[Spring Cloud] (9)XSS拦截器

最新推荐文章于 2024-06-12 17:14:09 发布
最新推荐文章于 2024-06-12 17:14:09 发布
阅读量483 收藏 8
点赞数 4
分类专栏: Spring Cloud 文章标签: spring cloud xss spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46554590/article/details/139171954
版权

文章目录

简述

本文涉及代码已开源

本文网关gateway,微服务,vue已开源到gitee
杉极简 / gateway网关阶段学习
https://gitee.com/dong-puen/gateway-stages

Fir Cloud 完整项目

该内容完整项目如下
Fir Cloud v1.0.0
https://gitee.com/dong-puen/fir-cloud
https://github.com/firLucky/fir-cloud

防XSS攻击

XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。。。

必要性:

  1. 保护用户隐私:XSS攻击可以盗取用户的敏感信息,如登录凭据、个人数据和Cookies。
  2. 维护数据完整性:攻击者可能会利用XSS攻击来修改网页内容,破坏数据的准确性和完整性。
  3. 防止会话劫持:XSS攻击常常被用来窃取用户的会话Cookies,从而允许攻击者冒充用户进行操作。

作用:

  1. 防止恶意脚本执行:通过输入清理、输出编码等措施,防止恶意脚本在用户浏览器中执行。
  2. 防止敏感信息泄露:减少攻击者盗取用户敏感信息的机会,保护用户隐私。
  3. 保护Web应用安全:加强Web应用的整体安全性,使其不易受到XSS攻击。
  4. 防止网页篡改:防止攻击者通过XSS攻击修改网页内容。
  5. 减少安全漏洞:通过实施XSS防御措施,减少Web应用的安全漏洞。

整体效果

前端传递一个攻击代码字符串给后端时,后端将其过滤掉,效果如下:
image.png
image.png

后端

增加拦截器开关配置

  # xss拦截
  xss: true

image.png
GlobalConfig增加

    /**
     * 防xss
     */
    private boolean xss;

image.png

pom中增加jsoup依赖

jsoup 是一款基于 Java 的HTML解析器

        <!-- https://mvnrepository.com/artifact/org.jsoup/jsoup -->
        <dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.17.2</version>
        </dependency>

添加JSON处理工具类

package com.fir.gateway.utils;

import com.alibaba.fastjson.JSONObject;
import org.springframework.util.StringUtils;

/**
 * JSON处理工具类
 *
 * @author fir
 */
public enum JsonUtils {

    /**
     * 实例
     */
    INSTANCE;

    /**
     * json对象字符串开始标记
     */
    private final static String JSON_OBJECT_START = "{";

    /**
     * json对象字符串结束标记
     */
    private final static String JSON_OBJECT_END = "}";

    /**
     * json数组字符串开始标记
     */
    private final static String JSON_ARRAY_START = "[";

    /**
     * json数组字符串结束标记
     */
    private final static String JSON_ARRAY_END = "]";


    /**
     * 判断字符串是否json对象字符串
     *
     * @param val 字符串
     * @return true/false
     */
    public boolean isJsonObj(String val) {
        if (StringUtils.hasLength(val)) {
            return false;
        }
        val = val.trim();
        if (val.startsWith(JSON_OBJECT_START) && val.endsWith(JSON_OBJECT_END)) {
            try {
                JSONObject.parseObject(val);
                return true;
            } catch (Exception e) {
                return false;
            }
        }
        return false;
    }

    /**
     * 判断字符串是否json数组字符串
     *
     * @param val 字符串
     * @return true/false
     */
    public boolean isJsonArr(String val) {
        if (StringUtils.hasLength(val)) {
            return false;
        }
        val = val.trim();
        if (StringUtils.hasLength(val)) {
            return false;
        }
        val = val.trim();
        if (val.startsWith(JSON_ARRAY_START) && val.endsWith(JSON_ARRAY_END)) {
            try {
                JSONObject.parseArray(val);
                return true;
            } catch (Exception e) {
                return false;
            }
        }
        return false;
    }

    /**
     * 判断对象是否是json对象
     *
     * @param obj 待判断对象
     * @return true/false
     */
    public boolean isJsonObj(Object obj) {
        String str = JSONObject.toJSONString(obj);
        return this.isJsonObj(str);
    }

