SpringBoot如何防止XSS攻击

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量2.2k 收藏 15
点赞数 1
分类专栏: spring boot 文章标签: spring boot xss 后端
原文链接:https://blog.csdn.net/Sunshine_zjh/article/details/118054764
版权

一、什么是XSS漏洞

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

二、如何避免XSS攻击

在SpringBoot框架里,可以通过新建过滤器的方式过滤所有的请求参数,这样代码改动范围比较小且对业务模块的侵入性比较低。

环境和框架

  1. 开发语言:Java
  2. 框架: SpringBoot:2.1.17.RELEASE
  3. 依赖组件: hutool-all:5.0.3

过滤html标记

1、创建XssHttpServletRequestWrapper

@Slf4j
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (StringUtils.isEmpty(value)) {
            return value;
        }
        // 过滤html标记
        return HtmlUtil.filter(value);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (StringUtils.isEmpty(value)) {
            return value;
        }
        // 过滤html标记
        return  HtmlUtil.filter(value);
    }
	
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values == null) {
            return null;
        }
        for (int i = 0; i < values.length; i++) {
            if (StringUtils.isEmpty(values[i])) {
                values[i] = values[i];
            } else {
            	// 过滤html标记
                values[i] = HtmlUtil.filter(values[i]);
            }
        }
        return values;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
    	// 请求方法为POST时会触发这个方法
        return getInputStreamWithXSSFilter();
    }


    public ServletInputStream getInputStreamWithXSSFilter() throws IOException {
    	// 从inputStream读取字符串
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

		// 使用hutool的Html工具类过滤
        String str = HtmlUtil.filter(body.toString());
        // 双引号不需要过滤因此替换回原来的符号
        str = str.replace("&quot;","\"");
        // 因为request里面的inputStream已经读取过,指针指向结尾重新读取会发生异常, 
        // 而且过滤后的字符串可能和之前的字符串不同,因此将过滤后的字符串重新转成inputStream返回
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }
        };
    }
}

2、创建过滤器XssFilter

@WebFilter(urlPatterns = "/*", filterName = "xssFilter")
public class XssFilter implements Filter {
    private FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        filterChain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

3、创建XSSFilterFilterConfig配置过滤器

@Configuration
public class XSSFilterConfig {
 
    /**
     * 注册xxs过滤器
     * @return
     */
    @Bean
    public FilterRegistrationBean xxsFilterRegistration(){
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new XssFilter());
        // 设置过滤器url匹配规则,也可以在 Filter 的实现类的 doFilter 里自定义更复杂路由匹配规则
        filterRegistrationBean.addUrlPatterns("/*");
        // 设置过滤器名称
        filterRegistrationBean.setName("XssFilter");
        // 设置过滤器优先级
        filterRegistrationBean.setOrder(99);
        return filterRegistrationBean;
    } 
}

XSSFilterFilterConfig的作用是通过@Bean注解的方式注册过滤器。

SpringBoot使用的是 ApplicationFilterChain 这个类管理和链式按顺序执行过滤器

public final class ApplicationFilterChain implements FilterChain {
...

添加的过滤器的实例都保存在 ApplicationFilterChain 的 filters 里面,每当有新的请求进入就会依次经过 filters 里的过滤器

在这里插入图片描述
主要代码来源于网络,主要是对 getInputStream 方法里存在的问题尝试进行修改

参考: https://blog.csdn.net/Sunshine_zjh/article/details/118054764
git仓库: https://gitee.com/lai-xuxiang/csrf-xss-demo

忆往昔成风
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
springboot整合XSS
03-20
springboot 整合预防xss攻击
springboot防止XSS攻击和sql注入
02-22 1354
springboot防止XSS攻击和sql注入
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1636
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
SpringBoot中如何防止XSS攻击和sql注入
最新发布
2302_77596945的博客
05-23 406
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Spring Boot 防止XSS攻击
HAN_789的博客
03-28 486
恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。原本是打算通过SpringMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。包装request->创建过滤器->添加过滤器。
xss防御】springboot项目如何防御XSS攻击
run_boy_2022的博客
07-10 822
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSSXSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。
SpringBoot防止SQL注入XSS攻击
ChuaWi98的博客
06-02 3709
SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
SpringBoot整合XSS.zip
04-30
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入
SpringBoot关于抵御XSS攻击的解决方案
FL_MJ的博客
12-27 964
我们平时写Web项目遇到的,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承父类。JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了接口的实现类。同时JavaEE规范还定义了,这个类是请求类的包装类,用上了装饰器模式。不得不说这里用到的设计模式真的非常棒,无论各家应用服务器厂商怎么去实现。
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 2926
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
三十四、SpringBoot自定义过滤器
I want to know a little more.
09-19 950
XSS 跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时, 嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request 请求中的一些参数去...
后端Java开发如何防御XSS攻击
码农小胖哥
06-30 2997
跨站脚本攻击(XSS)可以让攻击者在受害者的浏览器中执行恶意脚本来修改网页内容、将用户重定向到非法网站、伪造用户登录态、窃取用户的隐私信息、甚至还能给程序开个后门等等,所以不得不防。今天就...
springboot防止xss
10-13
为了防止XSS攻击Spring Boot提供了一些内置的安全特性,可以在应用程序中使用。其中一些特性包括: 1. 使用Thymeleaf等模板引擎时,可以使用内置的转义功能来转义HTML标记和JavaScript代码。 2. 在表单提交时,可以使用Spring Boot的内置CSRF保护来防止跨站点请求伪造攻击。 3. 在处理用户输入时,可以使用Spring Boot的内置输入验证功能来验证用户输入是否包含恶意代码。 除了这些内置的安全特性之外,还可以使用第三方库,如OWASP ESAPI来提供更高级的安全保护。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值