xss springmvc ajax,Java SpringMVC防止跨站脚本(XSS)注入攻击实现

最新推荐文章于 2024-05-16 06:55:36 发布
最新推荐文章于 2024-05-16 06:55:36 发布
阅读量1.7k 收藏 1
点赞数
文章标签: xss springmvc ajax

跨站脚本(XSS)注入攻击防御的最有效办法是,通过Filter过滤检查提交参数的合法性。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Spring MVC Xss Filter

XSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.比如获取用户的Cookie,导航到恶意网站,携带木马等。

一般现代应用MVC实现spring mvc的实现比较广泛,因此,本文章描述spring mvc 的实现xss filter。

第一步

在web.xml中配置filter:

xssHttpServletFilter

com.x.y.filter.XssHttpServletFilter

xssHttpServletFilter

/*

第二步

创建过滤器

import java.io.IOException;

import javax.servlet.FilterChain;

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;

import org.slf4j.LoggerFactory;

import org.springframework.web.filter.OncePerRequestFilter;

/**

* 包装原生servlet对象,处理xss问题

*

*/

public class XssHttpServletFilter  extends OncePerRequestFilter {

private static final Logger LOGGER = LoggerFactory.getLogger(XssHttpServletFilter.class);

@Override

protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)

throws ServletException, IOException {

try {

XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

chain.doFilter(xssRequest, response);

} catch (Exception e) {

LOGGER.error("Xss过滤器,包装request对象失败");

chain.doFilter(request, response);

}

}

}

第三步

创建request包装对象

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

* 请求包装对象 处理Xss

*/

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

HttpServletRequest orgRequest = null;

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

orgRequest = request;

}

/**

* 覆盖getParameter方法,将参数名和参数值都做xss过滤

*/

@Override

public String getParameter(String name) {

String value = super.getParameter(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

/**

* 覆盖getParameterValues方法,将参数名和参数值都做xss过滤

*/

public String[] getParameterValues(String parameter) {

String[] values = super.getParameterValues(parameter);

if (values==null)  {

return null;

}

int count = values.length;

String[] encodedValues = new String[count];

for (int i = 0; i 

encodedValues[i] = xssEncode(values[i]);

}

return encodedValues;

}

/**

* 获取request的属性时,做xss过滤

*/

@Override

public Object getAttribute(String name) {

Object value = super.getAttribute(name);

if (null != value && value instanceof String) {

value = xssEncode((String) value);

}

return value;

};

/**

* 覆盖getHeader方法,将参数名和参数值都做xss过滤。

*/

@Override

public String getHeader(String name) {

String value = super.getHeader(xssEncode(name));

if (value != null) {

value = xssEncode(value);

}

return value;

}

/**

* 将容易引起xss漏洞的半角字符直接替换成全角字符

*

* @param s

* @return

*/

private static String xssEncode(String s) {

if (s == null || s.isEmpty()) {

return s;

}

try {

HTMLFilter htmlFilter = new HTMLFilter();

String clean = htmlFilter.filter(s);

return clean;

} catch (NullPointerException e) {

return s;

} catch (Exception ex) {

ex.printStackTrace();

}

return null;

}

/**

* 获取最原始的request

*

* @return

*/

public HttpServletRequest getOrgRequest() {

return orgRequest;

}

/**

* 获取最原始的request的静态方法

*

* @return

*/

public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

if (req instanceof XssHttpServletRequestWrapper) {

return ((XssHttpServletRequestWrapper) req).getOrgRequest();

}

return req;

}

}

第四步

引用 html filter 的实现。采用htmlfitler 开源实现:xss-html-filter

关键点

Spring mvc 解析参数时,使用方法:webRequest.getParameterValues(name)

获取参数,因此,request封装对象只有实现了getParameterValues(String parameter)方法,才会过滤到controller method 的入参。

Open Declaration Object org.springframework.web.method.annotation.RequestParamMethodArgumentResolver

.resolveName(String name, MethodParameter parameter, NativeWebRequest webRequest) throws Exception

@Override

protected Object resolveName(String name, MethodParameter parameter, NativeWebRequest webRequest) throws Exception {

