04-23 101
XSS 攻击指的是跨站脚本攻击,是一种代码攻击。攻击者通过在网站注恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
ctfshow——XSS
最新发布
qq_55202378的博客
04-24 1052
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插恶意 HTML 代码,当用户浏览该页之时,嵌其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
pikachu-xss
2303_81631620的博客
04-23 353
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
spring boot 返回值字段过滤
07-27
Spring Boot中,可以使用自定义注解和返回值处理器来实现返回值字段的过滤。首先,你需要创建一个自定义注解,比如`JsonFieldFilter`,并在注解中定义需要过滤的类和字段。\[1\] 然后,在配置类中,你需要创建一个`JsonReturnHandler`的Bean,并将其添加到返回值处理器列表中。这个处理器将负责处理带有`JsonFieldFilter`注解的方法的返回值。\[2\] 最后,在启动类中,你需要添加`@EnableWebMvc`注解,并在`addReturnValueHandlers`方法中注册`JsonReturnHandler`处理器。这样,返回值中带有`JsonFieldFilter`注解的方法的字段就会被过滤掉。\[3\] 这样,当你在Spring Boot中的控制器方法上使用`JsonFieldFilter`注解时,返回的JSON数据将只包含指定的字段。 #### 引用[.reference_title] - *1* *2* *3* [spring boot 自定义注解过滤返回字段](https://blog.csdn.net/fujiakai/article/details/123934379)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值