Spring boot 过滤器实现防XSS攻击

最新推荐文章于 2024-05-03 22:13:52 发布
最新推荐文章于 2024-05-03 22:13:52 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28325291/article/details/114967781
版权

文章目录

背景

框架中添加xss攻击过滤器类,防止脚本攻击,能够做到引入包即可使用。

参考资料

这里主要参考renren-fast官方提供的开源项目的xss攻击进行改造。

参考io/renren/common/xss包下面类

三方包 hutool-http参考博客api里面提供了xss所需的标签替换等功能

上代码

过滤器配置

/**
 * Filter配置
 *
 * @author lirui
 */
@Configuration
public class FilterConfig {

    /**
     * 注册过滤器
     *
     * @param url 提供可不拦截接口
     *            实现配置不过滤部分接口,部分接口需要不做过滤
     * @return
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistration(XssIgnoreFilterUrl url) {
        FilterRegistrationBean registration = getFilterRegistrationBean(url);
        return registration;
    }

    private FilterRegistrationBean getFilterRegistrationBean(XssIgnoreFilterUrl url) {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        //指定发起请求时过滤
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter(Objects.isNull(url) ? null : url.getUrls()));
        //默认所有接口
        registration.addUrlPatterns("/*");
        registration.setName("xssFilter");
        //设置最后执行,防止有其他过滤器对值需要修改等操作,保证最后过滤字符即可
        registration.setOrder(Integer.MAX_VALUE);
        return registration;
    }
}

可配置不过滤地址

/**
 * xss忽略过滤地址
 *
 * @author LiRui
 * @version 1.0
 */
@Configuration
@ConfigurationProperties(prefix = "xss.ignore")
public class XssIgnoreFilterUrl {
    private Set<String> urls;

    public Set<String> getUrls() {
        return urls;
    }

    public void setUrls(Set<String> urls) {
        this.urls = urls;
    }
}

//yml配置
xss:
  ignore:
    urls:
      - /xss/form

主要过滤器代码

/**
 * XSS过滤
 *
 * @author lirui
 */
public class XssFilter implements Filter {

    private Set<String> excludedUris;

    public XssFilter() {
    }

    public XssFilter(Set<String> excludedUris) {
        this.excludedUris = excludedUris;
    }

    /**
     * 是否排除
     *
     * @param uri
     * @return
     */
    private boolean isExcludedUri(String uri) {
        if (CollectionUtils.isEmpty(excludedUris)) {
            return false;
        }
        for (String ex : excludedUris) {
            if (match(ex, uri)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 地址匹配
     *
     * @param patternPath
     * @param requestPath
     * @return
     */
    public static boolean match(String patternPath, String requestPath) {
        if (StringUtils.isEmpty(patternPath) || StringUtils.isEmpty(requestPath)) {
            return false;
        }
        PathMatcher matcher = new AntPathMatcher();
        return matcher.match(patternPath, requestPath);
    }


    @Override
    public void init(FilterConfig config) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //可配置多个字符串过滤
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(
                (HttpServletRequest) request, new HTMLFilter());
        String url = xssRequest.getServletPath();
        if (isExcludedUri(url)) {
            chain.doFilter(request, response);
            return;
        }
        chain.doFilter(xssRequest, response);
    }

    @Override
    public void destroy() {
    }
}

这里注意match方法,用的Spring包的地址匹配工具,通过匹配地址是否需要过滤

xss具体过滤规则

代码较多我就不贴,最后我会上传到gtee仓库。主要注意,renren-fast中如果存在<或者> 单个的,就会自动在求前面或者最后面进行添加另一符号。在过滤时就会删除前面或者后面内容,具体的可以自己试试renrenfast的代码,内容用<或者>一个符号加内容测试就明白了我的意思。 源代码中我将这段代码注释:

            //自动补充<,> 注释允许传递<>符号
//            s = regexReplace(P_BODY_TO_END, "<$1>", s);
//            s = regexReplace(P_XML_CONTENT, "$1<$2", s);

遇到这种标签,源码中返回的是xxxx,根据业务需求直接返回“”.使用hutool三方包调整代码(仓库中的代码没修改,需要同样需求的自己copy):

return HtmlUtil.cleanHtmlTag(HtmlKit.getTextFromHtml(s));
//getTextFromHtml方法源码
  public static String getTextFromHtml(String htmlStr) {
        if (htmlStr == null) {
            return "";
        } else {
            htmlStr = delHtmlLabel(htmlStr);
            htmlStr = htmlStr.replaceAll("&nbsp;", "");
            return htmlStr;
        }
    }