HttpServletRequest servletRequest = webRequest.getNativeRequest(HttpServletRequest.class);

MultipartHttpServletRequest multipartRequest =

WebUtils.getNativeRequest(servletRequest, MultipartHttpServletRequest.class);

Object arg;

if (MultipartFile.class.equals(parameter.getParameterType())) {

assertIsMultipartRequest(servletRequest);

Assert.notNull(multipartRequest, "Expected MultipartHttpServletRequest: is a MultipartResolver configured?");

arg = multipartRequest.getFile(name);

}

else if (isMultipartFileCollection(parameter)) {

assertIsMultipartRequest(servletRequest);

Assert.notNull(multipartRequest, "Expected MultipartHttpServletRequest: is a MultipartResolver configured?");

arg = multipartRequest.getFiles(name);

}

else if (isMultipartFileArray(parameter)) {

assertIsMultipartRequest(servletRequest);

Assert.notNull(multipartRequest, "Expected MultipartHttpServletRequest: is a MultipartResolver configured?");

List multipartFiles = multipartRequest.getFiles(name);

arg = multipartFiles.toArray(new MultipartFile[multipartFiles.size()]);

}

else if ("javax.servlet.http.Part".equals(parameter.getParameterType().getName())) {

assertIsMultipartRequest(servletRequest);

arg = servletRequest.getPart(name);

}

else if (isPartCollection(parameter)) {

assertIsMultipartRequest(servletRequest);

arg = new ArrayList(servletRequest.getParts());

}

else if (isPartArray(parameter)) {

assertIsMultipartRequest(servletRequest);

arg = RequestPartResolver.resolvePart(servletRequest);

}

else {

arg = null;

if (multipartRequest != null) {

List files = multipartRequest.getFiles(name);

if (!files.isEmpty()) {

arg = (files.size() == 1 ? files.get(0) : files);

}

}

if (arg == null) {

String[] paramValues = webRequest.getParameterValues(name);

if (paramValues != null) {

arg = paramValues.length == 1 ? paramValues[0] : paramValues;

}

}

}

return arg;

}

相关内容参考:

跨站脚本(XSS)注入攻击:http://www.what21.com/sys/view/java_javaweb-summary_1456896125462.html

Java模拟跨站脚本(XSS)注入攻击案例:http://www.what21.com/sys/view/java_java-summary_1456896075656.html

Java防止跨站脚本(XSS)注入攻击:http://www.what21.com/sys/view/java_javaweb-summary_1456896125971.html

