Spring 中处理XSS

最新推荐文章于 2024-05-16 11:55:16 发布
最新推荐文章于 2024-05-16 11:55:16 发布
阅读量1.5k 收藏
点赞数
分类专栏: java

有2种方式

一:在BaseController中定义方法

[java]  view plain  copy
  1. /** 
  2.  * 初始化数据绑定 
  3.  * 1. 将所有传递进来的String进行HTML编码,防止XSS攻击 
  4.  *  
  5.  */  
  6. @InitBinder  
  7. protected void initBinder(WebDataBinder binder) {  
  8.     // String类型转换,将所有传递进来的String进行HTML编码,防止XSS攻击  
  9.     binder.registerCustomEditor(String.classnew PropertyEditorSupport() {  
  10.         @Override  
  11.         public void setAsText(String text) {  
  12.             setValue(text == null ? null : StringEscapeUtils.escapeHtml4(text.trim()));  
  13.         }  
  14.         @Override  
  15.         public String getAsText() {  
  16.             Object value = getValue();  
  17.             return value != null ? value.toString() : "";  
  18.         }  
  19.     });  
  20. }  

  其他Controller继续该抽象类即可。

二种:定义自己的编辑器

[java]  view plain  copy
  1. public class StringEscapeEditor extends PropertyEditorSupport {  
  2.   
  3.     public StringEscapeEditor() {  
  4.         super();  
  5.     }  
  6.   
  7.     public void setAsText(String text) {  
  8.         if (text == null) {  
  9.             setValue(null);  
  10.         } else {  
  11.             String value = text;  
  12.             value = StringEscapeUtils.escapeHtml4(value);  
  13. //          value = StringEscapeUtils.escapeJavaScript(value);  
  14. //          value = StringEscapeUtils.escapeSql(value);  
  15.             setValue(value);  
  16.         }  
  17.     }  
  18.   
  19.     public String getAsText() {  
  20.         Object value = getValue();  
  21.         return value != null ? value.toString() : "";  
  22.     }  
  23.   
  24.     public static void main(String[] args) {  
  25.         String xx="'><script>alert(document.cookie)</script>";  
  26.         System.out.println(StringEscapeUtils.escapeHtml4(xx));  
  27.     }  
  28. }  

[java]  view plain  copy
  1. public class MyBindingInitializer implements WebBindingInitializer {  
  2.     @Override  
  3.     public void initBinder(WebDataBinder binder, WebRequest request) {  
  4.         // 注册自定义的属性编辑器。这里可以注册多个属性编辑器  
  5.         binder.registerCustomEditor(String.classnew StringEscapeEditor());  
  6.   
  7.     }  
  8. }  

配置文件里注册下

[java]  view plain  copy
  1. <bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">  
  2. <property name="webBindingInitializer">    
  3.         <bean class="com.bypay.forpay.web.common.MyBindingInitializer"/>    
  4.     </property>    
  5. </bean>  


其他注意事项:

[java]  view plain  copy
  1. 在Oracle中,如果SQL中有like查询,若输入条件为:'><script>alert(document.cookie)</script>  
[java]  view plain  copy
  1. sql的写法:  
[java]  view plain  copy
  1. 推荐:<if test="dbName == 'oracle'">'%'||#{name}||'%'</if>   
[java]  view plain  copy
  1. 不推荐:<if test="dbName == 'oracle'">and name like '%${merId}%'</if>这种写法会导致SQL注入问题  

