SpringBoot防止跨站脚本攻击Xss(覆盖Http请求,对http请求进行转义)

已于 2022-03-12 17:43:45 修改
阅读量860 收藏
点赞数
分类专栏: SpringBoot项目
于 2022-03-07 21:32:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44759750/article/details/123340316
版权

Hutool XSS攻击 过滤器 HttpServletRequestWrapper 安全防护
关键词由CSDN通过智能技术生成

流程:
1、导入依赖hutool(提供一些Utile工具类)
2、定义请求包装类继承HttpServletRequestWrapper对数据进行转义
3、创建过滤器,将请求拦截并使用自定义包装类覆盖原request
4、主类添加@ServletComponentScan扫描过滤器(@WebFilter)

1、
hutool提供一写工具类HtmlUtil、StrUtil

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.4.0</version>
        </dependency>

2、MyXssHttpServletRequestWrapper

/**
 * @description 对上传数据做转义处理防止跨站网络攻击
 */
public class MyXssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public MyXssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value=super.getParameter(name);;
        if (!StrUtil.hasEmpty(value)){
            value= HtmlUtil.filter(value);//将数据中的html标签去除
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values=super.getParameterValues(name);
        if (values!=null){
            for (int i = 0; i < values.length; i++) {
                String value=values[i];
                if (!StrUtil.hasEmpty(value)){
                    value=HtmlUtil.filter(value);
                }
                values[i]=value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String,String[]> parameters=super.getParameterMap();
        LinkedHashMap<String,String[]> map=new LinkedHashMap<>(); //保证map有序
        if (parameters!=null){
            for (String key: parameters.keySet()) {
                String[] values=parameters.get(key);
                for (int i=0;i<values.length;i++){
                    String value=values[i];
                    if (StrUtil.hasEmpty(value)){
                        value=HtmlUtil.filter(value);
                    }
                    values[i]=value;
                }
                map.put(key,values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value=super.getHeader(name);
        if (!StrUtil.hasEmpty(value)){
            value= HtmlUtil.filter(value);//将数据中的html标签去除
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in=super.getInputStream();
        InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer=new BufferedReader(reader);
        String line=buffer.readLine();
        StringBuffer body=new StringBuffer();//将字节流数据读到bufferReader里面
        while(line!=null){
            body.append(line);
            line=buffer.readLine();
        }
        in.close();
        reader.close();
        buffer.close();
        //使用hutool的工具类将body转换为map
        Map<String,Object> map=JSONUtil.parseObj(body);
        //对map中的value进行转义
        Map<String,Object> temp=new LinkedHashMap<>();
        for (String key:map.keySet()){
            Object obj=map.get(key);
            if (obj instanceof String){
                if (!StrUtil.hasEmpty(obj.toString())){
                    obj=HtmlUtil.filter(obj.toString());
                }
            }
            temp.put(key,obj);
        }
        //Map对象转换成json格式的字符串
        String json=JSONUtil.toJsonPrettyStr(temp);
        //创建IO流冲json中读数据
        ByteArrayInputStream res=new ByteArrayInputStream(json.getBytes());

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return res.read();
            }
        };
    }
}

3、XssFilter

/**
 * @description 对请求数据进行拦截,将请求对象封装成wrapper对象
 *
 */
@WebFilter(urlPatterns = "/*") //拦截所有对象
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request= (HttpServletRequest) servletRequest;
        MyXssHttpServletRequestWrapper wrapper=new MyXssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }

