SpringBoot 使用Filter 解决Xss攻击 HTML标签转义

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量2.8k 收藏
点赞数 1
分类专栏: 安全问题 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41749698/article/details/107103097
版权

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

XSSFilter
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

/**
 * 类 名: XSSFilter
 * 描 述:
 * 作 者: binglong180
 * 创 建: 2020-06-24 10:28
 * 邮 箱: binglong172@163.com
 */

public class XSSFilter implements Filter {
  /**
   * 不需要转义的url
   */
  List<String> passList = new ArrayList<>();

  @Override
  public void init(FilterConfig filterConfig) throws ServletException {
        passList.add("/image/upload");
        passList.add("/adminLogin");
        passList.add("/admin/annex/upload");
        passList.add("/uscLogin");
  }


  @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest request =  (HttpServletRequest)servletRequest;
        String requestURI = request.getRequestURI();

        if(!passList.contains(requestURI)){
          filterChain.doFilter(new XSSRequestWrapper(request) , servletResponse);
        }else{
          filterChain.doFilter(servletRequest,servletResponse);
        }

    }

}
XSSRequestWrapper 参数重写类
import org.springframework.web.util.HtmlUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 类 名: XSSRequestWrapper
 * 描 述:
 * 作 者: binglong180
 * 创 建: 2020-06-24 10:39
 * 邮 箱: binglong172@163.com
 */

public class XSSRequestWrapper extends HttpServletRequestWrapper {
    public XSSRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        //获取所有参数值的集合
        String[] results = this.getParameterMap().get(name);
        if (results != null && results.length > 0) {
            int length = results.length;
            for (int i = 0; i < length; i++) {
                //过滤参数值
                results[i] = HtmlUtils.htmlEscape(results[i]);
            }
            return results;
        }
        return null;
    }

}
结果

在这里插入图片描述

binglong180
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用filter防止XSS
myself8202的博客
08-31 450
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 ##二.思路 ###基于filter拦截,将特殊字符替换为html转意字
Spring boot 过滤器实现防XSS攻击
李先生的博客
03-18 1333
文章目录背景参考资料上代码过滤器配置可配置不过滤地址主要过滤器代码xss具体过滤规则注意扫描该包(或者加starter也行)关于富文本框gitee代码仓库 背景 框架中添加xss攻击过滤器类,防止脚本攻击,能够做到引入包即可使用。 参考资料 这里主要参考renren-fast官方提供的开源项目的xss攻击进行改造。 参考io/renren/common/xss包下面类 三方包 hutool-http,参考博客api里面提供了xss所需的标签替换等功能 上代码 过滤器配置 /** * Filter配置
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 483
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
SpringBoot整合Ueditor百度富文本教程
Amik69901183的博客
03-31 507
Ueditor富文本
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
v-html转义,vue----数据转义,直接用v-html实现不了,filters也不行
weixin_39569753的博客
06-10 992
之前遇到一个项目,后台返回的数据是如下"详情请点击 <a href="http://www.nhfpc.gov.cn/jcj/s3577/201409/adbc8b5741bf4b9c86c8e6666d64171e.shtml" target="_blank">http://www.nhfpc.gov.cn/jcj/s3577/201409/adbc8b5741bf4b9c86c8e...
我的渗透笔记之XSS绕过技巧
xf555er的博客
03-03 1万+
1、单引号、双引号和尖括号之间的闭合。 有些标签例如,构造的payload应该为” >,那么组成的标签为<input value=""><script>alert(1)</script>" 2、尖括号被转义,利用注释符号和一些属性事件. 例如,构造payload为" οnclick=alert(1)//,组成的标签为<input value="" o...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
SpringBoot框架中,我们可以使用XSSFilter来预防这类攻击。 首先,理解XSS攻击的本质是关键。XSS攻击是通过在网页中注入可执行的脚本,当用户访问被注入脚本的页面时,这些脚本会在用户的浏览器环境中运行,从而...
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
以上就是使用SpringBoot、ESAPI和springSecurity集成实现XSS防护的基本步骤。在实际项目中,你可能还需要根据具体需求进行调整,例如添加对JSON响应的编码、处理文件上传时的输入验证等。同时,不要忘记定期更新ES...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
以上就是使用SpringBoot和ESAPI防止XSS攻击的基本步骤。通过这些实践,你可以构建一个更加安全的Web应用,有效地防御XSS攻击。在实际开发中,还应关注其他安全方面,比如SQL注入、CSRF攻击等,同时遵循OWASP(开放...
关于springboot中 处理XSS转义
weixin_34291004的博客
05-12 1980
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot请求json内容不能含有富文本编辑器获取的html代码
zcl_23333
11-16 4441
问题 当我使用富文本编辑器nicEditor获取内容 存入json 上传到spring boot的后端的时候, 我发现我并不能获取html格式的代码 解决方案 当上传的时候我们使用htmlencode编码处理 function htmlencode(html) { var temp = document.createElement (&quot;div&quot;); //2.然...
Spring HtmlUtils把HTML编码转义,可将HTML标签互相转义
LzwGlory的专栏
12-09 2万+
org.springframework.web.util.HtmlUtils 可以实现HTML标签转义字符之间的转换。  代码如下:  Java代码   /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.out.println(s);   String
springboot拦截html页面元素,SpringBoot+SpringSecurity 不拦截静态资源的实现
weixin_33613462的博客
06-05 1325
一、问题描述在 SpringBoot 中加入 SpringSecurity 中之后,静态资源总是被过滤,导致界面很难看:目录结构:二、问题解决正常不拦截资源,我查阅资料,基本都是重新 config 方法即可:package org.yolo.securitylogin.config;import org.springframework.context.annotation.Bean;import ...
springboot防止存储型XSS攻击
05-18
存储型XSS攻击是指攻击者将恶意脚本或代码存储到服务器上,当用户访问受感染的网站时,这些恶意脚本会被加载并执行,从而导致用户信息泄露或者账户被盗。 在Spring Boot中,可以通过以下几种方式来预防存储型XSS攻击: 1. 输入校验:可以通过在前端和后端进行输入校验来防止恶意脚本被提交到服务器。在前端可以使用一些JavaScript库,例如jQuery、AngularJS等来对用户输入进行过滤和转义,避免恶意脚本被提交到服务器。在后端可以使用Spring MVC中的BindingResult和Validator来对输入参数进行校验,避免恶意脚本被存储到数据库。 2. 输出转义:在输出用户提交的数据时,需要将其进行转义,避免恶意脚本被执行。在Spring Boot中,可以使用Thymeleaf等模板引擎对输出进行转义,也可以使用一些第三方库,例如OWASP Java Encoder等对输出进行编码转义。 3. 安全配置:可以在Spring Boot的安全配置文件中配置一些安全策略,例如Content Security Policy(CSP)、HTTP Strict Transport Security(HSTS)、X-Content-Type-Options、X-XSS-Protection等,来防止一些恶意脚本的攻击。 需要注意的是,以上方法只能减少存储型XSS攻击的发生,但不能完全杜绝,因此在开发过程中需要注意安全性,及时修复漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值