在spring boot中防止xss攻击的实现方案

已于 2023-05-08 09:26:51 修改
阅读量2.3k 收藏 12
点赞数 2
分类专栏: IT技术相关 文章标签: spring boot xss java Powered by 金山文档
于 2023-02-22 08:59:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/peihexian/article/details/129154733
版权

引入owasp库

<dependency>
    <groupId>org.owasp.esapi</groupId>
    <artifactId>esapi</artifactId>
    <version>2.2.0.0</version>
</dependency>

编写过滤器

import org.owasp.esapi.ESAPI;
import org.owasp.esapi.codecs.HTMLCodec;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class XssFilter implements Filter {
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        if (!(request instanceof HttpServletRequest) || !(response instanceof HttpServletResponse)) {
            throw new ServletException("XssFilter just supports HTTP requests");
        }

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        String path = httpRequest.getRequestURI().substring(httpRequest.getContextPath().length());

        if (path != null) {
            // 对请求参数进行过滤,这里引用了自定义类
            XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(httpRequest);
            chain.doFilter(xssRequest, response);

            // 对响应内容进行转义,这里引用了自定义类
            XssHttpServletResponseWrapper xssResponse = new XssHttpServletResponseWrapper(httpResponse);
            chain.doFilter(request, xssResponse);

            String content = xssResponse.getResponseData();

            if (content != null) {
                HTMLCodec codec = new HTMLCodec();
                String safeContent = codec.encode(content);
                httpResponse.getWriter().write(safeContent);
            } else {
                chain.doFilter(request, response);
            }
        } else {
            chain.doFilter(request, response);
        }
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}

    @Override
    public void destroy() {}
}

以下为自定义XssHttpServletRequestWrapper的源码:

import org.owasp.esapi.ESAPI;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.regex.Pattern;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private static final Pattern SCRIPT_PATTERN = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value != null) {
            value = ESAPI.encoder().canonicalize(value);
            value = SCRIPT_PATTERN.matcher(value).replaceAll("");
        }
        return value;
    }
}

以下为自定义XssHttpServletResponseWrapper的源码:

import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.io.PrintWriter;

import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;

public class XssHttpServletResponseWrapper extends HttpServletResponseWrapper {
    private final ByteArrayOutputStream outputStream = new ByteArrayOutputStream();
    private PrintWriter writer;

    public XssHttpServletResponseWrapper(HttpServletResponse response) throws IOException {
        super(response);
    }

    @Override
    public ServletOutputStream getOutputStream() throws IOException {
        return new ServletOutputStream() {
            @Override
            public void write(int b) throws IOException {
                outputStream.write(b);
            }
        };
    }

    @Override
    public PrintWriter getWriter() throws IOException {
        if (writer == null) {
            writer = new PrintWriter(new OutputStreamWriter(outputStream, getCharacterEncoding()), true);
        }
        return writer;
    }

    public String getResponseData() {
        try {
            return outputStream.toString(getCharacterEncoding());
        } catch (IOException e) {
            e.printStackTrace();
            return null;
        }
    }
}

以上准备就绪,编写spring boot的配置类,实现对上面编写的过滤器的加载使用:

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class WebConfig {
    @Bean
    public FilterRegistrationBean<XssFilter> xssFilterRegistrationBean() {
        FilterRegistrationBean<XssFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setFilter(new XssFilter());
        registrationBean.addUrlPatterns("/*");
        registrationBean.setOrder(1);
        return registrationBean;
    }
}

下面是另外一个不依赖第三方组件包的实现方案

1.编写一个不依赖第三方组件的过滤器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSFilter extends HttpServletRequestWrapper {

    public XSSFilter(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return cleanXSS(value);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }

        for (int i = 0; i < values.length; i++) {
            values[i] = cleanXSS(values[i]);
        }
        return values;
    }

    private String cleanXSS(String value) {
        if (value == null) {
            return null;
        }