注意扫描该包(或者加starter也行)

@SpringBootApplication(scanBasePackages = {“com.web”})

关于富文本框

开放不做过滤接口配置主要是考虑富文本框的问题,看了很多文章其实主要是处理js脚本,尽量在前端做一次符号转义,然后后端xss攻击过滤器还是需要开启保证安全。

gitee代码仓库

仓库地址

common是过滤器相关源码,web为自己测试的代码

niubility锐
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring boot实战之XSS过滤
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
Springboot 阻止XSS攻击
web13985085406的博客
08-02 786
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4057
Springboot配置XSS过滤器XssFilter
SpringBoot针对富文本和非富文本添加xss过滤
ACodeBird
08-27 3594
一、SpringBoot针对富文本和非富文本添加xss过滤(如果富文本字段是唯一,这里的唯一是不跟非富文本字段同名,实际写一个HttpServletRequestWrapper就行) 1.xss过滤器 package com.doctortech.tmc.filter; import com.doctortech.tmc.support.xss.XssHttpServletRequestWrapper; import com.doctortech.tmc.support.xss.XssRichTextHt
So eazy!SpringBoot一键去除参数前后空格和XSS过滤实战解析
最新发布
2401_84152189的博客
05-03 1081
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!public void init(FilterConfig arg0) throws ServletException {}@Overridepublic void destroy() {}}复制代码添加参数过滤配置文件:import gc.cnnvd.framework.core.filter.ParamsFilter;import org.springframework.boot.web.servlet.
Springboot增加一个xss过滤器xss攻击
编程技术
10-12 2619
springboot增加xss过滤器xss攻击
Spring Boot配置XSS
a123123sdf的博客
02-21 2444
spring boot 配置xss
spring boot XSS 攻击 富文本框
mlc19860417的专栏
08-27 1036
2个类 import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang3.StringEscapeUtils; public class XssHttpServletRequestWrappe...
springboot2.x使用JsoupXSS攻击实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot +esapi 实现xss攻击 实战代码,满满干货
06-08
为了XSS,我们需要在控制器处理用户输入时进行过滤或转义。SpringBoot提供了许多内置的安全机制,如CSRF护、HTTP头部设置等,但对XSS御主要依赖于开发者对输入的处理。 ESAPI提供了一套完整的API,可以...
Spring Boot项目实战之拦截器与过滤器
08-28
Spring Boot 项目中,拦截器和过滤器都是用来实现横向扩展功能的,例如在所有的 service 方法中开启事务、统一记录日志等功能。它们都是面向切面编程(AOP)的具体实现。 拦截器和过滤器的主要区别包括以下几个...
SpringBoot +esapi 实现xss攻击 实战代码
11-25
本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS护。 首先,让我们了解ESAPI。ESAPI是一个开源的安全库,提供了一系列的安全功能,包括输入验证、输出编码、安全随机数生成...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,如Spring Boot Actuator的安全模块。 2. 配置过滤器链:在`WebSecurityConfigurerAdapter`的`configure(HttpSecurity http)`方法中,添加XSS...
详解XssSpringBoot Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5496
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
SpringBoot Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9099
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)
新鲜雾霾的博客
12-30 1765
第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”) @Component @Slf4j @WebFilter(filterName = "xssFilter", urlPatterns = "/*") @Order(5) public class XssFilter implements Filter { private static final Strin...
SpringBoot2.0(十八):过滤XSS脚本攻击
小飞技术
07-18 1826
application.yml: # XSS攻击 xss: # 过滤开关 enabled: false # 排除链接(多个用逗号分隔) excludes: # 匹配链接 urlPatterns: /user/* FilterConfig: import org.springframework.beans.factory.annotation.Value; import...
Java添加过滤器过滤xss入侵
qq_49326435的博客
08-22 2520
javaXSS攻击
springboot如何实现使用过滤器xss攻击和sql注入
06-09
Spring Boot可以通过使用过滤器(Filter)来XSS攻击和SQL注入。 1. XSS攻击:可以使用过滤器对请求参数进行过滤,将其中的特殊字符进行转义,从而避免XSS攻击。例如,可以使用Jsoup库中的`clean`方法来过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

niubility锐

觉得有用的话鼓励鼓励

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值