springboot xss攻击解决 将html转化编码HtmlUtils.htmlEscape

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量424 收藏
点赞数
文章标签: xss java 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011291969/article/details/135060117
版权

xss 攻击不再介绍。

1. 创建自定义注解@NoXss,主要是方法和参数上。

2. 判断参数对象中的带有注解@NoXss 并且是字符串类型,将字符串转码为非html 的代码。

1. 创建自定义注解


import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD })
public @interface NoXss {
}

2. 创建切面


import java.lang.reflect.Field;
import java.util.Arrays;

import cn.hutool.json.JSONObject;
import cn.hutool.json.JSONUtil;
import org.aspectj.lang.ProceedingJoinPoint;
import org.aspectj.lang.annotation.Around;
import org.aspectj.lang.annotation.Aspect;
import org.springframework.stereotype.Component;
import org.springframework.web.util.HtmlUtils;

@Aspect
@Component
public class NoXssAspect {

    @Around("@annotation(noXss)")
    public Object beforeMethod(ProceedingJoinPoint joinPoint, NoXss noXss) throws Throwable {
        // 通过类反射拿到所有参数
        Object[] args1 = joinPoint.getArgs();
        if (args1.length == 0) {
            return joinPoint.proceed();
        }
        for (int i = 0; i < args1.length; i++) {
            JSONObject jsonObject = JSONUtil.parseObj(args1[i]);
            // 通过类反射拿到所有变量
            Field[] fields = args1[i].getClass().getDeclaredFields();
            if (fields.length == 0) {
                continue;
            }
            Arrays.stream(fields).filter(
                field -> field.isAnnotationPresent(NoXss.class) && field.getType() == String.class).forEach(p -> {
                // 修改joinPoint.getArgs()的值
                String value = jsonObject.getStr(p.getName());
                // 
                if (value != null && value.length() != 0) {
                    jsonObject.set(p.getName(), filterHtmlTags(value));
                }
            });
            args1[i] = jsonObject.toBean(args1[i].getClass());
        }
        return joinPoint.proceed(joinPoint.getArgs());
    }

    private String filterHtmlTags(String input) {
        // 使用Jsoup过滤HTML,只允许安全的标签和属性
        return HtmlUtils.htmlEscape(input);
    }
}

3. 验证:

@RestController
public class TzTestController {

    @NoXss
    @PostMapping("/noXss")
    public ResultVo<String> noXss(@RequestBody TzTestVo vo) {
        return ResultVo.success(vo.getName());
    }
}

TzTestVo

@Data
@NoArgsConstructor
@AllArgsConstructor
public class TzTestVo {

    @NoXss
    private String name;

}

效果就是:

{
    "name": "<script>alert(\"hello XSS\")</script>"
}

目前问题:

