跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

最新推荐文章于 2024-05-03 22:13:52 发布
最新推荐文章于 2024-05-03 22:13:52 发布
阅读量1.8k 收藏 7
点赞数 1
文章标签: java spring vue spring boot mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48008521/article/details/110914731
版权
1. 简介

  XSS,即跨站脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。
  XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。

2. XSS相关博客

  跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)

3. 其他安全相关博客

  SQL盲注、SQL注入 - SpringBoot配置SQL注入过滤器跨站点请求伪造 - SpringBoot配置CSRF过滤器

4. 基于mica-xss解决

  参考:https://gitee.com/596392912/mica

  • pom.xml添加依赖
<dependency>
	<groupId>net.dreamlu</groupId>
	<artifactId>mica-core</artifactId>
	<version>2.0.9-GA</version>
</dependency>
<dependency>
	<groupId>net.dreamlu</groupId>
	<artifactId>mica-xss</artifactId>
	<version>2.0.9-GA</version>
</dependency>

  添加依赖后,已经完成了XSS过滤配置。

5. 测试
  • 编写测试Controller
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 用户Controller
 * 
 * @author CL
 *
 */
@RestController
@RequestMapping(value = "user")
public class UserController {

	/**
	 * 获取用户信息
	 * 
	 * @param user 用户Entity
	 * @return
	 */
	@RequestMapping(value = "get")
	public String get(User user) {
		return user.toString();
	}

}

/**
 * 用户Entity
 * 
 * @author CL
 *
 */
class User {

	/**
	 * 用户ID
	 */
	private String id;

	/**
	 * 用户名称
	 */
	private String username;

	public User() {
		super();
	}

	public User(String id, String username) {
		super();
		this.id = id;
		this.username = username;
	}

	public String getId() {
		return id;
	}

	public void setId(String id) {
		this.id = id;
	}

	public String getUsername() {
		return username;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	@Override
	public String toString() {
		return "User [id=" + id + ", username=" + username + "]";
	}

}
  • 跳过过滤
      在Controller上添加注解@XssCleanIgnore即可。
/**
 * 注册Controller
 * 
 * @author CL
 *
 */
@XssCleanIgnore
@RestController
@RequestMapping(value = "register")
public class RegisterController {

	/**
	 * 获取信息
	 * 
	 * @param username 用户名称
	 * @return
	 */
	@RequestMapping(value = "get")
	public String get(String username) {
		return username;
	}

}
  • Postman测试
6. mica-xss原理
  • 自定义WebDataBinder过滤Form表单
      WebDataBinder的作用是从request将请求中的parameters绑定到对应的JavaBean上,在Controller方法中的参数类型可以是基本类型,也可以是普通Java类型。SpringMVC提供了在绑定的过程中用户自定义编辑绑定的接口,因此可以在绑定过程中进行过滤。
/**
 * 表单 xss 处理
 *
 * @author L.cm
 */
@AutoIgnore
@ControllerAdvice
@RequiredArgsConstructor
public class FormXssClean {
	private final XssCleaner xssCleaner;

	@InitBinder
	public void initBinder(WebDataBinder binder) {
		// 处理前端传来的表单字符串
		binder.registerCustomEditor(String.class, new StringPropertiesEditor(xssCleaner));
	}
	
	//......
}
  • 自定义JsonDeserializer(反序列化)过滤Json
      SpringBoot中默认是使用Jackson对Json数据进行序列化和反序列化,也可以自定义JsonSerializer和JsonDeserializer类自主实现。用户提交的Json报文会通过JsonDeserializer绑定到Java Bean中。因此可以在JsonDeserializer中进行过滤。
/**
 * jackson xss 处理
 *
 * @author L.cm
 */
@Slf4j
@RequiredArgsConstructor
public class JacksonXssClean extends JsonDeserializer<String> {
	private final XssCleaner xssCleaner;

	@Override
	public String deserialize(JsonParser p, DeserializationContext ctx) throws IOException {
		// XSS filter
		String text = p.getValueAsString();
		if (text == null) {
			return null;
		} else if (XssHolder.isEnabled()) {
			String value = xssCleaner.clean(text);
			log.debug("Json property value:{} cleaned up by mica-xss, current value is:{}.", text, value);
			return value;
		} else {
			return text;
		}
	}

}
  • XssUtil
      mica-xss的XSS工具类其实也是基于Jsoup工具实现的。
/**
 * xss clean
 *
 * <p>
 * 参考自 jpress:https://gitee.com/fuhai/jpress
 * </p>
 *
 * @author L.cm
 * @author michael
 */
public class XssUtil {
	private static final HtmlWhitelist WHITE_LIST = new HtmlWhitelist();

	/**
	 * xss 清理
	 *
	 * @param html html
	 * @return 清理后的 html
	 */
	public static String clean(String html) {
		if (StringUtils.hasText(html)) {
			return Jsoup.clean(html, WHITE_LIST);
		}
		return html;
	}
	
	//......
}
7. mica.xss配置

  mica-xss提供的配置类如下:

/**
 * Xss配置类
 *
 * @author L.cm
 */
@Getter
@Setter
@ConfigurationProperties("mica.xss")
public class MicaXssProperties {

	/**
	 * 开启xss
	 */
	private boolean enabled = true;
	/**
	 * 拦截的路由,默认为空
	 */
	private List<String> pathPatterns = new ArrayList<>();
	/**
	 * 放行的规则,默认为空
	 */
	private List<String> excludePatterns = new ArrayList<>();

