彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)

最新推荐文章于 2024-05-18 10:01:59 发布
最新推荐文章于 2024-05-18 10:01:59 发布
阅读量9k 收藏 20
点赞数 1
分类专栏: java技术 文章标签: xss spring mvc json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sanyuesan0000/article/details/89918173
版权

目录

一,背景

二,名词解释

三,xss修复的一般处理方法

四、扩展jackson定制自己的objectMapper处理json出入参的转义

五、结语

一,背景

昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求的xss注入和post请求非json的注入,但是我们的注册页面保存接口的入参是json格式的,所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试,终于解决了,能够对入参和出参(包括json格式)进行转义的方法。

二,名词解释

xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码,如果没有做任何处理就保存到数据库,在页面回显时就会直接执行这段js,导致cookie盗取,钓鱼劫持等风险。

三,xss修复的一般处理方法

springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法,在获取参数时对参数中的字符串进行转义,来进行XSS判断预防。网上很多说的是这种方法,但是这种方式不能对json格式的入参进行转义,所以还是存在问题的

1,XssFilter

package com.xss.web.filter;

import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * 跨站脚本攻击过滤器
 * 
 * 
 */
public class XssFilter implements Filter {

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		// TODO Auto-generated method stub

	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
	}

	@Override
	public void destroy() {
		// TODO Auto-generated method stub

	}

}

2,

最低0.47元/天 解锁文章
sanyuesan0000
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring MVC防御CSRF、XSS和SQL注攻击
CHIKA2333的博客
07-30 770
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
Spring-MVC处理XSS、SQL注攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注攻击的方法总结
Spring MVC(2)-跨域、CORS、XSS、 CSFR
ALONG的博客
04-17 751
另外,规范要求,对那些可能对服务器数据产生副作用的 HTTP 请求方法(特别是 GET 以外的 HTTP 请求,或者搭配某些 MIME 类型的 POST 请求),浏览器必须首先使用 OPTIONS 方法发起一个预检请求(preflight request),从而获知服务端是否允许该跨源请求。因此,实现CORS通信的关键是服务器。实现将检查给定request和handler的 CORS 配置信息,随后,将会直接处理预检请求,同时拦截、验证简单和实际 CORS 请求,并设置所需的(配置的)CORS响应头信息。
推荐开源项目:JsonpCallbackValidator - 防范XSS攻击的安全验证库
最新发布
gitblog_00085的博客
05-18 391
推荐开源项目:JsonpCallbackValidator - 防范XSS攻击的安全验证库 项目地址:https://gitcode.com/willdurand/JsonpCallbackValidator 1、项目介绍 在Web开发中,JSONP(JSON with Padding)常用于跨域数据传输。然而,如果不加以控制,JSONP也可能成为XSS(跨站脚本攻击)的口点。为了解决这个问题,...
springmvc项目中XSS漏洞解决
laok186的博客
08-01 1938
反射型XSS漏洞修复
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6352
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插恶意Script代码,当用户浏览该页之时,嵌其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 1848
XSS攻击是什么 利用漏洞通过注恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
SpringMVC中后台转换json格式
10-06
在开发Web应用时,SpringMVC作为Spring框架的一部分,常被用于处理HTTP请求和响应。在前后端交互中,JSON...在实际项目中,还可能需要考虑JSON安全问题,例如防止XSS和CSRF攻击,以及优化性能,如使用GZIP压缩等。
跨站点脚本编制问题解决
06-12
总之,解决XSS问题需要从多个层面进行:依赖于框架的默认防护,自定义安全策略,以及在业务逻辑中对用户输的正确处理。理解XSS的工作原理,结合OWASP的指导,可以有效地提高Web应用程序的安全性。
Spring3MVC和jQuery的集成
03-22
Spring3 MVC和jQuery是两种非常重要的Web开发技术。Spring3 MVCSpring框架的一部分,用于构建后端MVC架构的应用程序,而jQuery则是一种强大的JavaScript库,简化了前端的DOM操作、事件处理和Ajax交互。本篇文章将...
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
本篇文章将深探讨这个问题,提供解决方案,并涉及Spring MVC、Jackson等相关技术。 首先,理解`@ResponseBody`的作用至关重要。它是Spring MVC中的一个注解,用于指示控制器方法的返回值应直接写HTTP响应体,而...
DWR整合Spring MVC
11-07
通过以上步骤,你可以实现DWR和Spring MVC的整合,创建出具有强大交互功能的Web应用。这种方式简化了前后端通信,使得开发更加高效,用户体验也得到提升。在实际开发过程中,根据项目的具体需求,可以灵活调整和优化...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取数的方法进行重写,对数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
springmvcxss脚本注攻击,springmvc过滤html和js标签,html和js标签转义
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 1250
springmvcxss脚本注攻击,springmvc过滤html和js标签,html和js标签转义一、前言二、原理三、springmvc如何实现xss过滤3.1、xss转义包装器3.2 xss过滤器3.3 web.xml配置过滤器 一、前言 xss脚本注攻击大家应该经常见了,不多说了,直接讲防xss脚本注的原理吧。 二、原理 原理很简单,http后端通过过滤器过滤request接受的数内容,把包含"<“和”>","&"、"/“和“””的字符进行转义即可。 例如: 普通注
Spring过滤json中的XSS
学医救不了中国人
10-24 6420
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
com.fasterxml.jackson工具类
weixin_30768661的博客
01-24 1122
老版本的Jackson使用的包名为org.codehaus.jackson,而新版本使用的是com.fasterxml.jackson。 Jackson主要包含了3个模块: jackson-core jackson-annotations jackson-databind 其中,jackson-annotations依赖于jackson-core,jackson-databind...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值