springboot-过滤器与xxs攻击防御

已于 2022-07-27 23:23:28 修改
阅读量6.8k 收藏 3
点赞数 13
文章标签: spring boot java spring
于 2022-05-11 16:33:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42058998/article/details/124712878
版权

过滤器解决XXS(脚本注入)

1.实现Filter接口

public class XssFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
       XssRequestWrapper xssRequestWrapper = new XssRequestWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssRequestWrapper,servletResponse);
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {

    }
}

 2.创建XssRequestWrapper类


import org.springframework.web.util.HtmlUtils;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.util.Objects;

public class XssRequestWrapper extends HttpServletRequestWrapper {

    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     *
     * @param name
     * @return
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if(Objects.nonNull(value)){
            value =  HtmlUtils.htmlEscape(value);
        }
        return value;
    }

    @Override
    public String getParameter(String name) {
        //获取页面数据
        String value = super.getParameter(name);
        //进行字符转义
        if(Objects.nonNull(value)){
            value = HtmlUtils.htmlEscape(value);
            System.out.println("转义后的字符:" + value);
        }
        return  value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values != null){
            String[] escValues = new String[values.length];
            for (int i=0; i<values.length; i++) {
                if(Objects.nonNull(values[i])){
                    escValues[i] = HtmlUtils.htmlEscape(values[i]);
                }
            }
            return escValues;
        }
        return super.getParameterValues(name);
    }
/**
处理json
*/
    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in= super.getInputStream();
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        int len = -1;
        byte[] buffer = new byte[1024];//1kb
        while ((len = in.read(buffer)) != -1) {
            baos.write(buffer, 0, len);
        }
        in.close();
        String json = new String(baos.toByteArray());
        json=json.replaceAll("<","&lt;").replaceAll(">","&gt;");
        InputStream bain = new ByteArrayInputStream(json.getBytes());
        //匿名内部类,只需要重写read方法,把转义后的值,创建成ServletInputStream对象
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }

}

3.配置类中注册FilterRegistrationBean

@Bean
public  FilterRegistrationBean filterRegistrationBean(){
    FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
    filterRegistrationBean.setFilter(new XssFilter());
    filterRegistrationBean.addUrlPatterns("/*");
    return filterRegistrationBean;
}

请把小熊还给我&
关注
  • 13
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
防止SQL注入和XSS攻击Filter
06-03
防止SQL注入和XSS攻击Filter
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
最新发布
weixin_44421461的博客
05-16 154
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书中学,往事中“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2307
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
Web系统安全问题整理(XSS攻击
ThisLX的博客
01-25 862
Web系统安全问题整理(XSS攻击)1. XSS介绍2. XSS分类2.1 反射型XSS2.1 存储型XSS3. 安全测试工具4. 代码过滤XSS攻击4.1. XSSSecurityManager 安全过滤配置管理类4.2. XSSSecurityConfig 开关配置类4.3. XssHttpServletRequestWrapper 自定义XSS过滤wrapper4.4. XssFilter...
XssHttpServletRequestWrapper.java
12-03
XssHttpServletRequestWrapper.java
XSS漏洞通过HttpServletRequestWrapper实现
热门推荐
qq_35799712的博客
08-31 1万+
目前对XSS漏洞要求修复,考虑通过拦截器来统一处理request的参数,对XSS相关的js脚本进行过滤替换,从来来实现漏洞修复。 但是HttpServletRequest中的参数是无法改变的,若是手动执行修改request中的参数,则会抛出异常。我们可以利用HttpServletRequestWrapper包装HttpServletRequest,在Wrapper中实现参数的修改,然后用Http...
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2572
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSSXSS分为以下两种类型
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1217
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
Web 安全头号大敌 XSS 漏洞解决最佳实践
码上修行
02-21 1228
引言XSS 是目前最普遍的 Web 应用安全漏洞,它带来的危害是巨大的,是 Web 安全的头号大敌。关键词:跨站脚本(JavaScript、Java、 VBScript、ActiveX、 ...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
java过滤器,防止XSS、SQL
01-08
java过滤器XSS : 跨站脚本攻击(Cross Site Scripting),SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
【PDF-XSS攻击Java项目-上传文件-解决PDF文件XSS攻击
04-07
PDF-XSS实例文件
SpringBoot过滤Xss脚本攻击
wangfeng117254的博客
12-20 2408
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如何避免XSS攻击 解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。 代码实现 1、新建XssAndSqlHttpServletRequestWrapper.java import org.apache.comm
七、抵御即跨站脚本(XSS攻击
weixin_39309918的博客
10-20 1778
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie。攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。例如用户在发帖或者注册的时候,在文本框中输入。的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染。,黑客依然可以轻松的冒充已经登陆的用户。
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5387
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 3964
Springboot配置XSS过滤器XssFilter
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6339
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
4. URL攻击XXS攻击的本质不同之处是什么
06-13
URL攻击XXS攻击都是常见的Web应用程序安全漏洞,但它们的本质不同。 URL攻击是指攻击者通过构造恶意URL来实现攻击的方式。攻击者通常会在URL中携带恶意参数,例如SQL注入语句、恶意脚本等等。当用户点击这个URL时,恶意参数就会被传递到服务器端,从而导致安全漏洞。URL攻击的本质是利用了Web应用程序在处理URL参数时的漏洞。 XXS攻击是指攻击者通过在Web页面中插入恶意脚本来实现攻击的方式。攻击者通常会在Web页面中插入JavaScript等脚本,并通过各种方式触发这些脚本的执行。当用户浏览这个Web页面时,恶意脚本就会被执行,从而导致安全漏洞。XXS攻击的本质是利用了Web应用程序在输出用户数据时的漏洞。 因此,URL攻击XXS攻击的本质不同之处在于,URL攻击利用了Web应用程序在处理URL参数时的漏洞,而XXS攻击利用了Web应用程序在输出用户数据时的漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值