springBoot SpringMVC解决XSS漏洞 -非重写request 支持普通form提交

最新推荐文章于 2021-08-12 19:36:43 发布
最新推荐文章于 2021-08-12 19:36:43 发布
阅读量675 收藏
点赞数
分类专栏: Springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuaizai88/article/details/84927746
版权

全网解决XSS漏洞都是让你重写一个 request,或者又教你 写MessageConverter,但是项目中用到了shiro,所以重写request和shrio冲突,因为shiro 也重写了request,MessageConverter又只支持application/json方式提交的,普通的form提交没球用。

最终解决方案为:使用自定义转换器,当是set string的时候走我们自己写的一段代码来处理string。

 

public class XSSStringEditor extends PropertyEditorSupport implements WebBindingInitializer {

    /**
     * @see java.beans.PropertyEditorSupport#setAsText(java.lang.String)
     */
    @Override
    public void setAsText(String text) throws IllegalArgumentException {
        String formBody= Jsoup.clean(text, Whitelist.relaxed().addAttributes(":all", "style"));
        setValue(formBody);
    }

    /**
     * @see java.beans.PropertyEditorSupport#getAsText()
     */
    @Override
    public String getAsText() {
        return  getValue()==null?null : ConverterUtils.toString(getValue());
    }

    @Override
    public void initBinder(WebDataBinder binder, WebRequest request) {
        binder.registerCustomEditor(String.class, this);
    }
}
@Configuration
public class SafeConfig {

    @Autowired
    public void setWebBindingInitializer(RequestMappingHandlerAdapter requestMappingHandlerAdapter) {
        requestMappingHandlerAdapter.setWebBindingInitializer(new XSSStringEditor());
    }

}

 

