springboot XSS防御

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量1k 收藏 1
点赞数
文章标签: html5 html xss spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/songxiuliang/article/details/120317292
版权
本文介绍了一种避免XSS攻击的方法,即在响应数据时处理特殊字符,而不是在请求数据中过滤。通过自定义JSON序列化器,使用HtmlUtils.htmlEscape对字符串进行转义,确保在前端展示时安全,同时避免了误伤原始数据。配置示例展示了如何在Spring Boot应用中注册此序列化器,以处理JSON响应中的潜在XSS风险。
摘要由CSDN通过智能技术生成

       通常网上搜索到的xss解决方案大多数都是增加filter,将所有带< > /等特殊字符转换,实践中这种方式确实可以防止xss攻击,但是请求数据会误伤,将原本<>字符转义后放入数据库,如果字符是大于号或者小于号的作用时,后端处理容易出现问题。

      其实xss问题无非就是展示到前端的时候出现问题,所以我们可以在response的时候将数据处理,,这样就不会出现入参数据误伤问题,最直接的解决办法就是将序列化进行调整,在序列化的时候将特殊字符进行处理就可以解决xss问题

代码:

1、写个序列化,用HtmlUtils.htmlEscape进行数据处理

public class XssStringJsonSerializer extends JsonSerializer<String> {
    @Override
    public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        jsonGenerator.writeString(HtmlUtils.htmlEscape(s));
    }
}

2、将序列化注册上

@Slf4j
@Configuration
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
@ConditionalOnClass({Servlet.class, DispatcherServlet.class, WebMvcConfigurer.class})
@EnableConfigurationProperties({
        WebMvcProperties.class,
        ResourceProperties.class,
        WebProperties.class
})
@AutoConfigureAfter(WebMvcAutoConfiguration.class)
@EnableWebMvc
@ComponentScan
public class WebAutoConfiguration implements WebMvcConfigurer, ApplicationContextAware {

    @Autowired
    private WebProperties webProperties;

    private ApplicationContext applicationContext;

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.applicationContext = applicationContext;
    }

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        MappingJackson2HttpMessageConverter jackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
        ObjectMapper objectMapper = new ObjectMapper();

        
        SimpleModule simpleModule = new SimpleModule();
        simpleModule.addSerializer(String.class, new XssStringJsonSerializer());
        objectMapper.registerModule(simpleModule);
        
        jackson2HttpMessageConverter.setObjectMapper(objectMapper);
     
        List<MediaType> mediaTypes = Arrays.asList(
                MediaType.APPLICATION_JSON,
                MediaType.TEXT_PLAIN,
                MediaType.TEXT_HTML,
                MediaType.TEXT_XML,
                MediaType.APPLICATION_OCTET_STREAM,
                MediaType.valueOf("application/vnd.spring-boot.actuator.v3+json"));
        jackson2HttpMessageConverter.setSupportedMediaTypes(mediaTypes);
        converters.add(jackson2HttpMessageConverter);
    }
}

通过以上操作,就可以将响应数据中的html关键字给处理掉,解决前端的xss问题

song.xl
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot 中防止 XSS 攻击
Fightevery的博客
07-05 1446
1. 什么是XSS攻击? XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何防范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
Springboot 阻止XSS攻击
web13985085406的博客
08-02 816
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
springboot整合XSS
03-20
springboot 整合预防xss攻击
XSS攻击-springboot项目修复
hanjinping的博客
10-31 1520
百度百科: XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 2230
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御
SpringBoot 如何防护 XSS 攻击 ??
Java知音
03-12 433
文章目录XSS跨站脚本攻击①:XSS漏洞介绍②:XSS漏洞分类③:防护建议SQL注入攻击①:SQL注入漏洞介绍②:防护建议SpringBoot中如何防止XSS攻击和sql注入1. XSS跨站脚本攻击①:XSS漏洞介绍跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是...
XSS攻击 springboot项目修复
ytrdgfdtr的专栏
06-24 269
攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等内容 比如输入框 输入 页面会有弹出框 import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void init(FilterConfi..
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2632
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSSXSS分为以下两种类型
springboot xss攻击防御
07-25
Spring Boot防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot整合XSS.zip
04-30
总结,通过SpringBoot整合XssFilter和Jsoup,我们可以有效地防御XSS攻击,保护Web应用的安全。同时,理解并实践良好的编程习惯和安全策略,对于预防SQL注入等其他安全问题也至关重要。在实际项目中,应结合多种防护...
rust-htmlescape —编码/解码HTML实体-Rust开发
05-27
用于Rust示例HTML实体编码库。 并使用htmlescape :: {相关功能在这里}; 是用于RustHTML实体编码库示例用法所有示例均假设使用外部包装箱htmlescape; 并使用htmlescape :: {相关功能在这里}; 存在。 ### Encoding htmlescape :: encode_minimal()使用最少HTML实体集对输入字符串进行编码。 let title =“猫狗”; 让标签=格式!(“
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
Java - Spring Boot项目抵御XSS攻击
Mryfl的博客
12-03 1382
意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS
JavaWeb 之 Springboot项目防止XSS漏洞攻击解决办法
古小龙
07-15 5814
1. 什么是XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意...
SpringBoot使用mica-xss防止Xss攻击
热门推荐
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
SpringBootXSS攻击
qq_40005100的博客
03-31 1232
Filter代码: import java.io.IOException; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; ...
Springboot2.0防止XSS攻击的几种方式
changzhi9421的博客
12-03 678
Springboot2.0防止XSS攻击的几种方式 Springboot2.0防止XSS攻击的几种方式 在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤 防止XSS攻击,一般有两种做法: 转义 使用工具类HtmlUtils实现 过滤 将敏感标签去除 jsoup实现了非常强大的clean敏感标签的功能 转义 做法的三种实现: 转义方法一:注册自定义转换器
从零搭建自己的SpringBoot后台框架(十三)
weixin_33674976的博客
05-16 292
Hello大家好,本章我们添加防止XSS攻击功能 。有问题可以联系我mr_beany@163.com。另求各路大神指点,感谢一:什么是XSSXSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:&lt;script&gt;for(var i=0;i&l...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值