在spring cloud gateway中过滤xss攻击

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量956 收藏
点赞数
分类专栏: IT技术相关 文章标签: xss spring spring cloud Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peihexian/article/details/129154387
版权
该文章展示了如何在SpringCloudGateway中使用自定义过滤器XssGatewayFilter来防止XSS攻击。过滤器对HTTP请求的查询参数和POST表单数据进行HtmlUtils::htmlEscape转码,从而确保参数安全。配置文件中添加XssGatewayFilter即可启用此功能。
摘要由CSDN通过智能技术生成

在spring cloud gateway中可以通过全局过滤器进行请求参数的过滤,以下是一个过滤xss攻击的实现代码:

import org.springframework.cloud.gateway.filter.GatewayFilter;
import org.springframework.cloud.gateway.filter.factory.GatewayFilterFactory;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.stereotype.Component;
import org.springframework.util.MultiValueMap;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.util.HtmlUtils;

@Component
public class XssGatewayFilter implements GatewayFilter {
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        ServerHttpRequest request = exchange.getRequest();
        MultiValueMap<String, String> queryParams = request.getQueryParams();
        MultiValueMap<String, String> formParams = null;

        if (request.getMethod() == HttpMethod.POST) {
            formParams = request.getFormData().block();
        }

        if (queryParams != null) {
            queryParams.forEach((key, values) -> {
                List<String> newValues = values.stream()
                        .map(HtmlUtils::htmlEscape)
                        .collect(Collectors.toList());
                queryParams.put(key, newValues);
            });
        }

        if (formParams != null) {
            formParams.forEach((key, values) -> {
                List<String> newValues = values.stream()
                        .map(HtmlUtils::htmlEscape)
                        .collect(Collectors.toList());
                formParams.put(key, newValues);
            });
        }

        return chain.filter(exchange);
    }
}

在配置参数文件中增加以下配置:

spring:
  cloud:
    gateway:
      routes:
        - id: myroute
          uri: http://localhost:8080
          filters:
            - XssGatewayFilter

核心思路是通过HtmlUtils::htmlEscape对请求参数内容进行转码处理来实现防止xss攻击。

peihexian
关注
专栏目录
【1.3 API服务网关(SpringCloudGateway)】Spring Cloud Gateway入门介绍 - 网关过滤器工厂
本本本添哥
03-09 882
Spring Cloud GatewayGlobalFilter和AbstractGatewayFilterFactory的区别
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4547
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss防护
04-06 1296
很多时候,内部管理网站往往疏于关注安全问题,只是简单的限制访问来源。这种网站往往对XSS 攻击毫无抵抗力,需要多加注意。安全问题需要长期的关注,从来不是一锤子买卖。XSS 攻击相对其他攻击手段更加隐蔽和多变,和业务流程、代码实现都有关系,不存在什么一劳永逸的解决方案。此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。
Spring Cloud Gateway网关XSS过滤
u010044936的博客
07-01 6697
XSS是一种经常出现在web应用的计算机安全漏洞,具体信息请自行Google。本文只分享在Spring Cloud Gateway执行通用的XSS防范。首次作文,全是代码,若有遗漏不明之处,请各位看官原谅指点。 使用版本 Spring Cloud版本为 Greenwich.SR4 Spring Boot版本为 2.1.11.RELEASE 1.创建一个Filter。特别注意的是在处理完成之后需要重新构造请求,否则后续业务无法获得参数。 import io.netty.buffer.ByteBufAllo
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 7372
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页XSS攻击是指攻击者在Web页面的输入数据插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
lbmydream的博客
06-06 1322
XSS和SQL注入是Web应用常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
Spring Cloud Gateway 过滤器实现XSS防护
qq_38866412的博客
12-13 3039
(参考:org.springframework.cloud.gateway.filter.factory.rewrite.ModifyRequestBodyGatewayFilterFactory)之前写的一版,,自己创建新DataBuffer来读取requestbody里的内容,上生产堆外内存泄露了。背景:公司项目为微服务项目,使用了SpringCloudGateway,目前有需要防护xss攻击请求的需求。
JSP spring boot / cloud 使用filter防止XSS
10-19
XSS攻击全称为跨站脚本攻击(Cross Site Scripting),它是一种常见的网络攻击手段,攻击者通过在网页插入恶意的JavaScript代码,当其他用户浏览该网页时,嵌入其的恶意脚本就会被用户的浏览器执行,从而达到...
spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS
qq_26801767的博客
05-20 8356
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
Spring Cloud Gateway XSS防护大众方案实现优化
bossfriday - 个人博客
10-20 2032
Spring Cloud Gateway XSS防护大众方案优化。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss防护(1)
2401_84183033的博客
04-10 1803
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4171
Springboot配置XSS过滤XssFilter
springboot XSS过滤
huiyingzzx1018的博客
10-16 335
springboot XSS过滤XSS攻击是什么后端代码实现XssAndSqlHttpServletRequestWrapper.javaXssFilter.javaXssStringJsonSerializer.javaXssUtil.java XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩...
spring boot实战之XSS过滤
热门推荐
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
Springboot过滤xss
Time_Point的博客
04-26 3354
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其第一个就出现这种
springcloudgateway实现XSS过滤
05-11
最后,我们需要将这个过滤器添加到Spring Cloud Gateway过滤器链,在配置类添加: ```java @Configuration public class GatewayConfig { @Bean public XssGlobalFilter xssGlobalFilter() { return new ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peihexian

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值