    /**
     * 判断字符串是否json字符串
     *
     * @param str 字符串
     * @return true/false
     */
    public boolean isJson(String str) {
        if (StringUtils.hasLength(str)) {
            return false;
        }
        return this.isJsonObj(str) || this.isJsonArr(str);
    }
}

添加xss拦截工具类

package com.fir.gateway.utils;

import com.alibaba.fastjson.JSONObject;
import lombok.SneakyThrows;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Safelist;

import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Objects;


/**
 * xss拦截工具类
 *
 * @author lieber
 */
public enum XssUtils {

    /**
     * 实例
     */
    INSTANCE;

    private final static String RICH_TEXT = "</";

    /**
     * 自定义白名单
     */
    private final static Safelist CUSTOM_WHITELIST = Safelist.relaxed()
//            .addAttributes("video", "width", "height", "controls", "alt", "src")
//            .addAttributes(":all", "style", "class")
            ;

    /**
     * jsoup不格式化代码
     */
    private final static Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);

    /**
     * 清除json对象中的xss攻击字符
     *
     * @param val json对象字符串
     * @return 清除后的json对象字符串
     */
    private String cleanObj(String val) {
        JSONObject jsonObject = JSONObject.parseObject(val);
        for (Map.Entry<String, Object> entry : jsonObject.entrySet()) {
            if (entry.getValue() != null && entry.getValue() instanceof String) {
                String str = (String) entry.getValue();
                str = this.cleanXss(str);
                entry.setValue(str);
            }
        }
        return jsonObject.toJSONString();
    }

    /**
     * 清除json数组中的xss攻击字符
     *
     * @param val json数组字符串
     * @return 清除后的json数组字符串
     */
    private String cleanArr(String val) {
        List<String> list = JSONObject.parseArray(val, String.class);
        List<String> result = new ArrayList<>(list.size());
        for (String str : list) {
            str = this.cleanXss(str);
            result.add(str);
        }
        return JSONObject.toJSONString(result);
    }

    /**
     * 清除xss攻击字符串,此处优化空间较大
     *
     * @param str 字符串
     * @return 清除后无害的字符串
     */
    @SneakyThrows
    public String cleanXss(String str) {
        if (JsonUtils.INSTANCE.isJsonObj(str)) {
            str = this.cleanObj(str);
        } else if (JsonUtils.INSTANCE.isJsonArr(str)) {
            str = this.cleanArr(str);
        } else {
            boolean richText = this.richText(str);
            if (!richText) {
                str = str.trim();
                str = str.replaceAll(" +", " ");
            }
            String afterClean = Jsoup.clean(str, "", CUSTOM_WHITELIST, OUTPUT_SETTINGS);
            if (paramError(richText, afterClean, str)) {
//                throw new BizRunTimeException(ApiCode.PARAM_ERROR, "参数包含特殊字符");
//                throw new Exception("参数包含特殊字符");
                System.out.println("参数包含特殊字符");
            }
            str = richText ? afterClean : this.backSpecialStr(afterClean);
        }
        return str;
    }


    /**
     * 判断是否是富文本
     *
     * @param str 待判断字符串
     * @return true/false
     */
    private boolean richText(String str) {
        return str.contains(RICH_TEXT);
    }

    /**
     * 判断是否参数错误
     *
     * @param richText   是否富文本
     * @param afterClean 清理后字符
     * @param str        原字符串
     * @return true/false
     */
    private boolean paramError(boolean richText, String afterClean, String str) {
        // 如果包含富文本字符,那么不是参数错误
        if (richText) {
            return false;
        }
        // 如果清理后的字符和清理前的字符匹配,那么不是参数错误
        if (Objects.equals(str, afterClean)) {
            return false;
        }
        // 如果仅仅包含可以通过的特殊字符,那么不是参数错误
        if (Objects.equals(str, this.backSpecialStr(afterClean))) {
            return false;
        }
        // 如果还有......
        return true;
    }

    /**
     * 转义回特殊字符
     *
     * @param str 已经通过转义字符
     * @return 转义后特殊字符
     */
    private String backSpecialStr(String str) {
        return str.replaceAll("&amp;", "&");
    }
}

