前后端防XSS、SQL、CORS

最新推荐文章于 2023-05-08 16:07:33 发布
最新推荐文章于 2023-05-08 16:07:33 发布
阅读量1k 收藏 1
点赞数 1
分类专栏: JAVA开发 前端开发 文章标签: 前后端防XSS、SQL、CORS XSS SQL CORS 防XSS漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32447301/article/details/98940038
版权

后端:

1、filter拦截(过滤器)

<filter>
		<filter-name>traceIdFilter</filter-name>
		<filter-class>com.citydo.xclouddesk.servlet.TraceIdFilter</filter-class>
		<async-supported>true</async-supported>
	</filter>

	<filter-mapping>
		<filter-name>traceIdFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

public class TraceIdFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest)servletRequest;
        HttpServletResponse httpServletResponse = (HttpServletResponse)servletResponse;
        //TODO 编写验证逻辑
        httpServletResponse.addHeader("Cache-Control","no-cache");
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

@Configuration
public class FilterConfig {

    @Autowired
    private TraceIdFilter traceIdFilter ;

    @Bean
    public FilterRegistrationBean registerAuthFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
         //注入过滤器
        registration.setFilter(traceIdFilter );
        //拦截规则
        registration.addUrlPatterns("/*");
          //过滤器名称
        registration.setName("traceIdFilter ");
         //是否自动注册 false 取消Filter的自动注册
        registration.setEnabled(false);
         //值越小,Filter越靠前。
        registration.setOrder(1); 
        return registration;
    }
}

2、采用jsoup过滤组件

<!-- xss过滤组件 -->
        <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.9.2</version>
        </dependency>

package com.citydo.xclouddesk.utils;


import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;
import java.io.IOException;

/**
 * xss非法标签过滤工具类
 * 过滤html中的xss字符
 */
public class JsoupUtil {

    /**
     * 使用自带的basicWithImages 白名单
     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
     * strike,strong,sub,sup,u,ul,img
     * 以及a标签的href,img标签的src,align,alt,height,width,title属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /** 配置过滤化参数,不对代码进行格式化 */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    static {
        // 富文本编辑时一些样式是使用style来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加style属性
        whitelist.addAttributes(":all", "style");
    }

    public static String clean(String content) {
        if(StringUtils.isNotBlank(content)){
            content = content.trim();
        }
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }

    public static void main(String[] args) throws IOException {
        String text = "   <a href=\"http://www.baidu.com/a\" οnclick=\"alert(1);\">1</a><script>alert(1);</script>";
        System.out.println(clean(text));
    }
}

前端:

1、js-xss

开源地址:
https://www.npmjs.com/package/xss
安装 NPM

npm install xss

使用方法、在Node.js的中使用

var xss = require('xss');
var html = xss('<script>alert("xss");</script>');
console.log(html);

在浏览器端使用、沉模式(参考文件test/test.html):

<script src="https://raw.github.com/leizongmin/js-xss/master/dist/xss.js"></script>
<script>
// 使用函数名 filterXSS,用法一样
var html = filterXSS('<script>alert("xss");</scr' + 'ipt>');
alert(html);
</script>

XSS攻击详解:

2、https://segmentfault.com/a/1190000016551188

CROS:

CORS定义一种跨域访问的机制,可以让AJAX实现跨域访问。CORS 允许一个域上的网络应用向另一个域提交跨域 AJAX 请求。实现此功能非常简单,只需由服务器发送一个响应标头即可。

解决CORS:

JSONP:利用script标签可跨域的特点,在跨域脚本中可以直接回调当前脚本的函数。
CORS:服务器设置HTTP响应头中Access-Control-Allow-Origin值,解除跨域限制。
NGINX:反向代理、白名单、或者正则拦截。
F5:反向代理、白名单、或者正则拦截。

