SpringBoot集成Hutool、mica防止XSS攻击实现

最新推荐文章于 2024-06-18 10:27:01 发布
最新推荐文章于 2024-06-18 10:27:01 发布
阅读量1.4k 收藏 4
点赞数 1
文章标签: spring boot xss java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52231508/article/details/130146070
版权

一、引入maven依赖

<!-- hutool-->
<dependency>
   <groupId>cn.hutool</groupId>
   <artifactId>hutool-all</artifactId>
   <version>5.1.0</version>
</dependency>
 <!-- mica-xss攻击 -->
 <dependency>
    <groupId>net.dreamlu</groupId>
    <artifactId>mica-core</artifactId>
    <version>2.0.9-GA</version>
 </dependency>
 <dependency>
    <groupId>net.dreamlu</groupId>
    <artifactId>mica-xss</artifactId>
    <version>2.0.9-GA</version>
 </dependency>

二、定义过滤器 XssFillter继承Fillter拦截http请求


@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
 
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        //先进行转义在把请求返回
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper,servletResponse);
    }
 
    @Override
    public void destroy() {
 
    }
}

三、使用工具类继承 HttpServletRequestWrapper 进行请求转义

servlet

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        //导入Hutool的依赖,进行html转义
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        //指定字符集编码
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        StringBuffer body = new StringBuffer();
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        //body数据转换
        String bodyInfo = body.toString();
        Map<String, Object> map = null;
        if (bodyInfo == null || bodyInfo.trim().length() == 0){
            map = new HashMap<>(0);
        }else{
            map = JSONUtil.parseObj(body.toString());
        }
        Map<String, Object> result = new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                if (!StrUtil.hasEmpty(val.toString())) {
                    result.put(key, HtmlUtil.filter(val.toString()));
                }
            } else {
                result.put(key, val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        //匿名类实现IO流
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

四、配置文件mica过滤请求、启动类上注册Filter

//在yml配置文件中配置mica过滤xss
mica:
  xss:
    enabled: true
    path-patterns: /**
    mode: escape

//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter
@ServletComponentScan
@EnableTransactionManagement(proxyTargetClass = true)
@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application .class,args);
    }
    
}

五、实战模拟

//springmvc绑定参数原理:
//普通参数绑定调用:HttpServletRequestWrapper.getParameterValues() 方法
@RequestMapping("/xss/{id}")
public String xss(String xss,String name){

}

//普通参数(携带注解)绑定调用:HttpServletRequestWrapper.getParameterValues() 方法
@RequestMapping("/xss/{id}")
public String xss(@RequestParam("xss")String xss,@Param("name") String name

}

//普通参数Path路径参数(携带注解)绑定调用:未调用 HttpServletRequestWrapper 中的方法
@RequestMapping("/xss/{id}")
public String xss(@PathVariable("id")String path){

}

//绑定Map集合(携带注解@RequestParam):调用 HttpServletRequestWrapper.getParameterMap 中的方法
@RequestMapping("/xss/{id}")
public String xss(@RequestParam(required = false)Map<String,Object> param){

}

//绑定Map集合(携带注解@RequestBody):调用HttpServletRequests实例获取参数 HttpServletRequestWrapper.getInputStream 中的方法
@RequestMapping("/xss/{id}")
public String xss(@RequestBody(required = false) Map<String,Object> param){
	 System.out.println( param);
}

//HttpServletRequests实例获取参数 HttpServletRequestWrapper.getParameter 中的方法
@RequestMapping("/xss/{id}")
public String xss(HttpServletRequest request){
	String xss = request.getParameter("xss")
}

//请求例子(postman):http://localhost:8080/tomcat/user/xss/123?xss=a
//postman中body --- raw
{
    "name":"王某",
    "age":12,
    "param":"<script>alert(1)<script/>",
    "xss":"<button>test</button>"
}
//@RequestParam(required = false)Map<String,Object> param1 
//与 
//@RequestBody(required = false) Map<String,Object> param2区别:
//前者仅封装get请求的url中的参数,后者仅封装post请求中body的数据

