SpringCloud微服务网关进行XSS攻击过滤-Zuul网关篇

最新推荐文章于 2024-06-06 22:22:50 发布
最新推荐文章于 2024-06-06 22:22:50 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: springcloud 文章标签: spring cloud 微服务 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44004908/article/details/122577083
版权 
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
通俗来说,在新增表单里,表单内容里插入一段html或者js代码,在列表渲染时就可能执行这串js代码。这就是xss攻击。

在微服务中,我们可以很方便的去网关中处理xss攻击,即自定义过滤器,在网关进行路径分发前进行输入数据的处理

直接编写自定义过滤器,继承ZuulFilter过滤器

package com.bp.getway.filter;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.netflix.zuul.ZuulFilter;
import com.netflix.zuul.context.RequestContext;
import com.netflix.zuul.exception.ZuulException;
import com.netflix.zuul.http.ServletInputStreamWrapper;
import lombok.extern.log4j.Log4j2;
import org.apache.commons.lang.StringEscapeUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.cloud.netflix.zuul.filters.support.FilterConstants;
import org.springframework.stereotype.Component;
import org.springframework.util.StreamUtils;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.io.InputStream;
import java.nio.charset.Charset;
import java.util.*;

/**
 * @author ZhuWeiHao
 * @date 2022/1/18
 * XSS过滤
 */
@Component
@Log4j2
public class XSSFilter extends ZuulFilter {


    //类型 pre,在之前处理
    @Override
    public String filterType() {
        return FilterConstants.PRE_TYPE;
    }

    //Spring的排序,越小越早加载
    @Override
    public int filterOrder() {
        return -99;
    }

    //是否执行逻辑处理
    @Override
    public boolean shouldFilter() {
        return true;
    }

    //过滤处理
    @Override
    public Object run() {
        RequestContext requestContext = RequestContext.getCurrentContext();
        HttpServletRequest request = requestContext.getRequest();
        String contentType = request.getContentType();
        if (StringUtils.isNotBlank(contentType)) {
            //表单和url提交方式
            if (StringUtils.equals(contentType, "application/x-www-form-urlencoded")
                    || StringUtils.equals(contentType, "application/x-www-form-urlencoded;charset=UTF-8")) {

                //对象引用不允许直接对原对象进行修改
                Map<String, String[]> parameterMap = new HashMap(request.getParameterMap());
                if (parameterMap == null || parameterMap.isEmpty()) {
                    return null;
                }
                Map<String, List<String>> requestQueryParams = requestContext.getRequestQueryParams();
                if (requestQueryParams == null) {
                    requestQueryParams = new HashMap<>(parameterMap.size() * 2);
                }
                Iterator<Map.Entry<String, String[]>> iterator = parameterMap.entrySet().iterator();
                while (iterator.hasNext()) {
                    Map.Entry<String, String[]> next = iterator.next();
                    List<String> list = Arrays.asList(next.getValue());
                    for (int i = 0; i < list.size(); i++) {
                        list.set(i, StringEscapeUtils.escapeJavaScript(StringEscapeUtils.escapeHtml(list.get(i))));
                    }
                    String key = next.getKey();
                    requestQueryParams.put(key, list);
                }
                requestContext.setRequestQueryParams(requestQueryParams);
                //json提交方式
            } else if (StringUtils.equals(contentType, "application/json")
                    || StringUtils.equals(contentType, "application/json;charset=UTF-8")) {

                try {
                    InputStream in = requestContext.getRequest().getInputStream();
                    String body = StreamUtils.copyToString(in, Charset.forName("UTF-8"));
                    JSONObject json = JSON.parseObject(body);
                    Map<String, Object> map = json;
                    Map<String, Object> mapJson = new HashMap<>();
                    for (Map.Entry<String, Object> entry : map.entrySet()) {
                        mapJson.put(entry.getKey(), cleanXSS(entry.getValue().toString()));
                    }
                    String newBody = JSON.toJSONString(mapJson);
                    byte[] reqBodyBytes = newBody.getBytes();

                    //注意此处的HttpServletRequestWrapper 是java.servlet包下的
                    //重写输入流
                    requestContext.setRequest(new HttpServletRequestWrapper(request) {
                        @Override
                        public ServletInputStream getInputStream() {
                            return new ServletInputStreamWrapper(reqBodyBytes);
                        }

                        //注意此次两个获取内容长度方法一定要重写,不然容易造成读取长度不一致的问题
                        @Override
                        public int getContentLength() {
                            return reqBodyBytes.length;
                        }

                        @Override
                        public long getContentLengthLong() {
                            return reqBodyBytes.length;
                        }
                    });
                } catch (IOException e) {
                    e.printStackTrace();
                    log.error("xss过滤器读取参数异常");
                }

            }


        }

        return null;
    }

    private String cleanXSS(String value) {
        if (StringUtils.isBlank(value)) {
            return value;
        }
        value = StringEscapeUtils.escapeHtml(value);
        value = StringEscapeUtils.escapeJavaScript(value);
        value = value.replaceAll("\\\\", "");
        return value;
    }