灬点点
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CORS跨域漏洞的学习
墨痕诉清风的博客
10-03 1881
0x00 从浏览器的同源策略说起 SOP,同源策略 (Same Origin Policy),该策略是浏览器的一个安全基石,如果没有同源策略,那么,你打开了一个合法网站,又打开了一个恶意网站。恶意网站的脚本能够随意的操作合法网站的任何可操作资源,没有任何限制。 浏览器的同源策略规定:不同域的客户端脚本在没有明确授权的情况下,不能读写对方的资源。那么何为同源呢,即两个站点需要满足同协议,同域名,同端口这三个条件。 SOP是一个很好的策略,但是随着Web应用的发展,网站由于自身业务的需求,需要实现一些跨域
Spring Boot 如何XSS + SQL 注入攻击 ?终于懂了!
最新发布
犬小哈
03-27 97
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 / Java 学习路线 /一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦,演示链接:http://116.62.199.48/,新项目正在酝酿中。全程手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了239小节,累计38w+字,讲解图:164...
如何预SQL注入和XSS攻击
一个傻子程序媛的博客
06-10 5000
SQL注入简介 SQL 注入漏洞SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句...
XSS CSRF 攻击
xysoul的专栏
03-27 1569
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery)定义: 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击),为了与层叠样式表(Cascading Style Sheets)区分,故命名为XSS XSS攻击通常指的是通过利用网页开发时留下的漏
CORS(跨域资源共享)的御机制
weixin_30528371的博客
01-16 640
一、为什么会出现CORS:   浏览器的同源策略给WEB开发人员带来了巨大的痛苦,信息的交互共享本来就是网络的意义。所以妥协之后出现了CORS。 二、技术原理: 1、简单跨域: (1)方法要求:只能是GET、POST、HEAD方法。 (2)头部要求:只能有四个字段Accept、Accept-Language、Content-Language、Last-Event-ID;如果设置了Cont...
前后端分离项目安全漏洞修复总结
程序员石磊
06-01 3421
最近项目被安全扫描由于项目设计有问题,暴出来了一些漏洞,在修复的过程中特把经验总结分享。 1.前后端分离和传统架构介绍 项目架构 1.1 前后端不分离 在前后端不分离的应用模式中,前端页面看到的效果都是由后端控制,由后端渲染页面或重定向,也就是后端需要控制前端的展示,前端与后端的耦合度很高。这种应用模式比较适合纯网页应用,但是当后端对接App时,App可能并不需要后端返回一个HTML网页,而仅仅是数据本身,所以后端原本返回网页的接口不再适用于前端App应用,为了对接App后端还需再开发一套接口。请求.
XSS攻击SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
sql注入和xss攻击, springmv拦截器
07-24
sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
XSS & SQL注入
10-30
XSS & SQL注入
xss攻击sql注入
03-19
xss攻击sql注入
xss的正确姿势
weixin_30832143的博客
04-20 172
xss的正确姿势 xss攻击是web攻击中非常常见的一种攻击手段。如果你还没有听说过xss攻击,可以先了解xss的相关知识和原理,例如:XSS)" target="_blank" rel="nofollow,noindex">https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)。 xss攻击的方式也十分简单...
聊一聊这个总下载量36039K的XSS-NPM库,是如何工作的?
Tz
01-03 951
上篇文章这一次,彻底理解XSS攻击讲解了XSS攻击的类型和预方式,本篇文章我们来看这个36039K的XSS-NPM库(你没有看错就是3603W次, 36039K次,36,039,651次,数据来自https://npm-stat.com),相信挺多小伙伴在项目中,也用到了这个库。 话不多说,我们来看~ js-xss简介 js-xss是一个用于对用户输入的内容进行过滤,以避免遭受 XSS 攻击的模块(什么是 XSS 攻击?)。主要用于论坛、博客、网上商店等等一些可允许用户录入页面排版、格式控制相关的 HT.
XSS详细讲解
qq_44857938的博客
06-18 1万+
XSS 1.XSS简介 (1)XSS简介 XSS作为OWASP TOP 10之一。 XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSSXSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。 XSS是一种经常出现在web应用中的计算机大全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢? XSS是指恶意攻击者利用网站对用
关于 Xss 攻击的那些事
wumu0927的博客
01-03 3673
关于 Xss 攻击的那些事 文章首发于个人博客 前言 准备秋招的时候, 背了一些关于 Xss 的八股文, 但是没有深入了解, 所以当时面试回答的时候, 只能自己背的那部分说出来, 当面试官一深问时, 就回答不出来了, 直到现在有时间去研究 Xss 攻击, 才发现和自己背的八股文有一些区别。 文章中的 ???? 源代码都可以在这里下载, 最好是自己运行一遍, 结合本文食用最佳!!! 什么是 Xss 攻击 跨站脚本攻击(Xss)是一种代码注入攻击, 允许攻击者在其他用户的浏览器上执行恶意 JavaScrip
JavaScript安全性:XSS、CSRF和CORS等常见的安全漏洞及其解决方案
tyxjolin的专栏
05-08 4033
开发人员应该采取适当的措施来保护他们的应用程序免受这些漏洞的影响,包括过滤和验证用户输入、使用安全的JavaScript库和框架、使用CSRF令牌和配置CORS等。本文将介绍几种常见的JavaScript安全漏洞,包括XSS、CSRF和CORS,并提供解决方案以保护您的应用程序免受这些漏洞的影响。例如,一个攻击者可能会发送一个包含修改用户密码的请求,而这个请求看起来是来自用户自己的浏览器,因此网站可能会对请求进行处理并修改用户密码。由于浏览器的同源策略,一般情况下,跨域请求是不允许的。
前后端分离项目实现登录(登录)
lxk116688的博客
05-09 5812
现在大部分的项目都是前后端分离项目,在前后端分离项目中的身份验证我们经常采用JWT认证。关于JWT认证的详细内容,请移步上一篇博客。 最近做的项目恰好用到了JWT的身份验证,今天拿出来说一下: login.vue <template> <input type="text" v-model="loginForm.username" placeholder="用户名"/> <input type="text" v-model="loginForm.password" pla
前后端分离--整套解决方案
热门推荐
互扯程序的博客
04-23 3万+
本文知识点太多,建议收藏慢慢学习 导读: 传统的开发模式 前后端分离的开发模式 简单阐述一下前后分离的优点 JWT实现用户认证 跨域问题解决 从目前应用软件开发的发展趋势来看 - 越来越注重用户体验,随着互联网的发展,开始多终端化。 - 大型应用架构模式正在向云化、微服务化发展。 传统的开发模式 前后端分离前...
前后端分离经典处理方案总结-再也不用担心跨域认证不会做了
alian
04-25 3707
1.前后端不分离的场景 经典的Cookie和Session,前端访问服务器,从服务器拿到sessionId并记录在本地的Cookie中,下次访问带上sessionId,服务器就能表示是哪个用户进行访问了。 2.前后端进行分离 方法一(登录信息存在服务器中,前端存在Cookie中) cookie和session方法,但是要服务器和前端设置允许跨域携带cookie,服务器可以完成用户验证。但是会存在CSRF攻击的风险,黑客用错误连接欺骗用户访问服务器,欺骗连接会自动带上用户的Cookie通过验证就会造
openresty用naxsixssSQL注入
05-26
是的,OpenResty可以使用NAXSI来XSSSQL注入攻击。NAXSI是一个开源的Web应用程序火墙(WAF),它可以分析HTTP请求中的参数和内容,并对可能的攻击进行检测和阻止。 在OpenResty中,您可以使用NAXSI模块来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值