[安全类] Xss跨站脚本攻击 springboot (简易版)

已于 2023-05-17 14:23:21 修改
阅读量2.2k 收藏 2
点赞数 1
分类专栏: # 常见攻击类 文章标签: 安全 xss java springboot validation
于 2022-09-11 20:07:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pingzhuyan/article/details/126807716
版权

目录

1. 了解xss攻击原理:

 2. 代码防御:  

3. 使用springboot中的自定义校验注解

4.  自定义校验注解@Xss并指定校验逻辑

-> 注意这个注解 @Constraint(validatedBy = {XssValidator.class})

5. XssValidator 注解实现逻辑

6. 使用场景(插入用户名等时 用户不能有特殊字符)

1. 了解xss攻击原理:

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容

 2. 代码防御:  

XSS攻击主要是由程序漏洞造成的, 这里只引用了解释之一

不信任用户提交的任何内容,对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、REFER、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。尽量采用POST而非GET提交表单;对“<”,“>”,“;”,“””等字符做过滤;任何内容输出到页面之前都必须加以en-code,避免不小心把htmltag显示出来。

3. 使用springboot中的自定义校验注解

     <!-- 自定义验证注解 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-validation</artifactId>
        </dependency>

4.  自定义校验注解@Xss并指定校验逻辑

/**
 * 自定义xss校验注解
 */
@Retention(RetentionPolicy.RUNTIME)
@Target(value = {ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER})
@Constraint(validatedBy = {XssValidator.class})
public @interface Xss {

    String message() default "不允许任何脚本运行";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

-> 注意这个注解 @Constraint(validatedBy = {XssValidator.class})

指定了xss的校验逻辑 看看String类型参数 是否存在<>等非法字符

如果存在 提示或 进行其他逻辑操作

5. XssValidator 注解实现逻辑


import com.ruoyi.common.utils.StringUtils;

import javax.validation.ConstraintValidator;
import javax.validation.ConstraintValidatorContext;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * 自定义xss校验注解实现
 */
public class XssValidator implements ConstraintValidator<Xss, String> {

    private static final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    /**
     * 判断是否需要校验
     *
     * true 表示放行
     * false 表示拦截 {@code false} if {@code value} does not pass the constraint
     * @param value
     * @param constraintValidatorContext
     * @return
     */
    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext) {
        if (StringUtils.isBlank(value)) {
            //System.out.println(constraintValidatorContext.getDefaultConstraintMessageTemplate());
            return true;
        }
        return !containsHtml(value);
    }

    public static boolean containsHtml(String value) {
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        return matcher.matches();
    }
}

6. 使用场景(插入用户名等时 用户不能有特殊字符)

    @Xss(message = "用户名不能包含特殊字符")
    @NotBlank(message = "用户账号不能为空")
    @Size(min = 0, max = 30, message = "用户账号长度不能超过30个字符")
    public String getUserName(){
        return userName;
    }