防XSS-请求拦截器

package com.fir.gateway.filter.request;

import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.fir.gateway.config.GlobalConfig;
import com.fir.gateway.config.exception.CustomException;
import com.fir.gateway.config.result.AjaxStatus;
import com.fir.gateway.utils.XssUtils;
import lombok.Data;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpMethod;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.stereotype.Component;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.util.UriComponentsBuilder;
import reactor.core.publisher.Mono;

import javax.annotation.Resource;
import java.io.UnsupportedEncodingException;
import java.net.URI;
import java.net.URLEncoder;
import java.nio.charset.StandardCharsets;
import java.util.Collections;
import java.util.List;
import java.util.Map;
import java.util.Set;


/**
 * XSS过滤
 *
 * @author lieber
 */
@Data
@Slf4j
@ConfigurationProperties("config.form.xss")
@Component
public class XssFormFilter implements GlobalFilter, Ordered {


    /**
     * 网关参数配置
     */
    @Resource
    private GlobalConfig globalConfig;

    @Override
    public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {
        log.info("xss攻击验证:start");
        boolean xss = globalConfig.isXss();

        if (xss) {
            // 白名单路由判断
            ServerHttpRequest request = exchange.getRequest();
            String path = request.getPath().toString();
            List<String> whiteUrls = globalConfig.getWhiteUrls();
            if (whiteUrls.contains(path)) {
                log.info("xss攻击验证:true,白名单");
                return chain.filter(exchange);
            }


            ServerHttpRequest req = exchange.getRequest();
            String method = req.getMethodValue();

            ServerHttpRequest builder = req.mutate().build();
            if (HttpMethod.GET.matches(method)) {
                builder = change(exchange, builder);
            } else if (HttpMethod.POST.matches(method)) {
                builder = change(exchange, builder);
            }
            exchange = exchange.mutate().request(builder).build();
            log.info("xss攻击验证:true");
        } else {
            log.info("xss攻击验证:true,验证已关闭");
        }

        return chain.filter(exchange);
    }

    /**
     * 获取请求参数等信息进行过滤处理
     *
     * @param exchange          请求
     * @param serverHttpRequest 请求
     * @return 处理结束的参数
     */
    @SneakyThrows
    private ServerHttpRequest change(ServerWebExchange exchange, ServerHttpRequest serverHttpRequest) {
        // 获取原参数
        URI uri = serverHttpRequest.getURI();
        // 更改参数
        ServerHttpRequest request = exchange.getRequest();
        MultiValueMap<String, String> query = request.getQueryParams();
        String originalQuery = JSONObject.toJSONString(query);


        MultiValueMap<String, String> newQueryParams = new LinkedMultiValueMap<>();
        if (StringUtils.isNoneBlank(originalQuery)) {
            // 执行XSS清理
            log.info("{} - XSS清理,处理前参数:{}", uri.getPath(), originalQuery);
            Set<String> strings = query.keySet();
            for (String key : strings) {
                List<String> v = query.get(key);
                String newV = XssUtils.INSTANCE.cleanXss(JSONObject.toJSONString(v));
                List<String> newVList = JSONArray.parseArray(newV, String.class);
                for (String string:newVList) {
                    String encodedString = URLEncoder.encode(string, StandardCharsets.UTF_8.toString());
                    newQueryParams.add(key, encodedString);
                }
            }
             originalQuery = JSONObject.toJSONString(newQueryParams);
            log.info("{} - XSS清理,处理后参数:{}", uri.getPath(), originalQuery);
        }
        URI newUri = UriComponentsBuilder.fromUri(uri)
                .query(null)
                .queryParams(newQueryParams)
                .build(true)
                .toUri();