}

运行项目,进行输入测试,xss代码被转义了,效果达到

愿为君故
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS
qq_26801767的博客
05-20 8114
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
SpringCloud 使用Zuul防止xss攻击和sql注入
Alone5256的博客
04-15 3267
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击和sql注入导入zuul的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击和sql注入 导入zuul的jar包 <!--zuul--> <dependency> ...
spring cloud gateway中过滤xss攻击
程序员记事本
02-22 922
spring cloud中实现xss攻击拦截的一种方法
Spring-Cloud-Gateway-实现XSS、SQL注入拦截
最新发布
lbmydream的博客
06-06 953
XSS和SQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSS和SQL注入进行安全防范。写这文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
记录网关zuul处理跨域/XSS问题
C18298182575的博客
04-14 737
这种过滤器用于构建发送给微服务的请求,并使用Apache HttpClient或Netfilx Ribbon请求微服务zuul把Request route到 用户处理逻辑 的过程中,这些filter参与一些过滤处理,比如Authentication,Load Shedding等。那么与网关处理跨域问题关系是什么,NG处理了,为什么还需要在网关中处理。Zuul中定义了四种标准过滤器类型,这些过滤器类型对应于请求的典型生命周期。1.PRE,前置需要处理的逻辑,跨域/XSS处理。zuul的核心是一系列的。
SpringCloud Zuul网关处解决XSS跨站问题
开源世界
01-28 860
1.添加过滤器 /** * 拦截防止xss注入 * * @author houxiurong * @date 2022-01-21 */ @Slf4j @Component public class XssFilter extends ZuulFilter { @Override public String filterType() { return FilterConstants.PRE_TYPE; } @Override public
Spring-Cloud 微服务网关ZuulZuulFilter过滤器和限流
weixin_45626288的博客
09-22 1403
微服务网关一. Zuul网关1. 创建工程 并导入依赖2. application.yml 配置文件3. 启动类添加注解4. 依次启动服务5. 进入浏览器访问测试二. ZuulFilter 过滤器1. ZuulFilter简介2. 在filters包下创建PowerFilter类3. 再次访问网址三. 计数器限流1. 在application.yml 配置文件添加!2. 再去连续快速的访问网址3.再 controller 包下创建 ErrorController 错误信息控制器4. 再去连续快速的访问网址四
lamp-cloud微服务脚手架
10-20
lamp-cloud微服务脚手架是一个基于SpringCloud(Hoxton.SR10) + SpringBoot(2.3.10.RELEASE)的SaaS微服务脚手架,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API、分布式事务、大文件...
lamp-cloud微服务脚手架-其他
06-11
lamp-cloud是一个基于SpringCloud(Hoxton.SR10) + SpringBoot(2.3.10.RELEASE)的SaaS微服务脚手架,具有统一授权、认证后台管理系统,其中包含具备用户管理、资源权限管理、网关API、分布式事务、大文件断点分片续传...
微服务网关解决方案调研和使用总结
01-27
在技术选型上,Spring Cloud Zuul是一个基于Spring Cloud生态的常用选择,提供了丰富的过滤器机制,方便扩展。Kong则基于OpenResty,提供了API管理和服务治理的能力。另外,自建的网关服务,如使用OpenResty,也能...
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
深入理解Spring Cloud Zuul过滤
08-31
主要给大家介绍了关于Spring Cloud Zuul过滤器的相关资料,通过阅读本文您将了解:Zuul过滤器类型与请求生命周期、如何编写Zuul过滤器、如何禁用Zuul过滤器和Spring CloudZuul编写的过滤器及其功能,需要的朋友可以参考下。
lamp-cloud:lamp-cloud基于SpringCloud(Hoxton.SR9)+ SpringBoot(2.3.6.RELEASE)的微服务快速开发平台,其中的可配置的SaaS功能尤其是闪耀,具有RBAC功能,网关统一鉴权,Xss防跨站攻击,自动代码生成,多种存储系统,分布式事务,分布式定时任务等多个模块,支持多业务系统并行开发,支持多服务并行开发,可以作为替代服务的开发脚手架。简洁,注释齐全,架构清晰,非常适合学习和企业作为基础框架使用
02-03
《灯灯》中后台快速开发平台 灯项目名字由来 叙事版: 在一个夜黑风高的晚上,小孩吵着要出去玩,于是和程序员老婆一起带小孩出去放风,路上顺便讨论起项目要换个什么名字,在各自想出的名字都被对方一一否决后,,...
毕业设计之SpringCloud-B2C电子商务平台服务端.zip
08-04
2. **Zuul** 或 **Spring Cloud Gateway**:作为边缘服务和API网关,处理所有客户端请求,提供路由转发、过滤等功能,同时也是服务之间通信的统一入口。 3. **Ribbon** 和 **Hystrix**:Ribbon是客户端负载均衡器,...
Spring Cloud Gateway XSS防护大众方案实现优化
bossfriday - 个人博客
10-20 1961
Spring Cloud Gateway XSS防护大众方案优化。
SpringCloud Zuul中遇到的坑
超越梦想,一起飞!!!
09-24 988
最近笔者在研究和使用SpringCloud Zuul作为微服务网关。在这个微服务网关,我们集成了权限管理和路由转发。
Spring Cloud Gateway 过滤器实现XSS防护
qq_38866412的博客
12-13 2964
(参考:org.springframework.cloud.gateway.filter.factory.rewrite.ModifyRequestBodyGatewayFilterFactory)之前写的一版,,自己创建新DataBuffer来读取requestbody里的内容,上生产堆外内存泄露了。背景:公司项目为微服务项目,使用了SpringCloudGateway,目前有需要防护xss攻击请求的需求。
SpringCloud 使用Zuul防止xss攻击(新版本)
Alone5256的博客
04-15 2706
SpringCloud -ZUULSpringCloud 使用Zuul防止xss攻击(新版本)导入zuul和lang3的jar包编写一个过滤器SqLinjectionFilter,继承ZuulFilter SpringCloud 使用Zuul防止xss攻击(新版本) 导入zuul和lang3的jar包 <!--zuul--> <dependency> ...
SpringCloud项目如何在网关配置XSS过滤
05-31
Spring Cloud 项目中,通常会使用 Spring Cloud Gateway 作为网关,可以通过自定义过滤器来实现 XSS 过滤。 以下是一个使用 Spring Cloud Gateway 实现 XSS 过滤的示例: 1. 引入依赖 在 pom.xml 文件中添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值