 在业务代码中使用并测试

pingzhuyan
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xss跨站脚本攻击-运维安全详细笔记
06-30
xss跨站脚本攻击是一种常见的Web应用安全漏洞,攻击者可以通过在网站上注入恶意代码,盗取用户敏感信息,控制企业数据,非法转账,发送恶意邮件等。下面是xss跨站脚本攻击的知识点总结: 1.xss跨站脚本攻击的定义 ...
XSS跨站脚本攻击
01-27
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
XSS - 跨站脚本 Java 演示
allway2的博客
07-24 388
或者,当您单击从未知地址收到的电子邮件链接时,您的组织要求您不要单击并报告他们的网络安全团队作为强制性安全培训的一部分时,实际会发生什么。有一些开源工具和项目可用于清理HTML文档,方法是在将其作为响应发回之前删除诸如“、、、”之类的威胁标签。“这个世界上没有什么是免费的,只要记住一切都是有代价的”,所以不要点击来自未知发件人的链接。,攻击者能够在银行网站的帮助下,在受害者的浏览器上执行他网站上的代码。,它提供了实现并允许配置自定义策略。...
SpringBoot中防止跨站脚本(XSS)注入攻击
Sunshine_zjh的博客
06-20 3169
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
SpringBoot XSS存储漏洞 拦截器】Java纯后端对于前台输入值的拦截校验实现 一个类加一个注解结束
最新发布
你在此地别动的博客
04-12 357
【代码】【SpringBoot XSS存储漏洞 拦截器】Java纯后端对于前台输入值的拦截校验实现 一个类加一个注解结束。
Jsoup清除HTML标签(非白名单)
qq_22594791的博客
10-25 391
Jsoup默认提供五种白名单: 1): none() 该API会清除所有HTML标签,仅保留文本节点。 2): simpleText() ...
java 自定义xss校验注解实现
王威振的博客
08-08 1059
ApiModelProperty(name = "keyword",value = "搜索关键词")@ApiModelProperty(name = "sdgId",value = "sdg主键id")会自动针对某些增加了@Xss字符进行校验。如果想增加sql注入校验。然后在控制层中增加@Validated注解校验就可以了。default "不允许任何脚本运行";具体使用在某个字段上加上注解;自定义一个注解@Xss。* 自定义xss校验注解实现。* 自定义xss校验注解。
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4203
xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面中,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其中一个方式..
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
解析如何防止XSS跨站脚本攻击
01-31
这些规则适用于所有不同类别的XSS跨站脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss
C3Stones
12-06 1797
1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。   XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2. XSS相关博客   跨站点脚本编制 - SpringBoot配置XS...
jquery xss验证代码
08-13
jquery xss验证代码,以txt打开,修改http://xxx/jquery.js,保存后加载有问题的jquery,可以出现弹窗
xss攻击
IABQL的博客
08-13 837
程序中如何实现,写一个过滤器,拦截所有获取的参数,将特殊字符转换一下。:使用 Js 脚本语言,因为浏覧器默认支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览直接进行执行。userName参数后面带了一个脚本参数,它打开了另一个页面,这个页面是一个高仿页面,那么就可能盗取信息。比如在评论区中,如果没有做XSS防御处理,那么有人评论了一个带有javascript。像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很就可能受到 XSS 攻击。脚本的评论,那么这个脚本会被浏览器解析执行。...
XSS(跨域脚本攻击)
m0_52244931的博客
10-23 3874
XSS(跨域脚本go攻击
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3533
springboot项目防止XSS攻击和sql注入
老生常谈的问题:Spring Boot中如何一键自定义starter?
ygk004的博客
11-19 4526
Spring Boot starter 我们知道Spring Boot大大简化了项目初始搭建以及开发过程,而这些都是通过Spring Boot提供的starter来完成的。品达通用权限系统就是基于Spring Boot进行开发,而且一些基础模块其本质就是starter,所以我们需要对Spring Boot的starter有一个全面深入的了解,这是我们开发品达通用权限系统的必备知识。 1 starter介绍 spring boot 在配置上相比spring要简单许多, 其核心在于spring-boot-
【RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 3147
简单分析 XSS 过滤器以及 @Xss 注解。
【应用安全XSS一】XSS攻击测试以及防御
qq_35789269的博客
02-19 6405
跨站脚本攻击 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击实例 下面为一个Input标签: <input type="text" value="value"></input> 当用输入值
项目中如何对XSS统一处理
Maisuluo的博客
04-07 143
则当用户打开页面时,就会弹出一个警告框,而这个警告框可以被恶意脚本所替代,例如读取cookies或者其他敏感信息等操作。XSS攻击是指攻击者利用网站中的漏洞,向页面中注入恶意脚本,从而获取用户的信息或者控制用户的计算机。某一些字段可能是需要支持富文本的,比如公告栏里的内容之类的。通过在参数中的字段上加上类似@Xss的注解,来表示这个字段是不允许输入XSS脚本的。举一个通俗的例子,早期使用JSP页面渲染页面的项目,如果将用户名改成。这是笔者关于Xss的全局统一处理的实现,如有不足欢迎大家评论指正。
xss跨站脚本攻击的分类
06-09
XSS(Cross-site scripting)跨站脚本攻击可以分为三种类型: 1. 存储型XSS攻击:攻击者将恶意脚本存储在服务器端,当用户请求某个页面时,服务器将恶意脚本响应给用户,用户浏览器执行恶意脚本,导致攻击成功。 2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pingzhuyan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值