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");

        return value;
    }
}

2.编写拦截器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;

@Component
public class XSSInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) {
        HttpServletRequest filteredRequest = new XSSFilter(request);
        request.setAttribute("XSSFilteredRequest", filteredRequest);
        return true;
    }

    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
                           ModelAndView modelAndView) {
    }

    @Override
    public void afterCompletion(HttpServletRequest request, HttpServletResponse response, Object handler, Exception ex) {
    }
}

3.让拦截器生效

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class InterceptorConfig implements WebMvcConfigurer {

    @Autowired
    private XSSInterceptor xssInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(xssInterceptor);
    }
}

这样就行了,这个就是不依赖第三方组件库的xss拦截实现方案。

peihexian
关注
专栏目录
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot防止XSS攻击和sql注入
02-22 1978
springboot防止XSS攻击和sql注入
【安全】Springboot实现防御XSS
最新发布
m0_55928215的博客
09-03 799
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览和使用的正常网页。当其他用户浏览这些网页时,恶意脚本就会在他们的浏览器上执行,从而可能导致信息泄露、会话劫持等严重后果。在使用springboot,类似于普通的参数parameterattributeheader一类的,可以直接使用过滤器来过滤。而前端发送回来的json字符串就没那么方便过滤了。可以考虑用自定义json消息解析器来过滤前端传递的json。/**
SpringBoot +esapi 实现防止xss攻击
weixin_39811685的博客
11-25 4113
SpringBoot +esapi 实现防止xss攻击 maven 集成: <!-- 预防XSS攻击工具 --> <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version>
SpringBootXss攻击
zhu1361的专栏
05-11 203
通过上述文章进行处理后,发现在Tomcat运行时已出现异常,排查后发现其XssFilter 需要补充实现init方法和destroy方法,不然tomcat运行war包会启动失败,记录下。
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2412
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面
JSP spring boot / cloud 使用filter防止XSS
10-19
XSS攻击全称为跨站脚本攻击(Cross Site Scripting),它是一种常见的网络攻击手段,攻击者通过在网页插入恶意的JavaScript代码,当其他用户浏览该网页时,嵌入其的恶意脚本就会被用户的浏览器执行,从而达到...
spring boot xss防御
11-05
本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境有效地防止XSS攻击。以下是关于这个主题的详细知识点: 1. XSS攻击类型: - 存储型XSS:攻击者的脚本被存储在服务器端,并在后续请求时传递给其他用户...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
weixin_42132035的博客
07-06 2609
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击,攻击者通过在网页注入恶意脚本代码,使这些代码在其他用户的浏览器执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
springboot 防御XSS 攻击的简单实现
july_young的博客
11-02 3652
import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * xss过滤器 */ @WebFilter(filterName="xssFilter",urlPa...
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 7772
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页XSS攻击是指攻击者在Web页面的输入数据插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
SpringBoot 如何防护 XSS 攻击 ??
Java知音
03-12 448
文章目录XSS跨站脚本攻击①:XSS漏洞介绍②:XSS漏洞分类③:防护建议SQL注入攻击①:SQL注入漏洞介绍②:防护建议SpringBoot如何防止XSS攻击和sql注入1. XSS跨站脚本攻击①:XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是...
SpringBoot 抵御XSS攻击
小青龙,创造,变强
02-27 789
SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击
Spring bootXSS攻击
kodywu的博客
11-05 2001
网上有很多相关的文章,但细节都没有完整地讲明白,最后还是在老外的论坛才搞清楚,现在我就把这些内容都整理一下,方便给需要的人参考。 首先我们要搞清楚常用的Content-Type有哪些,以及在后台如何获取这些参数,看下面表格: Content-Type 传参方式 接收方式 multipart/form-data 表单key-value ...
SpringBoot 防护XSS攻击
Wcybaonier
04-12 3775
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peihexian

你的鼓励是我创作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值