小奋斗文章

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Harvey Janson
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 759
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9077
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
Java基础(37)XSS攻击、SQL注入攻击、CSRF攻击
最新发布
qq_43012298的博客
05-16 834
XSS(Cross-Site Scripting)攻击是指攻击者在目标网站上注入恶意的客户端脚本,当其他用户浏览该网站时,嵌入在网页中的这段脚本会被执行,从而达到攻击的目的,如盗取用户信息、劫持用户会话等。
彻底解决Spring MVC XSS注入问题
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现
xss springmvc ajax,使用springMVC通过Filter实现防止xss注入
weixin_35466750的博客
08-05 403
springMVC Filter防止xss注入跨站脚本工具(cross 斯特scripting),为不和层叠样式表(cascading style sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意scriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对R...
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 692
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
防sql注入xss攻击, springmv拦截器
07-24
防sql注入xss攻击, springmv拦截器,可自由调整需要拦截的字符
springmvc利用jquery实现ajax的例子
12-24
- 防止XSS和CSRF攻击,对敏感操作的Ajax请求进行验证。 以上就是使用Spring MVC和jQuery实现Ajax的基本步骤。在实际开发中,你可能还需要处理更多细节,如错误处理、数据验证、页面局部刷新等。通过这种方式,你...
springmvc-ajax:springmvc-ajax 前端后端ajax通信
05-05
6. **安全考虑**:使用Ajax时,应考虑XSS跨站脚本攻击)和CSRF(跨站请求伪造)等安全问题。Spring Security提供了一些内置的防护措施,如使用CSRF令牌,确保请求来源的合法性。 总结起来,"springmvc-ajax"项目...
java path 注解_javaSpringMVC中@PathVariable注解的XSS注入问题
weixin_31837611的博客
02-13 696
下面我们来看一篇关于SpringMVC中@PathVariable注解的XSS注入问题的分析,希望下面的文章能够帮助到各位理解到这个问题。XSS注入算是一个很常见的问题,其实解决起来并不难,但是有很多需要注意的地方,这里做一个完整的解决方案。Java中常见的解决方案是继承HttpServletRequestWrapper,然后重载getParameter、getHeader等方法。但是要注意到文件...
【Springboot】Xss过滤
xia744510124的专栏
07-17 1014
声明:大部分代码我都是重别人博客里面复制过来的,只是稍稍的修改了一下,能够支持对文件的过滤,话不多说了,直接贴代码了! 配置文件(application.properties) # 如果不想进行Xss过滤,可以注释掉或者设置为false common.xss-filter-open=true 过滤配置类(XssFilterConfig.java) @Configuration @Cond...
XSS跨站脚本攻击(三)-- 结合Spring MVC框架
yansong_8686的专栏
12-28 5230
1.web.xml中 xssFilter com.xxx.web.filter.XSSFilter xssFilter /* 2.XSSFilter.java package com.xxx.web.filter; import java.io.IOException; import javax.servlet.Filter;
Spring应用程序中防止跨站脚本 (XSS)
allway2的博客
07-24 1148
在反射型或非持久性XSS中,不受信任的用户数据被提交给Web应用程序,该应用程序立即在响应中返回,从而将不信任的内容添加到页面中。这可能允许黑客向您发送一个链接,当您点击该链接时,会导致您的浏览器从您使用的站点检索您的私人数据,然后让您的浏览器将其转发到黑客的服务器。在SpringWeb应用程序中,用户的输入是HTTP请求。为了防止攻击,我们应该检查HTTP请求的内容并删除任何可能被服务器或浏览器执行的内容。在XSS中,攻击者试图在Web应用程序中执行恶意代码。...
Java使用过滤器防止XSS脚本注入
踮脚敲代码
12-17 6485
前几天有个客户在系统上面写了个注入html语句,导致打开页面就显示一张炒鸡大的图片,影响美观。后仔细想想,幸亏是注入的仅仅是一条html语句,知道严重性,马上开始一番安全配置。 一. 定义过滤器 package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; im
Java Web使用过滤器防止Xss攻击,解决Xss漏洞 防止解决XSS注入攻击的过滤器filter XssHttpServletRequestWrapper
飞熊的博客
10-11 2559
前段时间,博主在帮忙朋友给一个国营单位做的一个项目中,在上线的前期,客户要求检测漏洞,因此找到了专业的测评公司,测出来好多漏洞,其中就有xss攻击,我讲自己处理的方式分享给大家,便于大家少走弯路。 package com.yl.filter; import java.io.BufferedReader; import java.io.ByteArrayInputStream; import java.io.IOException; import java.io.InputStreamReader; i
SpringMvc如何进行XSS攻击过滤
热门推荐
zzzgd_666的博客
05-23 1万+
随着web飞速的发展,XSS漏洞已经不容忽视,简单介绍一下XSS漏洞, 只要有用户输入的地方,就会出现XSS漏洞,例如在发表一篇帖子的时候,在其中加入脚本。 比如我在表单文本框中,输入 <script>alert(233)</script> 那么当这条消息存到数据库,再次在页面上访问获取数据的时候,就会弹出弹窗. 很多网站为了避免XSS攻击,对用户的输入都采...
XSS注入相关的解决方案web xss攻击 漏洞
宇飞林海的博客
05-26 4322
一、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话: 所有的输入都是有害的。 这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。
springmvc sql注入
07-29
在Spring MVC中,为了防止SQL注入攻击,可以采取以下几种措施: 1. 使用参数绑定:在处理请求的方法中,使用@RequestParam注解来绑定请求参数,这样可以确保参数的类型和格式是正确的,从而避免了SQL注入的风险。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值