}

  可以看出,默认是开启XSS过滤的,我们可以通过application配置文件,来开启或关闭过滤,并指定相应的拦截路由(默认为全部:/**)和放行规则(默认为空)。如果默认的配置已经满足需求,则不需要再自定义配置mica.xss。

mica:
    xss:
        enabled: true
        excludePatterns:
            - /login
            - /logout
C3Stones
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
站点脚本编制描述及解决方法
xrdlqy的专栏
02-04 2万+
原文地址:http://www.ibm.com/developerworks/cn/security/s-csscript/#2   简介: 站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点。本文中,Paul 描述了这种问题的本质、它是如何起作用的,并概述了一些推荐的修正策略。 当今的大多数网站都对 Web 页面添加了动态内容,从而使用户能获
SpringBoot使用mica-xss防止Xss攻击
热门推荐
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
So eazy!SpringBoot一键去除参数前后空格和XSS过滤实战解析
最新发布
2401_84152189的博客
05-03 1065
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!public void init(FilterConfig arg0) throws ServletException {}@Overridepublic void destroy() {}}复制代码添加参数过滤配置文件:import gc.cnnvd.framework.core.filter.ParamsFilter;import org.springframework.boot.web.servlet.
《appscan教程》 三 sql注入站点脚本编制
程序猿学社的博客
08-30 2156
sql注入站点脚本编制 package com.cloudtech.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servle...
站点脚本编制问题解决
06-12
基于OWASP组织提供的WEB项目中站点脚本编制问题解决方案。添加了pom依赖及相关jar包,适合在java web项目中使用!
xxs过滤
wzx_it的专栏
12-20 611
///     /// Xss过滤器     ///     public class XssCleaner     {         private static List> injectWords = new List>();         ///         /// 静态构造函数         ///         static XssCleaner
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
xss站点脚本编制漏洞/antisamy策略过滤
09-07
XSS站点脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
anti-xss:AntiAntiXSS | 通过PHP防止站点脚本XSS
05-02
:Japanese_secret_button: 反XSS站点脚本XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter <version>0.0.1 目前支持3种入参数xss...
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击是指攻击者利用网站没有对用户提交代码进行转义处理或者过滤不足的缺点,进而添加一些新代码,嵌入到Web页面中,使得其他用户访问都会执行相应的嵌入代码,从而盗取用户资料,利用用户身份进行某些...
SpringBoot整合XSS.zip
04-30
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
解决BEA WebLogic Platform 8.14站点脚本编制漏洞问题
03-19
NULL 博文链接:https://nicky.iteye.com/blog/717263
java站点脚本编制_站点请求伪造 站点脚本编制 通过框架钓鱼漏洞 | 学步园...
weixin_33324435的博客
02-26 219
1、站点请求伪造 站点脚本编制 通过框架钓鱼漏洞主要是通过在url或参数中添加脚本如:1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截package com.xxx.sys.filter;import java.io.IOException;import java.util.Enumeration;import javax.servlet.Filter;i...
[安全类] Xss脚本攻击 springboot (简易版)
pingzhuyan的博客
09-11 2284
!-- 自定义验证注解 -->/*** 自定义xss校验注解*/String message() default "不允许任何脚本运行";Class
SpringBoot集成Hutool或mica防止XSS攻击实现
toudousi的博客
07-20 1343
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
阿里云依赖问题处理方式
romygreat的博客
09-23 334
参考文章 https://blog.csdn.net/qq_41053520/article/details/118244668 一、需要在settings.gradle中添加配置文件 repositories { google() mavenCentral() jcenter() // Warning: this repository is going to shut down soon maven { allowInsecureProtocol = true url “http://maven.aliy
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3503
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
springboot配置xss过滤返回结果
05-30
要在Spring Boot应用程序中配置XSS过滤器并返回结果,可以按照以下步骤操作: 1. 创建一个名为XSSFilter的类并实现javax.servlet.Filter接口。 2. 在doFilter()方法中实现XSS过滤逻辑。 3. 在Spring Boot应用程序的配置类中注册该过滤器。 以下是一个示例XSSFilter类的代码: ``` import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // Do nothing because there is no initialization needed for this filter } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // Prevent XSS attacks XSSRequestWrapper wrappedRequest = new XSSRequestWrapper(httpRequest); chain.doFilter(wrappedRequest, httpResponse); } @Override public void destroy() { // Do nothing because there is no cleanup needed for this filter } } ``` 在上面的代码中,我们实现了XSSFilter类并覆盖了init(), doFilter()和destroy()方法。在doFilter()方法中,我们使用XSSRequestWrapper类对HttpServletRequest进行包装,以防止XSS攻击。接下来,我们需要在Spring Boot应用程序的配置类中注册该过滤器: ``` import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class AppConfig { @Bean public FilterRegistrationBean<XSSFilter> xssFilterRegistrationBean() { FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new XSSFilter()); registrationBean.addUrlPatterns("/*"); return registrationBean; } } ``` 在上面的代码中,我们创建了一个名为AppConfig的配置类,并使用@Bean注解注册了一个名为xssFilterRegistrationBean的过滤器注册bean。我们通过调用addUrlPatterns()方法将该过滤器应用于Spring Boot应用程序中的所有URL。现在,当Spring Boot应用程序处理请求时,XSS过滤器将自动应用于所有传入请求,以防止XSS攻击,并且响应将返回过滤后的结果。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值