防止SpringMVC的XSS攻击的方法

最新推荐文章于 2023-07-30 10:00:17 发布
最新推荐文章于 2023-07-30 10:00:17 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: spring 文章标签: springmvc xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shihua0610/article/details/77852416
版权

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。

HttpServletRequestWrapper 是HttpServletRequest的装饰器。

大体流程:包装request->创建过滤器->添加过滤器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   String method = null;

   public DMTRequest(HttpServletRequest servletRequest) {
      super(servletRequest);
   }

   public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if(values == null) {
         return null;
      } else {
         int count = values.length;
         String[] encodedValues = new String[count];

         for(int i = 0; i < count; ++i) {
            encodedValues[i] = this.cleanXSS(values[i]);
         }

         return encodedValues;
      }
   }

   public String getParameter(String parameter) {
      String value = super.getParameter(parameter);
      return value == null?null:this.cleanXSS(value);
   }

   public String getHeader(String name) {
      String value = super.getHeader(name);
      return value == null?null:this.cleanXSS(value);
   }

   private String cleanXSS(String value) {
      if(StringUtils.isEmpty(value)) {
         return "";
      } else {
         value = value.replaceAll("\"", "").replaceAll("\'", "").replaceAll("<", "").replaceAll(">", "");
         value = value.replaceAll("eval\\((.*)\\)", "");
         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
         value = value.replaceAll("script", "");
         return value;
      }
   }
}
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper (
                (HttpServletRequest) request), response);
    }
}

在web.xml文件中将该过滤器放在最前面或者是字符编码过滤器之后:

    filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>xxx.xxx.filter.XssFilter</filter-class>
        <init-param>
            <param-name>exclude</param-name>
            <param-value>/;/scripts/*;/styles/*;/images/*</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>*.html</url-pattern>
        <!-- 直接从客户端过来的请求以及通过forward过来的请求都要经过该过滤器 -->
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
    </filter-mapping>
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3245
1.在输出时过虑文本(JSON) JSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加入一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
springmvc4配置防止XSS攻击方法
04-05
配置防止XSS攻击方法尝试,其中包含可以对sql注入的方法解决。
springMVC通过Filter实现防止xss注入
热门推荐
井底之蛙
03-14 1万+
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本
SpringMVC防止XSS攻击
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter XssFilter com.xbz.filter.XssF
spring mvc 防止xss攻击
hyhanyu的博客
07-18 2737
在网上查询了一些方法: 1.写一个过滤器和一个HttpServletRequestWrapper 并重写他的getParameterValues 和 getParameter方法,这个方法是可行的但是对@RequsetBody 参数无效 针对Spring MVC中的@RequestParam获取的参数,走的是getParameterValues()方法。   import java.io....
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
springmvc ajaxSubmit xss攻击 怎么处理帮我写处理方法
最新发布
09-10
1. 使用HttpMessageConverter进行自动转义:Spring MVC允许使用注解@HtmlIgnore或@RequestBody等来对数据进行自动转义,从而防止XSS攻击。 2. 使用Spring提供的过滤器:例如Spring Security或OWASP Java Encoder,...
Spring Mvc防止Xss攻击
pursue.dreams的博客
11-19 726
Spring Mvc防止Xss攻击 1,在web.xml中添加Filter 2,编写XssFilter类 3,编写XsslHttpServletRequestWrapper类 HttpServletRequest xssRequest = null; public XsslHttpServletRequestWrapper(HttpServletRequest reques...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 2065
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name参数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 815
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
SpringMVC防御CSRF及XSS攻击(写的非常好)
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
XSS跨站脚本攻击(三)-- 结合Spring MVC框架
yansong_8686的专栏
12-28 5273
1.web.xml中 xssFilter com.xxx.web.filter.XSSFilter xssFilter /* 2.XSSFilter.java package com.xxx.web.filter; import java.io.IOException; import javax.servlet.Filter;
spring mvc xss html,SpringMvc防御XSS实践
weixin_34835470的博客
07-01 243
项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。方案目标:只配置一次,与业务接口无关过滤两种请求的参数:Content-Type为form表单(application/x-www-form-urlencoded)和 j...
spring mvc xss html,springmvc 防止XSS攻击 | 学步园
weixin_35952352的博客
07-01 248
http://blog.csdn.net/M87138/article/details/39023361XSS攻击,即CrossSiteScript,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止XSS攻击,就用到PropertyEditorSupport编辑器项目中继承该类,写一个String...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值