springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击

最新推荐文章于 2024-05-27 16:11:39 发布
最新推荐文章于 2024-05-27 16:11:39 发布
阅读量1.2k 收藏 3
点赞数
分类专栏: 如何方式xss sql防盗链攻击 安全 如何防御XSS 文章标签: java xss http csrf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37894645/article/details/111367186
版权

Web安全常见攻击手段

XSS、SQL注入、防盗链、CSRF、上传漏洞

一、 XSS攻击

  • 什么是XSS攻击手段
    XSS攻击使用Javascript脚本注入进行攻击
    例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。
  • 表单提交数据
  • 下面由 thymeleaf + spring Boot 2.2.4 代码实现:
    1、省略创建maven工程步骤
    2.、修改pom.xml
<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.2.4.RELEASE</version>
</parent>
<dependencies>
    <dependency>
        <groupId>org.mybatis.spring.boot</groupId>
        <artifactId>mybatis-spring-boot-starter</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <!-- mysql 依赖 -->
    <dependency>
        <groupId>mysql</groupId>
        <artifactId>mysql-connector-java</artifactId>
    </dependency>
    <!-- SpringBoot 对lombok 支持 -->
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
    <!-- springboot-log4j -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-log4j</artifactId>
        <version>1.3.8.RELEASE</version>
    </dependency>
    <!-- SpringBoot web 核心组件 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-tomcat</artifactId>
    </dependency>
    <!-- springboot-aop 技术 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-aop</artifactId>
    </dependency>
    <!-- https://mvnrepository.com/artifact/commons-lang/commons-lang -->
    <dependency>
        <groupId>commons-lang</groupId>
        <artifactId>commons-lang</artifactId>
        <version>2.6</version>
    </dependency>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>druid</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-devtools</artifactId>
        <scope>runtime</scope>
        <optional>true</optional>
    </dependency>
</dependencies>

3、创建application.yml


spring:
  mvc:
    static-path-pattern: template/*
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource            # 当前数据源操作类型
    driver-class-name: org.gjt.mm.mysql.Driver              # mysql驱动包
    url: jdbc:mysql://localhost:3306/could?useUnicode=true&characterEncoding=utf-8&useSSL=false
    username: root
    password: root
  thymeleaf:
    #编码格式
    encoding: utf-8
    #是否开启缓存
    cache: false
    #后缀
    suffix: .html
    #设置不严格的html
    mode: LEGACYHTML5
    #前缀,也就是模板存放的路径
    prefix: classpath:/templates/
server:
  port: 80

4、创建colud测试数据库和user表

CREATE TABLE `user` (
  `pwd` varchar(255) DEFAULT NULL,
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '自增ID',
  `user` varchar(64) NOT NULL COMMENT '用户名',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=20599 DEFAULT CHARSET=utf8 COMMENT='用户表';

5、创建启动类XssApplication.java


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  qq_37894645
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    3
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  2
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
项目安全问题及解决方法-----xss处理

				
			

			

				

					adru的博客
				

				

					02-02
					
					1343
					
				

			

		

		

			
				
XSS 问题的根源在于,原本是让用户传入或输入正常数据的地方,被黑客替换为了 JavaScript 脚本,页面没有经过转义直接显示了这个数据,然后脚本就被 执行了。更严重的是,脚本没有经过转义就保存到了数据库中,随后页面加载数据的时候,数据中混入的脚本又当做代码执行了。黑客可以利用这个漏洞 来盗取敏感数据,诱骗用户访问钓鱼网站等。

			
		

	



                

              
                



	

		

			

				
					
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报

				
			

			

				

					08-10
				

			

		

		

			
				
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 静态脚本文件内容

			
		

	



                


  
              

                


	

		

			

				
					
记一次攻防演练中的若依(thymeleaf 模板注入)getshell

					
最新发布

				
			

			

				

					蚁景网安学院
				

				

					05-27
					
					716
					
				

			

		

		

			
				
记一次攻防演练中幸运的从若依弱口令到后台getshell的过程和分析。首先,我会先把目标的二级域名拿去使用搜索引擎来搜索收集到包含这个目标二级域名的三级域名或者四级域名的网站,这样可以快速的定位到你所要测试的漏洞资产。

