防止SpringMVC的XSS攻击的方法

最新推荐文章于 2024-05-16 14:42:57 发布
最新推荐文章于 2024-05-16 14:42:57 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: spring 文章标签: springmvc xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shihua0610/article/details/77852416
版权

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。

HttpServletRequestWrapper 是HttpServletRequest的装饰器。

大体流程:包装request->创建过滤器->添加过滤器

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.commons.lang.StringUtils;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
   String method = null;

   public DMTRequest(HttpServletRequest servletRequest) {
      super(servletRequest);
   }

   public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if(values == null) {
         return null;
      } else {
         int count = values.length;
         String[] encodedValues = new String[count];

         for(int i = 0; i < count; ++i) {
            encodedValues[i] = this.cleanXSS(values[i]);
         }

         return encodedValues;
      }
   }

   public String getParameter(String parameter) {
      String value = super.getParameter(parameter);
      return value == null?null:this.cleanXSS(value);
   }

   public String getHeader(String name) {
      String value = super.getHeader(name);
      return value == null?null:this.cleanXSS(value);
   }

   private String cleanXSS(String value) {
      if(StringUtils.isEmpty(value)) {
         return "";
      } else {
         value = value.replaceAll("\"", "").replaceAll("\'", "").replaceAll("<", "").replaceAll(">", "");
         value = value.replaceAll("eval\\((.*)\\)", "");
         value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
         value = value.replaceAll("script", "");
         return value;
      }
   }
}
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper (
                (HttpServletRequest) request), response);
    }
}

在web.xml文件中将该过滤器放在最前面或者是字符编码过滤器之后:

    filter>
        <filter-name>xssFilter</filter-name>
        <filter-class>xxx.xxx.filter.XssFilter</filter-class>
        <init-param>
            <param-name>exclude</param-name>
            <param-value>/;/scripts/*;/styles/*;/images/*</param-value>
        </init-param>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>*.html</url-pattern>
        <!-- 直接从客户端过来的请求以及通过forward过来的请求都要经过该过滤器 -->
        <dispatcher>REQUEST</dispatcher>
        <dispatcher>FORWARD</dispatcher>
    </filter-mapping>
華leo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3209
1.在输出时过虑文本(JSON) JSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加入一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
springmvc4配置防止XSS攻击方法
04-05
配置防止XSS攻击方法尝试,其中包含可以对sql注入的方法解决。
springMVC通过Filter实现防止xss注入
热门推荐
井底之蛙
03-14 1万+
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 869
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了
最新发布
Mr丶·Zhou博客
05-16 979
这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。
SpringMVC防止XSS注入
weixin_34383618的博客
05-05 356
xss(Cross Site Scripting)注入就是,跨站脚本攻击,和sql注入类似的,在请求中添加恶意脚本,实现控制用户。 XssHttpServletRequestWrappe.java   重写XssHttpServletRequestWrapper中的方法: package com.henu.util; import javax.servlet.http.HttpServletR...
防止SpringMVC注解方式的XSS攻击方法
Angevin的博客
01-03 1万+
本最近项目遇到了一个问题,就是XSS攻击问题,搜索了很多资料。最终实现了符合当前项目的方式: 环境概述 由于,本项目中全部采用的是注入方式,就是没有web.xml的方式,所以和网上找到的在web.xml中配置过滤器方式对我现在的项目并不适用。并且,项目是前后端分离的,也就是前端和后端是完全分开部署的。项目特征是前端传递json类型数据到后端接口,后端接口以 publi
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
防sql注入和xss攻击, springmv拦截器
07-24
防sql注入和xss攻击, springmv拦截器,可自由调整需要拦截的字符
springMVC12.rar_springMvc 注册_springmvc
09-24
在实际开发中,还需要考虑安全性问题,如密码加密存储、防止 SQL 注入、XSS 攻击等。此外,为提高用户体验,通常还会添加 AJAX 异步请求,以及分页、搜索等高级功能。 总之,"springMVC12" 项目展示了如何利用 ...
SpringMVC中后台转换json格式
10-06
在开发Web应用时,SpringMVC作为Spring框架的一部分,常被用于处理HTTP请求和响应。在前后端交互中,JSON...在实际项目中,还可能需要考虑JSON安全问题,例如防止XSS和CSRF攻击,以及优化性能,如使用GZIP压缩等。
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
简单的SpringMVC小项目(适合刚刚学的)
02-27
1. **输入验证**:对用户输入进行校验,防止SQL注入和XSS攻击。 2. **密码处理**:对用户密码进行加密存储,提高安全性。 3. **权限控制**:实现基于角色的权限控制,限制未登录用户访问敏感资源。 **测试** 项目...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1201
将参数中有关xss攻击的非法字符全部处理掉。
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能
chenghuagui9785的博客
05-31 1105
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
【SpringSecurity教程】防止XSS攻击
terrybg
06-11 1万+
XSS是跨站脚本攻击,攻击者提交可执行的恶意脚本如(html/js/css),来影响网址的使用。演示如下: 模拟XSS攻击: 测试效果如下:如果攻击者的恶意请求,服务器将结果保存到数据库后,下次用户查询的时候,可想而知影响很大。1.Spring设置过滤器或者拦截器2.后端设置编码转义(将标签转义如将转义成),常见解决方案有Spring的HtmlUtils和Apache Commons3.设置X-XSS-Protection请求头4.前端展示层做处理本文主要描述 Spring设置编码转义,原理是将标签转义如将
SpringMvc如何进行XSS攻击过滤
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 &amp;lt;script&amp;gt;alert(233)&amp;lt;/script&amp;gt; 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS的攻击,对用户的输入都采...
xss防御】springboot项目如何防御XSS攻击
run_boy_2022的博客
07-10 943
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3853
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
springmvc sql注入
07-29
在Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值