//结果:param1 = {xss=a}
//结果:param2 = {test=name, param=alert(1), name=王某, xss=test, age=12}
解决思路:
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。
小先生ノ
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot整合XSS.zip
04-30
SpringBoot可以通过集成XssFilter来实现这一目标。XssFilter可以在每个HTTP请求处理之前对请求参数进行过滤,去除或转义潜在的恶意脚本。 **二、SpringBoot整合XssFilter** 1. **添加依赖**:首先,需要在...
SpringBoot配置XSS过滤器基于mica-xss
靖节先生的博客
04-04 4184
SpringBoot配置XSS过滤器基于mica-xss1. 业务概述1.1 XSS简介1.2 需求概述2. mica概述2.1 mica简介2.1 mica对应springboot版本信息2.2 mica核心功能2.3 mica协议文档3. SpringBoot集成mica-xss3.1 maven依赖3.2 代码实现3.3 测试验证 1. 业务概述 1.1 XSS简介 XSS攻击即跨站点脚本攻击(Cross Site Script),为不和层叠样式表(Cascading Style Sheets, CS
XSS过滤器实现
最新发布
博客
06-18 243
通过注册过滤器,重写HttpServletRequestWrapper类,调用Hutool工具实现业务。
Spring boot 微服务核心组件集 mica v1.0.1 发布
weixin_34401479的博客
04-04 101
百度智能云 云生态狂欢季 热门云产品1折起>>> mica(云母) mica 云母,寓意为云服...
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 2990
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
Spring cloud 微服务框架 Mica 中的基础组件,用来生成 Spring boot starter 的一些基础配置
05-24
Mica-auto的角色就是自动化创建这些Starter的配置,帮助开发者快速集成和配置服务。 Mica-auto的工作原理大致如下: 1. **代码生成**:Mica-auto提供了代码生成工具,能够根据预设模板自动生成符合约定的Spring ...
面向规则缺陷的浏览器XSS过滤器测试方法
01-20
为了缓解跨站脚本(XSS,cross-site scripting)攻击,现代浏览器使用XSS过滤器进行防御,现有方法很难有效对浏览器XSS过滤器的安全性进行测试与评估。规则缺陷是浏览器XSS过滤器实现过程中的缺陷和安全问题。面向...
mica 语法.pdf
03-20
日立 PLC 编程手册,指令手册,详细介绍了各指令。并含有程序下载方法。包括 PLC 程序下载方法,对更换CPU及HPU有帮助。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Mica2015:我的机器人实现MICA-Event 2015
05-23
【标题】"Mica2015:我的机器人实现MICA-Event 2015" 描述了一次机器人竞赛或活动,其中参赛者或开发者使用了名为“云母2015”的机器人,并且该机器人成功地参与了MICA-Event 2015。这个事件可能是一个关于机器人...
SpringBoot集成Hutoolmica防止XSS攻击实现
toudousi的博客
07-20 1335
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
XSS的预防 – Hutool应用 – Spring提供解决方案
weixin_45129599的博客
11-21 641
本页目录 什么是XSS攻击?举例:如何预防XSS?方案一Spring提供了一些特定的工具类供我们使用转义:HtmlUtils.htmlEscape()反转义:HtmlUtils.htmlUnescape()方案二 Hutool包下的Xss解决方案清除所有Html标签:cleanHtmlTag清除script标签:filter将HTML编码进行转义:escape将HTML编码进行反转义:unesca...
SpringBootXSS攻击
HDesigner的博客
11-10 1964
XSS是啥就不多介绍了,主要介绍一下SpringBoot用最简单的方式进行防护 首先需要引入的依赖如下 <dependency> <groupId>net.dreamlu</groupId> <artifactId>mica-xss</artifactId> <version>2.0.9-GA</version> </dependency> <dependency>
SpringBoot使用mica-xss防止Xss攻击
热门推荐
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
实战项目如何抵御即跨站脚本(XSS)攻击
一生烟雨的博客
12-04 1434
实战项目如何抵御即跨站脚本(XSS)攻击
系统设计-文本内容保存之XSS过滤
路辉的博客
11-25 428
点击上方名片关注我,为你带来更多踩坑案例- 引言-如果你是一个摸爬滚打几年的开发者,那么这个阶段,对系统设计的合理性绝对是衡量一个人水平的重要标准。一个好的设计不光能让你工作中避免很多麻烦,还能为你面试的时候增加很多谈资而且,不同设计之间理念都是有借鉴性参考性的,你见过的设计多了,思考的多了,再次面临一个问题的时候,就会有很多点子不由自主的冒出来。希望这个系列的文...
mica-xss预防文件导入XSS
05-19
Mica-xss 是一个基于 JavaXSS 防护工具,它可以预防文件导入 XSS 攻击。具体来说,它可以对上传的文件进行检查,防止其中包含恶意脚本,从而保护应用程序的安全。 Mica-xss 的使用非常简单,只需要在 web.xml 文件中配置过滤器,即可对所有上传的文件进行过滤。下面是一个示例: ```xml <filter> <filter-name>xssFilter</filter-name> <filter-class>com.github.bingoohuang.mica.xss.XssServletFilter</filter-class> <init-param> <param-name>whiteUrls</param-name> <param-value>/upload,/upload/*</param-value> </init-param> <init-param> <param-name>logLevel</param-name> <param-value>1</param-value> </init-param> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 在上面的配置中,我们定义了一个名为 xssFilter 的过滤器,并指定了要过滤的 URL 范围。在初始化参数中,我们可以设置白名单和日志级别等选项。最后,在 filter-mapping 中将该过滤器映射到所有 URL 上。 当有文件上传时,Mica-xss 会自动检查其中是否包含恶意脚本,并在检测到问题时进行拦截。这样可以有效地预防文件导入 XSS 攻击,提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值