SpringBoot集成Hutool防止XSS攻击实现

已于 2023-04-14 10:34:05 修改
阅读量806 收藏 1
点赞数 1
分类专栏: Java 文章标签: servlet 前端 javascript spring boot java
于 2023-04-14 10:33:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39706515/article/details/130146029
版权

目录

定义

解决方法

思路如下: 

一 定义过滤器 XssFillter继承Fillter拦截http请求

二 使用工具类继承 HttpServletRequestWrapper 进行请求转义

三 配置启动类

四 控制层

测试

定义

xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。

解决方法

  •  前端设置,如使用vue 可以设置 httponly
  •  后端http请求进行转义操作(这里主要介绍这一种

思路如下:
 一 定义过滤器 XssFillter继承Fillter拦截http请求

package com.example.wechatdemo.config.xss;
 
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
//拦截请求
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
 
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        //先进行转义在把请求返回
        XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }
 
    @Override
    public void destroy() {
 
    }
}

二 使用工具类继承 HttpServletRequestWrapper 进行请求转义

 HttpServletRquestWrapper继承体系如下图,工具类继承HttpServletRequestWrapper,并复写getParameterNames、getParameter、getParameterValues等方法即可简单进行http请求转义

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
 
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
//思路是使用 HttpServletRequestWrapper 实现后端
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
    //提取请求参数
    @Override
    public String getParameter(String name) {
        String value= super.getParameter(name);
        if(!StrUtil.hasEmpty(value)){
            value=HtmlUtil.filter(value);
        }
        return value;
    }
 
    @Override
    public String[] getParameterValues(String name) {
        String[] values= super.getParameterValues(name);
        if(values!=null){
            for (int i=0;i<values.length;i++){
                String value=values[i];
                if(!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }
 
    //转义数据
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map=new LinkedHashMap();
        if(parameters!=null){
            for (String key:parameters.keySet()){
                String[] values=parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        //导入Hutool的依赖,进行html转义
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key,values);
            }
        }
        return map;
    }
 
    @Override
    public String getHeader(String name) {
        String value= super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }
 
    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        //指定字符集编码
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        StringBuffer body=new StringBuffer();
        String line=buffer.readLine();
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String,Object> map=JSONUtil.parseObj(body.toString());
        Map<String,Object> result=new LinkedHashMap<>();
        for(String key:map.keySet()){
            Object val=map.get(key);
            if(val instanceof String){
                if(!StrUtil.hasEmpty(val.toString())){
                    result.put(key,HtmlUtil.filter(val.toString()));
                }
            }
            else {
                result.put(key,val);
            }
        }
        String json=JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
        //匿名类实现IO流
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }
 
            @Override
            public boolean isFinished() {
                return false;
            }
 
            @Override
            public boolean isReady() {
                return false;
            }
 
            @Override
            public void setReadListener(ReadListener readListener) {
 
            }
        };
    }
}

三 配置启动类

启动类应启用servlet扫描


@SpringBootApplication
@EnableScheduling 
@ServletComponentScan
public class SpringBootBaseApplication {

	public static void main(String[] args) throws IOException {
		SpringApplication.run(SpringBootBaseApplication.class, args);
	}


}

 四 控制层

import com.example.wechatdemo.common.util.R;
import com.example.wechatdemo.controller.form.TestFrom;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.web.bind.annotation.*;
 
import javax.validation.Valid;
 
@RestController
@RequestMapping
@Api("测试web接口")
public class TestController {
    @PostMapping("/sayhello")
    @ApiOperation("简单的测试方法")
    public R sayHello(@Valid @RequestBody TestFrom testFrom){
        return R.ok().put("message",testFrom.getName());
 
    }
}

测试

在swagger2测试截图如下

wcybaonier
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot集成Hutool或mica防止XSS攻击实现
toudousi的博客
07-20 1258
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservletspringmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
XSS防攻击实现
05-09
XSS防攻击实现,是否为忽略xss拦截 默认为false,转义字符,InitBinder
SpringBoot整合Hutool实现导入导出功能
LT19990304的博客
04-19 497
像我们平时开发中,我们可能需要把我们的Excel文件导入导出进行数据的查看和数据的增加。
springboot整合HutoolJava工具包)
Ark方舟
09-24 3843
Hutool中包含了大量便于开发的组件,建立开发使用: 文档地址:https://hutool.cn/docs/index.html#/
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1431
SpringBoot集成Hutool、mica防止XSS攻击实现
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot2.x使用Jsoup防XSS攻击实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Java防止xss攻击附相关文件下载
08-25
首先说一下思路,防止这种类似于注入攻击,就是使用拦截器(Filter)处理特殊字符或过滤特殊字符 今天介绍一个方法,利用覆盖Servlet的getParameter方法达到处理特殊字符的目的来解决(防止Xss攻击 web.xml,需要的...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
Xss过滤器
weixin_43326384的博客
11-30 642
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
hutool工具包的json工具有漏洞
qq_58616732的博客
04-22 462
hutool工具包只能导入141条数据(不知道哪里有问题)阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊!在向es批量导入数据时。
Java程序抵御xss攻击
小秋的博客
07-04 434
Java程序抵御xss攻击 原理:将前端请求的所有数据,进行转义后再存入数据库 1.导入hutool-all包 <!-- 数据转义,防止xss攻击--> <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1403
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
SpringBoot防止跨站脚本攻击Xss(覆盖Http请求,对http请求进行转义)
qq_44759750的博客
03-07 852
流程: 1、导入依赖hutool(提供一些Utile工具类) 2、定义请求包装类继承HttpServletRequestWrapper对数据进行转义 3、创建过滤器,将请求拦截并传入自定义包装类中 4、主类添加@ServletComponentScan扫描过滤器(@WebFilter) 1、 hutool提供一写工具类HtmlUtil、StrUtil <dependency> <groupId>cn.hutool</groupId>
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ?
码猿技术专栏
10-28 273
大家好,我是不才陈某~XSS 漏洞到底是什么?在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个alert就起作用了来看图。那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了...
hutool工具类
热门推荐
qq_34249468的博客
11-07 1万+
hutool常用工具类自己总结
Hutools常用工具类
最新发布
m0_53813123的博客
06-21 3235
Hutools的常用工具类
springboot防止存储型XSS攻击
05-18
存储型XSS攻击是指攻击者将恶意脚本或代码存储到服务器上,当用户访问受感染的网站时,这些恶意脚本会被加载并执行,从而导致用户信息泄露或者账户被盗。 在Spring Boot中,可以通过以下几种方式来预防存储型XSS攻击: 1. 输入校验:可以通过在前端和后端进行输入校验来防止恶意脚本被提交到服务器。在前端可以使用一些JavaScript库,例如jQuery、AngularJS等来对用户输入进行过滤和转义,避免恶意脚本被提交到服务器。在后端可以使用Spring MVC中的BindingResult和Validator来对输入参数进行校验,避免恶意脚本被存储到数据库。 2. 输出转义:在输出用户提交的数据时,需要将其进行转义,避免恶意脚本被执行。在Spring Boot中,可以使用Thymeleaf等模板引擎对输出进行转义,也可以使用一些第三方库,例如OWASP Java Encoder等对输出进行编码转义。 3. 安全配置:可以在Spring Boot的安全配置文件中配置一些安全策略,例如Content Security Policy(CSP)、HTTP Strict Transport Security(HSTS)、X-Content-Type-Options、X-XSS-Protection等,来防止一些恶意脚本的攻击。 需要注意的是,以上方法只能减少存储型XSS攻击的发生,但不能完全杜绝,因此在开发过程中需要注意安全性,及时修复漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wcybaonier

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值