spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS)

最新推荐文章于 2024-06-12 11:10:23 发布
最新推荐文章于 2024-06-12 11:10:23 发布
阅读量8.3k 收藏 30
点赞数 7
文章标签: 过滤器 网关 gateway xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26801767/article/details/106235359
版权
本文介绍了如何利用Spring Cloud Gateway的过滤器功能来防止跨站脚本攻击(XSS),包括存储型XSS和反射型XSS。文中详细展示了CacheBodyGlobalFilter、XssRequestGlobalFilter和XssResponseGlobalFilter三个过滤器的实现,以及辅助工具类XssCleanRuleUtils的使用,这些代码已经在实际项目中得到应用。
摘要由CSDN通过智能技术生成

spring cloud gateway 过滤器防止跨站脚本攻击

背景

<spring-boot.version>2.1.4.RELEASE</spring-boot.version>
<spring-cloud.version>Greenwich.RELEASE</spring-cloud.version>
<spring-cloud-gateway.version>2.1.0.RELEASE</spring-cloud-gateway.version>

接下来直接上代码

CacheBodyGlobalFilter.java

这个过滤器解决body不能重复读的问题(在低版本的spring-cloud不需要这个过滤器),为后续的XssRequestGlobalFilter重写请求body做准备。

import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.core.io.buffer.DataBuffer;
import org.springframework.core.io.buffer.DataBufferUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpMethod;
import org.springframework.http.MediaType;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.http.server.reactive.ServerHttpRequestDecorator;
import org.springframework.stereotype.Component;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Flux;
import reactor.core.publisher.Mono;

/**
 * @Author: GuanYZ
 * @Description: 这个过滤器解决body不能重复读的问题,为后续的XssRequestGlobalFilter重写post|put请求的body做准备
 * @Date: Created in 2020/5/1.
 * <p>
 * 没把body的内容放到attribute中去,因为从attribute取出body内容还是需要强转成 Flux<DataBuffer>,然后转换成String,和直接读取body没有什么区别
 */
@Component
public class CacheBodyGlobalFilter implements Ordered, GlobalFilter {
   
    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
   
        HttpMethod method = exchange.getRequest().getMethod();
        String contentType = exchange.getRequest().getHeaders().getFirst(HttpHeaders.CONTENT_TYPE);
        if (method == HttpMethod.POST || method == HttpMethod.PUT) {
   
            if (MediaType.APPLICATION_FORM_URLENCODED_VALUE.equalsIgnoreCase(contentType)
                    || MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(contentType)
                    || MediaType.APPLICATION_JSON_UTF8_VALUE.equals(contentType)) {
   
                return DataBufferUtils.join(exchange.getRequest().getBody())
                        .flatMap(dataBuffer -> {
   
                            DataBufferUtils.retain(dataBuffer);
                            Flux<DataBuffer> cachedFlux = Flux
                                    .defer(() -> Flux.just(dataBuffer.slice(0, dataBuffer.readableByteCount())));
                            ServerHttpRequest mutatedRequest = new ServerHttpRequestDecorator(
                                    exchange.getRequest()) {
   
                                @Override
                                public Flux<DataBuffer> getBody() {
   
                                    return cachedFlux;
                                }
                            };
                            return chain.filter(exchange.mutate().request(mutatedRequest).build());
                        });
            }