			
		

	





	

		

			

				
					
SpringBoot+SpringSecurity+Thymeleaf 演示CSRF攻击

				
			

			

				

					怪咖@的博客
				

				

					06-07
					
					2505
					
				

			

		

		

			
				
1. 通过代码示例来 演示CSRF攻击!2. 通过security给我们提供的保护机制,来进行防止CSRF攻击 3. security防止CSRF的原理

			
		

	



		

			
		



	

		

			

				
					
[风一样的创作]防XSS注入攻击

				
			

			

				

					fyydrs的博客
				

				

					12-29
					
					1735
					
				

			

		

		

			
				
一.首先大概理解下什么是XSS注入攻击
XSS注入攻击本质上就是通过你服务本身的接口把一些HTML,CSS,JS,SQL语句等内容存储进你的服务里面,一般是数据库里面,这时候就可以通过这些存储进去的内容拿取到一些你的数据库隐藏内容或者破坏你的页面排版,比如乱弹窗。
二.解决的方法
首先声明,解决方案不止这一种,这只是最简单的一种
1.使用拦截器拦截所有请求,一定要在最顶层
import org.springframework.boot.web.servlet.ServletComponentScan;
im

			
		

	





	

		

			

				
					
SpringBootXSS攻击

					
热门推荐

				
			

			

				

					BlueKitty的博客
				

				

					12-21
					
					2万+
					
				

			

		

		

			
				
1 . pom中增加依赖



  org.jsoup
  jsoup
  1.9.2




2 . 增加标签处理类

package com.xbz.utils;

import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
impor

			
		

	





	

		

			

				
					
第60篇:Thymeleaf模板注入漏洞总结及修复方法(上篇)

				
			

			

				

					ABC_123的博客
				

				

					05-06
					
					2751
					
				

			

		

		

			
				
Part1 前言前一阵子朋友让我帮忙看一套金融系统源代码的安全问题,从去年大比赛过后,我好久没审计过代码了,于是就仔细看了看。首先这套系统用的是Springboot框架,而且没有找到Java反序列化漏洞,SQL注入漏洞被预编译写法彻底封死,也没有上传漏洞,Fastjson用的1.2.83版本,Log4j2版本也较新。最后快放弃的时候,重新检查了配置文件,发现了thymeleaf组件,通过ide...

			
		

	





	

		

			

				
					
基于SpringBoot+Thymeleaf +mybatisPlus实现的个人博客系统 毕业设计

				
			

			

				

					02-04
				

			

		

		

			
				
该项目试基于SpringBoot2.X+Thymeleaf 实现的完整博客系统。  部分的前端展示页面和css样式等借鉴了部分网络作者的开源项目,在此向其作者表示感谢!  因为博主的能力有限,重构计划一直拖后,但是对于自己项目的...

			
		

	





	

		

			

				
					
一个基于SpringBoot+Thymeleaf渲染的图书管理系统

				
			

			

				

					12-17
				

			

		

		

			
				
SpringBoot+Thymeleaf实现的图书管理系统详解》  在现代软件开发中,SpringBoot以其简化Spring应用的初始搭建以及开发过程而受到广大开发者喜爱。结合Thymeleaf模板引擎,可以快速构建出功能丰富的Web应用,如本...

			
		

	





	

		

			

				
					
SpringBoot+thymeleaf+MyBatis+MySQL实现查询功能

				
			

			

				

					03-12
				

			

		

		

			
				
在IT行业中,构建Web应用程序是常见的任务,而Spring Boot、Thymeleaf、MyBatis和MySQL这四个组件是构建高效、简洁后端服务的常用技术栈。让我们深入探讨一下这些技术及其在实现查询功能中的应用。  首先,Spring ...