        return exchange.getRequest().mutate().uri(newUri).build();
    }


    @Override
    public int getOrder() {
        return -180;
    }
}

前端

身为一个后端程序员,本次终于不用再写前端代码了,难得难得。。。
此次前端无需更改任何内容。

落杉丶
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
SpringCloud gateway 防止XSS漏洞
qq_20236937的博客
01-31 1549
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS
SpringCloud gateway 防止XSS漏洞_springcloud项目添加xss防护
2401_84183033的博客
04-10 752
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。而反射型和DOM型的XSS则需要我们去诱使用户点击我们构造的恶意的URL,需要我们和用户有直接或者间接的接触,比如利用社会工程学或者利用在其他网页挂马的方式。对输入的内容进行过滤,可以分为黑名单过滤和白名单过滤。
SpringCloud微服务网关进行XSS攻击过滤-Zuul网关篇
qq_44004908的博客
01-19 2211
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 通俗来说,在新增表单里,表单内容里插入一段html或者js代码,在列表渲染时就可能执行这串js代码。这就是xss攻击。
spring cloud gateway中过滤xss攻击
程序员记事本
02-22 896
spring cloud中实现xss攻击拦截的一种方法
SpringCloud Zuul网关处解决XSS跨站问题
开源世界
01-28 851
1.添加过滤器 /** * 拦截防止xss注入 * * @author houxiurong * @date 2022-01-21 */ @Slf4j @Component public class XssFilter extends ZuulFilter { @Override public String filterType() { return FilterConstants.PRE_TYPE; } @Override public
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 5583
Java开发常见漏洞及解决方案
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
模板类-安全链表 SafeList
阿呆 - 音乐是流动的字符,字符是沉睡的阿呆
11-20 1204
模板类-安全链表 SafeList本文旨在说明:对: CPtrList CMap 之类的进行安全处理.曾经有个好友, 对CMap 封装了, 实现了安全map.我就封装了CPtrList, 实现了安全链表1. 声明, 重要实现template class DAVECMNLIB_CLASS CDVSafePtrList : public CPtrList最重要的代码:virtu
Spring Cloud 微服务开发核心工具集.zip
05-03
Spring Cloud 微服务开发核心工具集。基础工具类、验证码、http、redis、ip2region、xss 等组件开箱即用。 Spring Cloud 微服务开发核心工具集。基础工具类、验证码、http、redis、ip2region、xss 等组件开箱即用。...
Spring Boot项目实战之拦截器与过滤器
08-28
主要介绍了Spring Boot项目实战之拦截器与过滤器,文中给大家详细介绍了springboot 拦截器和过滤器的基本概念,过滤器的配置,需要的朋友可以参考下
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection
最新发布
weixin_42451330的博客
06-12 432
本文对Strict-Transport-Security(HSTS)& X-Frame-Options & X-XSS-Protection 进行了介绍,列举了常用指令及示例。
33 _ 跨站脚本攻击(XSS):为什么Cookie中有HttpOnly属性?
qq_46143850的博客
06-11 842
XSS全称是Cross Site Scripting,为了与“CSS”区分开来,故简称XSS,翻译过来就是“跨站脚本”。XSS攻击是指黑客往HTML文件中或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。最开始的时候,这种攻击是通过跨域来实现的,所以叫“跨域脚本”。但是发展到现在,往HTML文件中注入恶意代码的方式越来越多了,所以是否跨域注入脚本已经不是唯一的注入手段了,但是XSS这个名字却一直保留至今。
XSS(跨站脚本攻击)
guowu666的博客
06-10 1382
xss基础
6、Spring之Bean生命周期~创建Bean(2)
sproutBoy的博客
06-10 693
【代码】6、Spring之Bean生命周期~创建Bean(2)
Spring AI 第三讲Embeddings(嵌入式) Model API 第一讲OpenAI 嵌入
qq_25137131的博客
06-09 912
Spring AI 支持 OpenAI 的文本嵌入模型。OpenAI 的文本嵌入测量文本字符串的相关性。嵌入是一个浮点数向量(列表)。两个向量之间的距离可以衡量它们之间的相关性。距离小表示关联度高,距离大表示关联度低。
springboot与flowable(2):流程部署
游王子的博客
06-10 622
选择建模器应用程序选择要导出的建模点击导出按钮。将导出的文件复制到项目中。
springcloud gateway XSS安全防护
05-30
Spring Cloud Gateway是一个基于Spring Boot2.x的API网关,它提供了一些常用的过滤器来保护你的API安全,其中也包括了XSS安全防护。 XSS(Cross-site Scripting)攻击是一种Web安全漏洞,攻击者通过在页面中注入恶意...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落杉丶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值