1. 只能验证参数的第一层。没有做递归处理。

2. 没有做报错异常处理。

玩游戏不开麦的吗?
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Json序列化和反序列化
05-06
Json序列化和反序列化代码,写的不好,请多指教,用C#语言
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
防御Xss攻击的几种方法
shadow_zed的博客
03-03 4253
防御Xss攻击的几种方法 关于xss是什么,以及它带来的危害,这里不多赘述 宁杀错,不放过。对用户输入的内容进行HTML编码 使用Spring提供的工具类org.springframework.web.util.HtmlUtils String result = HtmlUtils.htmlEscape("<script>alert('springboot中文社区');...
HTML转义与反转义(前后端解决方案)
月牙坠的博客
09-02 722
在 Vue 中,转义的 html,`v-html` 是解析不了
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 655
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
利用Spring中的HtmlUtils.htmlEscape(input)过滤html
afei2530的博客
01-29 4134
fatherModule.setModuelName(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(HtmlUtils.htmlEscape(fatherModule.getModuelName())); log.info(fatherModule); ...
Spring HtmlUtilsHTML编码转义,可将HTML标签互相转义
LzwGlory的专栏
12-09 2万+
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。  代码如下:  Java代码   /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.out.println(s);   String
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
用一个过滤html实例来说明HttpServletRequestWrapper类的使用
hhj13978064496的博客
09-29 367
引入 实例的功能:对用户输入的敏感字眼进行过滤 应用场景:评论功能有时候需要对用户输入的某些敏感字眼进行过滤 实现架构: 模块一:前端页面:提供用户输入的界面,展示用户输入的内容 模块二:过滤器:对某些敏感字眼的过滤功能在此实现 模块三:servlet:在本实例中,因为用户的输入最终显示在用户输入的界面,因此servlet需要将用户输入的内容保存到request中,并且用requestDispatcher类请求转发到首页 示意图为: 源码: 首页index.jsp的源码如下:
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在防止XSS攻击方面,ESAPI的`encodeForHTML()`和`encodeForJavaScript()`方法能够对用户输入进行编码,确保浏览器不会将其解析为可执行的HTMLJavaScript代码。 接下来,我们将讨论如何在SpringBoot项目中集成ES...
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
本实战代码将展示如何结合SpringBoot和ESAPI来构建一个具有XSS防护功能的应用。 首先,我们需要理解SpringBoot的MVC(Model-View-Controller)架构。在这个框架中,控制器处理HTTP请求,模型封装业务数据,视图负责...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,...
HTML编码转义,可将HTML标签互相转义
Ray
09-02 589
org.springframework.web.util.HtmlUtils 可以实现HTML标签及转义字符之间的转换。 代码如下: [code="java"] /** HTML转义 **/ String s = HtmlUtils.htmlEscape("hello world&nbsp;"); System.out.println(s); String s2 = HtmlUti...
Spring的优秀工具类盘点(二)
v_fei的专栏
01-05 797
 Java代码Spring 不但提供了一个功能全面的应用开发框架,本身还拥有众多可以在程序编写时直接使用的工具类,您不但可以在 Spring 应用中使用这些工具类,也可以在其它的应用中使用,这些工具类中的大部分是可以在脱离 Spring 框架时使用的。了解 Spring 中有哪些好用的工具类并在程序编写时适当使用,将有助于提高开发效率、增强代码质量。在这个分为两部分的文章中,我
spring html转义字符,使用Spring提供的HtmlUtils实现HTML字符转义
weixin_32307021的博客
05-31 707
Spring框架中提供了一个用于HTML字符转义的工具类org.springframework.web.util.HtmlUtils,使用方式如下代码:import org.springframework.web.util.HtmlUtils;public class TestHtmlEscape {public static void main(String[] args) {String ht...
spring工具类HtmlUtils
dawuafang
05-31 853
给大家介绍一个工具类htmlutils,这是spring下的一个类,若你项目中使用到spring,则可以直接使用此类。若项目中没有使用,则不必加载各种spring的jar包去使用哈,一点不划算哦。 public static void main(String[] args) { String specialStr = "&lt;div id=\"testDiv\"&gt;t...
java后台对前端输入的特殊字符进行转义
weixin_33695082的博客
07-13 852
HTML: 常见的帮助类有2个:一个是spring的HtmlUtils,另外一个是apache.commons下的StringEscapeUtils 1 public static void testHtml(){ 2 String str = "&lt;a href='http://www.qq.com'&gt;QQ&lt;/a&gt;&lt;script&gt;"; ...
springboot xss攻击防御
07-25
在Spring Boot中防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户输入的数据展示到前端页面时,使用合适的编码方式来避免被浏览器解析为HTML标签。可以使用Thymeleaf模板引擎的`${variableName}`表达式来输出变量值,它会自动进行HTML编码。 3. 设置HTTP头:在响应中设置`X-XSS-Protection`头部字段,启用浏览器内置的XSS过滤器。可以通过设置该字段的值为`1; mode=block`来开启。 4. 使用安全框架:Spring Security是一个功能强大的安全框架,可以用于保护应用程序免受XSS攻击和其他安全威胁。通过配置Spring Security的规则和过滤器,可以对用户输入进行严格的验证和过滤。 5. 使用CSP:Content Security Policy (CSP)是一种安全策略,通过限制网页内容源的加载,减少XSS攻击的风险。在Spring Boot应用中,可以通过设置响应头`Content-Security-Policy`来启用CSP。 请注意,防御XSS攻击是一项综合性的工作,需要从多个方面进行防护。以上方法只是其中的一部分,还需要根据具体情况和需求进行进一步的安全加固。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值