			
		

	





	

		

			

				
					
springboot+thymeleaf+maven+html+css实现精美大方好看官网模板完整源码.zip

				
			

			

				

					07-09
				

			

		

		

			
				
springboot+thymeleaf+maven+html+css实现精美大方好看官网模板完整源码 不需要搭建数据库即可启动,如果需要后台管理+数据库可以自己迭代拓展增加; 项目可以轻易修改,非常简单,非常适合新手

			
		

	





	

		

			

				
					
springboot+mybatis+thymeleaf实现简单的留言板

				
			

			

				

					08-01
				

			

		

		

			
				
在本项目中,我们利用SpringBoot、MyBatis和Thymeleaf三个核心框架来构建一个简单的留言板系统。SpringBoot以其便捷的初始化和配置方式,为开发者提供了快速开发Web应用的可能;MyBatis作为持久层框架,简化了SQL...

			
		

	





	

		

			

				
					
Spring boot防XSS攻击

				
			

			

				

					kodywu的博客
				

				

					11-05
					
					1986
					
				

			

		

		

			
				
网上有很多相关的文章,但细节都没有完整地讲明白,最后还是在老外的论坛才搞清楚,现在我就把这些内容都整理一下,方便给需要的人参考。
首先我们要搞清楚常用的Content-Type有哪些,以及在后台如何获取这些参数,看下面表格:




Content-Type
传参方式
接收方式




multipart/form-data
表单key-value




...

			
		

	





	

		

			

				
					
Thymeleaf 语法总结

				
			

			

				

					xss0905的博客
				

				

					10-20
					
					141
					
				

			

		

		

			
				
一、介绍

Thymeleaf是Spring boot推荐使用的模版引擎,直接以html显示,前后端可以很好的分离。

二、依赖与约束

   依赖


<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
          ...

			
		

	





	

		

			

				
					
XSS攻击CSRF攻击

				
			

			

				

					Dax1_的博客
				

				

					04-08
					
					1万+
					
				

			

		

		

			
				
XSS攻击
什么是XSS
Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全
XSS的注入方法
简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL

在HTML内嵌的文本中,恶意内容以script标签形成注入
在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等
在标

			
		

	





	

		

			

				
					
使用Spring Security和Thymeleaf进行CSRF保护

				
			

			

				

					allway2的博客
				

				

					11-05
					
					803
					
				

			

		

		

			
				
是一个Java模板引擎,用于处理和创建HTML,XML,JavaScript,CSS和纯文本。发送请求时,Spring 会将生成的令牌与存储在会话中的令牌进行比较,以确认用户没有被黑客入侵。CSRF 是一种攻击,它强制最终用户在当前经过身份验证的 Web 应用程序中执行不需要的操作。在本文中,我们将讨论如何使用Thymeleaf应用程序在Spring MVC中。由于缺少CSRF令牌,第一个测试将导致禁止状态,而第二个测试将正确执行。我们的请求被拒绝,因为我们发送的请求没有 CSRF 令牌。

			
		

	





	

		

			

				
					
springboot xss 注入问题

				
			

			

				

					imsjw
				

				

					03-15
					
					719
					
				

			

		

		

			
				
思路
使用全局过滤的方式来预防xss注入问题
当然thymeleaf 模板也可以用来预防xss注入
这里采用Jsoup 来防止xss注入
步骤
一 导入jar包
&lt;dependency&gt;
	&lt;groupId&gt;org.jsoup&lt;/groupId&gt;
	&lt;artifactId&gt;jsoup&lt;/artifactId&gt;
	&lt;version&g...

			
		

	





	

		

			

				
					
关于springboot中 处理XSS转义

				
			

			

				

					weixin_34291004的博客
				

				

					05-12
					
					1981
					
				

			

		

		

			
				
2019独角兽企业重金招聘Python工程师标准>>>   
                                        
         ...

			
		

	





	

		

			

				
					
彻底解决Spring MVC XSS注入问题

				
			

			

				

					zhuangnet的博客
				

				

					12-07
					
					1万+
					
				

			

		

		

			
				
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现

			
		

	





	

		

			

				
					
springboot+thymeleaf实现富文本编辑器

				
			

			

				

					05-24
				

			

		

		

			
				
以下是基于SpringBootThymeleaf实现使用CKEditor富文本编辑器的步骤:  1. 引入CKEditor相关的JavaScript和CSS文件,可以从官网下载或者使用CDN方式引入:  ```html <!-- 引入CSS -->   <!-- 引入JS --> ...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值