陕西小伙伴网络科技有限公司
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
springmvc转为springboot--干货.docx
08-09
在网上找了很多springmvcspringboot的案例,大多都说的不全。 根据原springmvc项目(ssm+jsp)转换为springboot项目,爬了高很多坑,整理成此文档,希望对大家有所帮助。
spring mvc xss html,SpringMvc防御XSS实践
weixin_34835470的博客
07-01 214
项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。方案目标:只配置一次,与业务接口无关过滤两种请求的参数:Content-Type为form表单(application/x-www-form-urlencoded)和 j...
Spring 中处理XSS
u012017645的专栏
06-06 1568
有2种方式 一:在BaseController中定义方法 [java] view plain copy /**   * 初始化数据绑定   * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击   *    */   @InitBinder   protected void initBinder(WebDataBi
springmvc 防止XSS攻击
二次加工是一种痛
09-03 4011
spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止X
Spring MVC防御CSRF、XSS和SQL注入攻击
weixin_33774615的博客
11-01 514
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事情,...
跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss
C3Stones
12-06 1753
1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting。为了和CSS区分,命名为XSS。   XSS是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 2. XSS相关博客   跨站点脚本编制 - SpringBoot配置XS...
web前端安全之form表单提交前加校验_防止xss攻击
Mr_CZL的博客
07-02 8099
如果还不知道xss的话,网上有好多文章解释。xss的攻击种类很多。作为一名前端小白,本文只从前端常用实用的角度简单写了一下。这类场景就是form表单的提交。为防止xss攻击,表单的每个字段提交需要做校验或者编码。校验的话先不说,网上很多正则,比如校验手机号或者邮箱之类的。重点说的就是编码。提交前需要对提交的内容进行编码,防止特殊的标签之类的提交到后台。比如<script>alert('...
敏捷开发-为什么要使用持续集成
陕西小伙伴网络科技有限公司-技术博客
03-03 5281
1   因为公司之前的项目管理比较乱一些,代码质量不高,因此从本周的版本开始引入敏捷开发优秀实践里面的一些好的 方式来管理项目 2   要解决代码的问题,设计和TDD 测试驱动是少不了的,写完了测试驱动写代码,代码写完了经过检视check in 到svn里面,进行每日构建。 3   重头戏                  为什么要使用持续集成。                  A  
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
xss+sql 注入拦截form表单和json数据法字符
王威振的博客
01-19 6423
首先创建过滤器 /** * Created by wwz on 2018-10-19. */ public class XssFilter implements Filter { private final List<String> arrays = Arrays.asList(new String[]{"<",">","insert","delete","select","drop","update","truncate"}); private final ...
springboot过滤器中将form表单和body(json)形式的进参拦截修改里面参数内容(重写HttpServletRequestWrapper里边的方法)
weixin_41677422的博客
09-24 4824
springboot过滤器中将form表单和body(json)形式的进参拦截修改里面参数内容(重写HttpServletRequestWrapper里边的方法) 一、实现思路 1.进参分为form表单和body形式的json,两种形式分开处理 2.通过包装request,实际调用的是包装之后的request对象 二、代码实现 项目目录: 1.主类DemoApplication package com.demo; import org.spring...
springBoot-springMVC-angularjs-jpa-
05-26
springBoot-springMVC-angularjs原始应用程序 这是Spring Boot和AngularJS中的示例Crud应用程序。 这包括: 启动一个项目(Maven和Spring Boot) 发展业务(Spring Core) 持久数据(Spring Data JPA,Hibernate...
使用IDEA整合SpringBootSpringMVC、mybatis-附件资源
03-02
使用IDEA整合SpringBootSpringMVC、mybatis-附件资源
SpringMVC ---- HelloWorld ---- 代码
09-18
SpringMVC ---- HelloWorld ---- 代码 SpringMVC ---- HelloWorld ---- 代码 SpringMVC ---- HelloWorld ---- 代码 SpringMVC ---- HelloWorld ---- 代码 SpringMVC ---- HelloWorld ---- 代码 SpringMVC ---- Hello...
SpringBoot Logback 配置参数迁移到配置中心 Apollo
陕西小伙伴网络科技有限公司-技术博客
10-12 6477
    项目中吧所有的配置文件都移植到配置中心了,这样后面发布版本不需要想着改配置文件,直接发包即可了,但是logback.xml 中间的日志路径,logstash host  ,以及日志级别线上和开发环境肯定不同,为了一劳永逸,故想办法将logback的相关参数移动到配置中心去。         1   使用springProperty 来代替Property  定义变量 其中sour...
SpringBoot Swagger 解决扫描慢带来的启动速度慢的问题
陕西小伙伴网络科技有限公司-技术博客
08-12 4941
1 痛点: 当项目接口多了之后,swagger的扫描时间甚至在整个启动时间占用到三分之二,解决swagger扫描慢的问题,我们将会有更多的时间make bug。 2 思路: 让swagger异步扫描初始化,不要卡main 线程,这样就不会影响启动速度。 优点:启动速度加快, 缺点:启动成功后,刷新swagger ui页面,swagger接口请求不回json来,要等扫描完成后,才能请求回json,swagger才能正常使用。 特殊说明:如果已经打...
微服务项目占用内存过多机器扛不住怎么办?服务allinone设计
陕西小伙伴网络科技有限公司-技术博客
01-13 3667
前言: 现在越来越多的项目都使用微服务了,然后就发现原来的8G内存压根扛不住,按照本教程教的方法,在本地开发的时候做服务allinone,在部署的时候使用微服务部署,既保证了微服务的架构先进性又保证本地开发省内存。 什么是allinone: all in one 就 是多个微服务,在一个Java进程中启动。 操作要点: 1 微服务的业务和BootApplication 分开2个不同的子工程(子模块) ...
springboot 自定义webroot的目录
陕西小伙伴网络科技有限公司-技术博客
10-18 3566
@Bean public EmbeddedServletContainerCustomizer documentDirectoryCustomizer () { return new EmbeddedServletContainerCustomizer() { public void customize(ConfigurableEmbeddedServletConta...
SpringBoot 数据翻译组件-easy_trans
陕西小伙伴网络科技有限公司-技术博客
04-01 3152
简介 开发中会经常遇到这样的场景:比如在成绩表有一个student_id,如果我要查看成绩列表需要学生的名称,一般写法就是使用join,现在大部分ORM框架对于表关联支持并不是很友好,所以很多时候我们都要自己写SQL去实现。 翻译服务即:通过id,将对应的title/name 字段翻译出,装载到VO中用于前端展示的技术. 1 FHS 提供的翻译服务如何使用? a ...
springMVC如何设置Content-Type为multipart/form-data
最新发布
05-13
在Spring MVC中,可以通过在`@RequestMapping`注解中使用`consumes`属性来设置`Content-Type`为`multipart/form-data`。具体实现步骤如下: 1. 在Controller中添加`@RequestMapping`注解,并设置`consumes`属性为`multipart/form-data`。 ```java @RestController public class UploadController { @RequestMapping(value = "/upload", method = RequestMethod.POST, consumes = MediaType.MULTIPART_FORM_DATA_VALUE) public ResponseEntity<String> uploadFile(@RequestParam("file") MultipartFile file) { // 处理上传文件 } } ``` 2. 在前端表单中设置`enctype`属性为`multipart/form-data`。 ```html <form action="/upload" method="post" enctype="multipart/form-data"> <input type="file" name="file"> <button type="submit">Upload</button> </form> ``` 这样就可以在Spring MVC中使用`multipart/form-data`方式上传文件了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值