另外网上很多的那种XSSfilter,我自己测试只有URL的那种get请求有效,spring mvc参数直接绑定到对象的方式是不会走这个filter,也就无法防止XSS的。不知道其他人是不是也这样。
梦想的征途
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
慎用StringEscapeUtils.escapeHtml方法【转】
五谷杂粮
07-01 2558
推荐使用Apache commons-lang的StringUtils来增强Java字符串处理功能,也一直在项目大量使用StringUtils和StringEscapeUtils这两个实用类。 最近在数据库里发现某个表的内容全都成了HTML entity表示,文也全被转换成了”&amp;#25105;”这样的格式,而在页面上显示一切正常。最终发现造成这个后果的原因是在将字符串保存到数据库之前...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot没有web.xml,那Springboot,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot项目XSS漏洞的解决方法
xiaopy_0508的博客
07-12 5184
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 。特点:XSS主要基于JavaScript完成恶意的攻击行为,由于JS可以非
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
weixin_44421461的博客
05-16 232
????这是一个或许对你有用的社群????一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料:《项目实战(视频)》:从书学,往事“练”《互联网高频面试题》:面朝简历学习,春暖花开《架构 x 系统设计》:摧枯拉朽,掌控面试高频场景题《精进 Java 学习指南》:系统学习,互联网主流技术栈《必读 Java 源码专栏》:知其然,知其所以然????这是一个或许...
XSS注入以及无操作权限返回的BaseController
bailaoshi666的博客
04-23 305
1.所有的控制器继承这个类 2.代码 public class BaseController { @Autowired private UserService userService; // @InitBinder // public void initBinder(WebDataBinder binder) { // /** // ...
springboot 处理xss攻击的方法
健康平安的活着的专栏
06-23 4269
xss 1.1 介绍 xss:cross site script :跨脚本攻击,XSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。 如: 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 然后在页面,通过一个div将其显示出来。 1.2 解决办法 应对XSS攻击的其一个方式..
spring boot xss防御
11-05
Spring Boot应用XSS(Cross Site Scripting,跨站脚本攻击)是一种常见的安全威胁,它允许攻击者向Web页面注入恶意脚本,从而影响用户的安全。本项目"spring boot xss防御"旨在介绍如何在Spring Boot环境...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
### Spring MVC 处理 XSS 和 SQL 注入攻击的方法总结 #### 一、引言 在 Web 开发领域,特别是基于 Java 的应用开发Spring MVC 框架因其灵活高效的特点而被广泛采用。然而,随着互联网技术的发展,网络安全问题...
springboot整合XSS
03-20
四、过滤器处理XSS 除了Spring Security的内置防护,我们还可以自定义过滤器进行更精细的处理。创建一个`XSSFilter`类,实现`Filter`接口,对请求和响应进行过滤: ```java @Component public class XSSFilter ...
ss.rar_java security_spring security_springsecurity4xss
09-23
Spring Security 4.x版本,对XSS(跨站脚本)攻击的防护得到了强化。XSS是一种常见的网络安全漏洞,攻击者通过注入恶意脚本,使得用户在浏览器执行这些脚本,可能导致窃取用户的敏感信息或进行其他恶意操作。...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
SpringBoot应用配置XSSFilter,可以确保传入和传出的数据都经过安全处理防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目已经包含了Spring Security或者类似的过滤器库,...
SpringSecurity教程】防止XSS攻击
热门推荐
terrybg
06-11 1万+
XSS是跨站脚本攻击,攻击者提交可执行的恶意脚本如(html/js/css),来影响网址的使用。演示如下: 模拟XSS攻击: 测试效果如下:如果攻击者的恶意请求,服务器将结果保存到数据库后,下次用户查询的时候,可想而知影响很大。1.Spring设置过滤器或者拦截器2.后端设置编码转义(将标签转义如将转义成),常见解决方案有SpringHtmlUtils和Apache Commons3.设置X-XSS-Protection请求头4.前端展示层做处理本文主要描述 Spring设置编码转义,原理是将标签转义如将
initbinder对ajax不起作用,ajax – @InitBinder与@RequestBody在Spring 3.2.4转义XSS
weixin_35245810的博客
08-05 339
我在我的方法有一个@RequestBody注释参数,如下所示:@RequestMapping(value = "/courses/{courseId}/{name}/comment", method = RequestMethod.POST)@ResponseStatus(HttpStatus.OK)public @ResponseBody CommentContainer addComment...
使用apache.commons.lang3.StringEscapeUtils 过滤'<' '>' '&' 字符注入,防御恶意HTML注入攻击
江湖小虾米
07-07 1万+
跨站脚本XSS又叫CSS (Cross Site Script)。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其Web里面的html代码会被执行,从而达到恶意用户的特殊目的,例如:获取受害者的会话标识以冒充受害者访问系统(具有受害者的权限),还能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。
java stringescapeutils_StringEscapeUtils防止xss攻击详解
weixin_33918358的博客
02-26 2976
StringUtils和StringEscapeUtils这两个实用类。1、转义防止xss攻击1、转义可以分为下面的几种情况第一用户输入特殊字符的时候,在提及的时候不做任何处理保持到数据库,当用户从数据库查询对对于的数据的时候,因为数据存在特殊字符,要让特殊字符能够正常显示不被网页执行,需要对从数据库查询出来的数据进行转义,比如用户输入一个左尖括号(例如在数据库存储的数据是:(123)(*&...
使用StringEscapeUtils防止XSS攻击
努力让自己更优秀的博客
11-16 1476
1,commons-lang3-3.1.jar包org.apache.commons.lang3.StringEscapeUtils 2,具体的实现过程: 第一步: XssHttpServletRequestWrapper继承servlet的HttpServletRequestWrapper import javax.servlet.http.HttpServletRequest; impo...
Java防止Xss注入json_【快学springboot】15、SpringBoot过滤XSS脚本攻击
weixin_39841572的博客
11-20 388
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。如何避免XSS攻击解决...
XSS跨站脚本攻击处理
qq_42383787的博客
03-11 434
跨站脚本攻击(XSS),是目前最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 处理方法 将参数的特殊字符进行转换 例如 input参数值,用户输入为: <script>alert(1);</script> 处理后为: &am...
Spring应用程序防止跨站点脚本 (XSS)
allway2的博客
07-24 1161
在反射型或非持久性XSS,不受信任的用户数据被提交给Web应用程序,该应用程序立即在响应返回,从而将不信任的内容添加到页面。这可能允许黑客向您发送一个链接,当您点击该链接时,会导致您的浏览器从您使用的站点检索您的私人数据,然后让您的浏览器将其转发到黑客的服务器。在SpringWeb应用程序,用户的输入是HTTP请求。为了防止攻击,我们应该检查HTTP请求的内容并删除任何可能被服务器或浏览器执行的内容。在XSS,攻击者试图在Web应用程序执行恶意代码。...
springcloud gateway XSS安全防护
最新发布
05-30
Spring Cloud Gateway提供了XssEscapeWebFilter来对请求参数进行处理防止XSS攻击。 具体来说,XssEscapeWebFilter会对请求的参数进行过滤,将特殊字符进行转义,防止恶意代码被注入到页面。 如果您需要对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值