        }
        return chain.filter(exchange);
    }

    @Override
    public int getOrder() {
   
        return Ordered.HIGHEST_PRECEDENCE;
    }
}

XssRequestGlobalFilter.java

自定义防XSS攻击网关全局过滤器。

import com.bosssoft.bigdata.gateway.service.XssCleanRuleUtils;
import io.netty.buffer.ByteBufAllocator;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang.StringUtils;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework
最低0.47元/天 解锁文章
关工-qq514960451
关注
  • 7
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 12
    评论
【1.3 API服务网关SpringCloudGateway)】Spring Cloud Gateway入门介绍 - 网关过滤器工厂
本本本添哥
03-09 876
Spring Cloud Gateway中GlobalFilter和AbstractGatewayFilterFactory的区别
SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss防护
2401_84183033的博客
04-10 1133
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。而反射型和DOM型的XSS则需要我们去诱使用户点击我们构造的恶意的URL,需要我们和用户有直接或者间接的接触,比如利用社会工程学或者利用在其他网页挂马的方式。对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤。
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
SpringCloudGateway获取请求参数
最新发布
Mu_Yue_Yue的博客
06-12 301
Gatewway过滤器获取请求参数
Spring Cloud Gateway网关XSS过滤
u010044936的博客
07-01 6684
XSS是一种经常出现在web应用中的计算机安全漏洞,具体信息请自行Google。本文只分享在Spring Cloud Gateway中执行通用的XSS防范。首次作文,全是代码,若有遗漏不明之处,请各位看官原谅指点。 使用版本 Spring Cloud版本为 Greenwich.SR4 Spring Boot版本为 2.1.11.RELEASE 1.创建一个Filter。特别注意的是在处理完成之后需要重新构造请求,否则后续业务无法获得参数。 import io.netty.buffer.ByteBufAllo
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
lbmydream的博客
06-06 1265
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器XSS和SQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
SpringCloud微服务实战——搭建企业级开发框架:微服务安全加固—自定义Gateway拦截器实现防止SQL注入/XSS攻击
qw_6918966011的博客
06-30 1622
SQL注入是常见的系统安全问题之一,用户通过特定方式向系统发送SQL脚本,可直接自定义操作系统数据库,如果系统没有对SQL注入进行拦截,那么用户甚至可以直接对数据库进行增删改查等操作。XSS全称为Cross Site Script跨站点脚本攻击,和SQL注入类似,都是通过特定方式向系统发送攻击脚本,对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的,而XSS则是以恶意执行前端脚本来攻击系统。
Spring Cloud Gateway 过滤器实现XSS防护
qq_38866412的博客
12-13 3030
(参考:org.springframework.cloud.gateway.filter.factory.rewrite.ModifyRequestBodyGatewayFilterFactory)之前写的一版,,自己创建新DataBuffer来读取requestbody里的内容,上生产堆外内存泄露了。背景:公司项目为微服务项目,使用了SpringCloudGateway,目前有需要防护xss攻击请求的需求。
Spring Cloud Gateway中的安全防护与攻击防范
# 第一章:Spring Cloud Gateway简介 ...Spring Cloud Gateway的核心特性包括动态路由、过滤器链和断路器,使其成为构建高效微服务架构的重要工具。 ## 1.2 Spring Cloud Gateway的重要特性 Spring
SpringCloud系列之API Gateway开发手册(Hoxton版本).pdf
11-20
SpringCloud系列之API Gateway开发手册(Hoxton版本).pdf,这是一份基于SpringBoot2.x版本,SpringCloud Hoxton版本的入门教程,适合做入门教程,仅供学习参考
预防XSS攻击和SQL注入XssFilter
07-23
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。 二、XSS漏洞的危害 (1)网络钓鱼,包括盗取各类用户账号; (2)窃取用户cookies资料,从而获取用户隐私信息,或利用用户身份进一步对网站执行操作; (3)劫持用户(浏览器)会话,从而执行任意操作,例如进行非法转账、强制发表日志、发送电子邮件等; (4)强制弹出广告页面、刷流量等; (5)网页挂马; (6)进行恶意操作,例如任意篡改页面信息、删除文章等; (7)进行大量的客户端攻击,如DDoS攻击; (8)获取客户端信息,例如用户的浏览历史、真实IP、开放端口等; (9)控制受害者机器向其他网站发起攻击; (10)结合其他漏洞,如CSRF漏洞,实施进一步作恶; (11)提升用户权限,包括进一步渗透网站; (12)传播跨站脚本蠕虫等; 三、过滤器配置 web.xml配置 XssFilter com.xxx.Filter.XssFilter XssFilter /*
Spring Cloud Gateway XSS防护大众方案实现优化
bossfriday - 个人博客
10-20 2019
Spring Cloud Gateway XSS防护大众方案优化。
SpringCloud gateway 防止XSS漏洞
qq_20236937的博客
01-31 1725
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。存储XSS存储XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射XSS
基于 Spring Cloud 开发的分布式系统,遇到爬虫、接口盗刷怎么办
Java小天才的博客
06-02 431
kk-anti-reptile是,适用于基于spring-boot开发的分布式系统的反爬虫组件。 一、系统要求 基于spring-boot开发(spring-boot1.x, spring-boot2.x均可) 需要使用redis 二、工作流程 kk-anti-reptile使用基于Servlet规范的的Filter对请求进行过滤,在其内部通过spring-boot的扩展点机制,实例化一个Filter,并注入到Spring容器FilterRegistrationBean中,通过Spring注入到Se
Spring Cloud Gateway 实现XSS、SQL注入拦截
BUG指挥课堂
04-06 4536
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
Gateway网关自定义拦截器的不可重复读取数据
毅香雪海的博客
01-07 4864
最近在开发gateway网关时,通过自定义拦截器对某些接口的数据进行处理,发现,无法读取到数据。经过查询,发现在Spring5的webflux编程或者普通web编程中,只能从request中获取body一次,后面无法再获取。参考网上的方法先通过全局过滤器把body先缓存起来。 这个网上有很多例子: /** * @author zhong * @date 2022/1/6 - 15:34 * */ @Configuration public class CacheBodyGlob...
评论 12
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值