Spring 防御CSRF、XSS和SQL注入攻击

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量2.1k 收藏 1
点赞数
分类专栏: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_19707521/article/details/53671686
版权
java 同时被 2 个专栏收录
46 篇文章 1 订阅
订阅专栏
spring
10 篇文章 0 订阅
订阅专栏
对每个post请求的参数过滤一些关键字,替换成安全的,例如:< > ' " \ /  # &

方法是实现一个自定义的HttpServletRequestWrapper,然后在Filter里面调用它,替换掉getParameter函数即可。

首先添加一个XssHttpServletRequestWrapper:

package com.ibm.web.beans;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if (values==null)  {
                  return null;
          }
      int count = values.length;
      String[] encodedValues = new String[count];
      for (int i = 0; i < count; i++) {
                 encodedValues[i] = cleanXSS(values[i]);
       }
      return encodedValues;
    }
    public String getParameter(String parameter) {
          String value = super.getParameter(parameter);
          if (value == null) {
                 return null;
                  }
          return cleanXSS(value);
    }
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private String cleanXSS(String value) {
         //这里特意 加多个空格.... 方便 csdn显示 ,如 <  ==>  & lt;
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
      value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
      value = value.replaceAll("'", "& #39;");
     value = value.replaceAll("eval\\((.*)\\)", "");
     value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
     value = value.replaceAll("script", "");
        return value;
    }

}


然后添加一个过滤器XssFilter :

package com.ibm.web.beans;

import java.io.IOException;  

import javax.servlet.Filter;  
import javax.servlet.FilterChain;  
import javax.servlet.FilterConfig;  
import javax.servlet.ServletException;  
import javax.servlet.ServletRequest;  
import javax.servlet.ServletResponse;  
import javax.servlet.http.HttpServletRequest;  
import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}

最后在web.xml里面配置一下,所有的请求的getParameter会被替换,如果参数里面 含有敏感词会被替换掉:

  <filter>
     <filter-name>XssSqlFilter</filter-name>
     <filter-class>com.ibm.web.beans.XssFilter</filter-class>
  </filter>
  <filter-mapping>
     <filter-name>XssSqlFilter</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
  </filter-mapping>

_yuki_
关注
专栏目录
Spring MVC防御CSRFXSSSQL注入攻击
CHIKA2333的博客
07-30 800
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
网站安全 Spring MVC防御CSRFXSSSQL注入攻击
maikelsong的专栏
08-14 451
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRFCSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
sql注入xss攻击springmv拦截器
07-24
sql注入xss攻击springmv拦截器,可自由调整需要拦截的字符
Spring MVC通过拦截器处理sql注入、跨站XSS攻击风险
weixin_30933531的博客
05-10 698
sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。 有时候因为业务需要url中会带一些参数,比如 ?type=xxx 一些人就会把type写成sql语句 比如:?type=’ or 1=1– 最终拼接成的sql语句就变成了:select * from table where disabled=0 an...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 2555
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
springboot防止XSS攻击sql注入
02-22 1969
springboot防止XSS攻击sql注入
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
java web Xsssql注入过滤器.zip
04-22
总之,这个项目提供了预防XSSSQL注入的实例,对于学习如何在Spring Boot应用中实现安全防护非常有帮助。开发者可以通过研究项目源码,了解如何自定义过滤器、配置安全策略以及利用Spring Boot的安全特性,提升自己...
springboot+thymeleaf实现如何防御XSSSQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1338
Web安全常见攻击手段 XSSSQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
springcloud防止XSS,CSRF,SQL攻击,详细代码
06-12
防止XSS攻击Spring Cloud内部集成了Spring Security,可以通过配置Spring Security来防止XSS攻击。...以上是一些防止XSSCSRFSQL注入攻击的常见方法,具体的代码实现需要参考具体的业务场景和技术框架。
SpringBoot集成Mybatis实现简单的SQL注入攻击)案例
12-14
一、项目演示 (1)主演示就是一张t_user表,利用常见的用户登录来模拟sql注入对后台数据的侵入 (2)数据库脚本 — postgresql DROP TABLE IF EXISTS "public"."t_user"; CREATE TABLE "public"."t_user" ( "id" int8 NOT NULL, "name" varchar(255) COLLATE "pg_catalog"."default", "password" varchar(255) COLLATE "pg_catalog"."default" ) ; DROP TABLE IF E
mybatis如何防止SQL注入
01-05
mybatis如何防止SQL注入
如何预防SQL注入XSS漏洞(spring,java)
码农飞哥
11-28 1688
SQL注入简介 SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子, 比如:我们一个登录界面,要求用户输入用户名和密码: 用户名: ’ or 1=1– 密码: 点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话: 如: String sql="select * from users where username='"+userN...
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3268
sql注入 安全开发 springboot
SpringBoot中如何防止XSS攻击sql注入
2302_77596945的博客
05-23 1206
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
防止 SQL 注入
洪晓鸿
04-26 2632
防止 SQL 注入是在使用 Spring Boot 开发 Web 应用程序时必须关注的重要安全问题。通过遵循以下四个步骤,我们可以有效地预防 SQL使用参数化查询。使用 JPA 或其他 ORM 框架。验证和过滤用户输入。设置最小权限原则。结合这些方法,我们可以确保我们的应用程序在面对 SQL 注入攻击时能够保持数据安全。
spring中使用servlet拦截器实现防止sql注入
不断总结不断成长
01-16 2431
/**  * 描述:防止sql注入  * 作者: dlj  * 时间: 2018年1月16日 上午9:37:04  */ public class AntiSqlInjectionfilter implements Filter { private Logger logger = LoggerFactory.getLogger(AntiSqlInjectionfilter.class)
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
a342874650的专栏
12-29 3921
SQL注入是一种针对数据库的攻击技术,攻击者通过在应用程序的输入字段中插入或“注入”恶意的SQL代码,从而在数据库服务器上执行非授权的SQL查询。这种攻击可能导致数据泄露、数据篡改、甚至执行任意命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_yuki_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值