    @Override
    public void destroy() {

    }
}
嘻嘻哈哈Man
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot2.1.x,集成POI,用HttpServletRequestWrapper实现XSS攻击拦截,用HttpServletResponseWrapper实现通用excel导出功能
p812438109的专栏
08-07 1427
该案例是用Filter拦截器实现excel通用导出功能,并在实现的过程中,加入了XSS攻击拦截功能。 局限性: 1、excel通用导出,只能用于一种导出模板,列头+数据格式 2、不适合数据超大导出 导出excel通用模板格式效果图: 第一步:创建一个maven项目,引入springboot的jar,并引入POI导出excel需要的jar <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http:/..
http访问拦截器,使用正则匹配request请求是否存在xxs攻击
冻死的企鹅
01-27 2046
http访问拦截器,过滤xxs构建的请求 public class HttpAccessInterceptModule : IHttpModule { private static List<string> _RegexWords; static HttpAccessInterceptModule() { _RegexWords = new List<string>() {
Springboot防止XSS跨站脚本攻击
菜狗小仪的博客
11-18 630
系统渗透测试时被监测存在可利用XSS漏洞,解决方法如下: 1、Maven引用 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 2、HtmlFilter过滤类 使用Jsoup对相应内容进行过滤。 jsoup是一个HTML
关于springboot中 处理XSS转义
weixin_34291004的博客
05-12 1988
2019独角兽企业重金招聘Python工程师标准>>> ...
xss跨站攻击html转义,前端攻击和防御(一)XSS跨站脚本攻击
weixin_36011231的博客
06-21 1430
(一)XSS跨站脚本攻击(1)XSS简介XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
ESAPI提供了一套完整的API,可以方便地对用户输入进行验证和清理,从而防止XSS攻击。例如,我们可以使用`ESAPI.encoder().encodeForHTML()`方法来转义HTML特殊字符,确保用户输入不会被浏览器解释为HTML代码。 要...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
SpringBoot整合XSS.zip
04-30
然而,随着Web应用的复杂性增加,各种安全威胁也随之而来,如跨站脚本攻击XSS)和SQL注入。本文将深入探讨如何使用SpringBoot整合XssFilter和Jsoup来防范这些攻击。 **一、XSS攻击与防御** 1. **XSS攻击简介**:...
XSS防攻击实现
05-09
3. **使用HTTP头部**:设置`Content-Security-Policy`头部,限制浏览器只允许加载特定来源的资源,可以有效防止跨站脚本攻击。 4. **使用安全的HTTP方法**:对于不修改服务器状态的操作,如搜索,推荐使用GET而非...
Springboot-XSS.zip
09-03
然而,随着便利性而来的是安全挑战,比如XSS跨站脚本攻击)和SQL注入。让我们详细探讨这些概念以及如何在Spring Boot应用中防范它们。 **XSS跨站脚本攻击)** XSS攻击是一种常见的Web应用程序安全漏洞,攻击者...
mysql哪些xss要转译查询_快速对字符转义,避免跨站攻击XSS
weixin_35457595的博客
02-08 287
XSS已经成为非常流行的网站攻击方式,为了安全起见,尽量避免用户的输入。可是有些情况下不仅不避免,反而要求鼓励输入,比如写博客。博客园开放性很高,可以运行手写的JS。之前比较著名的例子就是,凡是看到某一篇文章的,都自动关注他。如果避免跨站攻击的话,我们就得对用户的输入,进行转义。例如alert('hello world')。如果直接保存这个字符串的话,然后再输出的话,就会运行JS了。我们需要将这个...
session中或者request中同名字的参数会被后来者覆盖
༺ bestcxx的专栏 ༻
01-20 5120
将参数通过session或者request会话传递给前台,后面的赋值会将前面的同名赋值覆盖
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ?
码猿技术专栏
10-28 282
大家好,我是不才陈某~XSS 漏洞到底是什么?在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个alert就起作用了来看图。那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了...
springboot(服务端接口)获取URL请求参数的几种方法
weixin_37624195的博客
04-23 1293
这里写自定义目录标题一、下面为7种服务端获取前端传过来的参数的方法常用的方法为:@RequestParam和@RequestBody二、spring boot的@RequestParam和@RequestBody的区别1、问题描述2、问题原因3、解决方法三、SpringBoot 中常用注解@PathVaribale/@RequestParam/@GetMapping介绍@PathVaribale 获取url中的数据@RequestParam 获取请求参数的值@GetMapping 组合注解 一、下面为7种服
SpringBoot集成Hutool防止XSS攻击实现
Wcybaonier
04-14 831
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override@Override//先进行转义在把请求返回@Override。
java 过滤攻击报文_Spring Boot XSS 攻击过滤插件使用
weixin_42411003的博客
02-26 168
XSS 是什么XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。xss 攻击流程简单 xss 攻击示例若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。解决方案...
SpringBoot解决Slow HTTP慢速攻击漏洞
最新发布
涛哥是个大帅比
01-19 1536
Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些Web应用可能用到的重要的信息。攻击者利用这点,发起一个HTTP请求,一直不停的发送HTTP头部,消耗服务器的连接和内存资源。抓包数据可见,攻击客户端与服务器建立TCP连接后,每10秒才向服务器发送一个HTTP头部,而Web服务器在没接收到2个连续的\r\n时,会认为客户端没有发送完头部,而持续的等等客户端发送数据。如果恶意攻击者客户端持续建立这样的连接,那么服务器上可用的连接将一点一点被占满,从而导致拒绝服务。这种
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
SpringBoot 如何防护XSS攻击 ??
爱追剧晓三鲜的博客
12-23 7013
SpringBoot 如何防护XSS攻击 ??一、前言1.1、XSS攻击流程1.2、XSS攻击分类1.3、攻击方式二、解决方案2.1、Springboot XSS过滤插件(mica-xss)2.2、mica-xss 配置三、项目实战3.1、项目环境3.2、测试3.2.1、测试GET请求3.2.2、测试POST请求3.2.2.1、测试POST请求(XSS代码放在URL上)3.2.2.2、测试POST请求(XSS代码放在 Body 中)四、mica-xss 原理剖析4.1、mica-xss 源码 一、前言 XS
XSS跨站脚本攻击详解与防御策略
"该资源主要介绍了XSS跨站脚本攻击的相关知识,包括攻击的定义、类型、漏洞挖掘以及防范措施。此外,还探讨了Web安全的三个主要目标:保护Web服务器及其数据的安全、保护信息传递的安全以及保护终端用户设备的安全。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值