spring mvc xss html,note/SpringMvc防御XSS实践.md at master · yangc91/note · GitHub

最新推荐文章于 2024-07-28 08:30:00 发布
最新推荐文章于 2024-07-28 08:30:00 发布
阅读量65 收藏
点赞数
文章标签: spring mvc xss html

SpringMvc防御XSS实践

项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。

历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。

方案目标:

只配置一次,与业务接口无关

过滤两种请求的参数:Content-Type为form表单(application/x-www-form-urlencoded)和 json(application/json)

application/json

对于json请求,spring mvc默认使用MappingJackson2HttpMessageConverter转换器,

而它是使用jackson来序列化对象的,如果我们能 将jackson的序列化和反序列化过程修改,加入过滤xss代码,并将其注册到MappingJackson2HttpMessageConverter中,那么就能解决json请求的xss问题,而且我相信jackson肯定有这种接口。

具体实现:

StdSerializer

自定义序列化类

/**

* 序列化

* @date: 2017-12-15.

*/

public class DefaultJsonSerializer extends StdSerializer {

public DefaultJsonSerializer() {

this(null);

}

public DefaultJsonSerializer(Class t) {

super(t);

}

@Override

public void serialize(String value, JsonGenerator gen, SerializerProvider serializers)

throws IOException {

// xss策略在此执行

String safe = HtmlUtils.htmlEscape(value, "utf-8");

gen.writeString(safe);

}

}

StdDeserializer

自定义反序列化类

/**

* 反序列化

* @date: 2017-12-15.

*/

public class DefaultJsonDeserializer extends StdDeserializer {

public DefaultJsonDeserializer() {

this(null);

}

public DefaultJsonDeserializer(Class t) {

super(t);

}

@Override

public String deserialize(JsonParser p, DeserializationContext ctxt)

throws IOException {

String value = p.getValueAsString();

if (StringUtils.isEmpty(value)) {

return value;

} else {

value = HtmlUtils.htmlEscape(value.toString(), "utf-8");

return value;

}

}

}

配置HttpMessageConverter

java config配置

// WebMvcConfigurerAdapter子类中添加如下代码:

@Override

public void configureMessageConverters(List> converters) {

SimpleModule module = new SimpleModule();

module.addDeserializer(String.class, new DefaultJsonDeserializer());

module.addSerializer(String.class, new DefaultJsonSerializer());

ObjectMapper mapper = Jackson2ObjectMapperBuilder.json().build();

//注册自定义的序列化和反序列化器

mapper.registerModule(module);

MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter(mapper);

converters.add(converter);

}

// configureMessageConverters会覆盖spring默认的转换器,如果想额外添加一个自定义的转换器

重写extendMessageConverters方法

@Override

public void extendMessageConverters(List> converters) {

//...额外添加转换器....

}

xml配置

application/x-www-form-urlencoded

使用@InitBinder,控制器中添加如下代码

@InitBinder

public void initBinder(WebDataBinder binder) {

// 注意CustomStringEditor为非线程安全类,故这里需构建对象,不能直接

// 注入bean

binder.registerCustomEditor(Date.class, new CustomStringEditor());

}

自定义类型转换器 继承PropertyEditorSupport

public class CustomStringEditor extends PropertyEditorSupport {

@Override

public void setAsText(String text) throws IllegalArgumentException {

if (text == null || text.equals("")) {

text = "";

}

// xss过滤,表单提交时封装参数,String类型会经过此处

text = HtmlUtils.htmlEscape(text, "utf-8");

setValue(text);

}

@Override

public String getAsText() {

return getValue().toString();

}

}

接下来,启动测试即可。

目前代码已经存放到github上,欢迎star 和 fork,指出问题,一起学习交流

EYES 乱
关注
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9148
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
### Spring MVC 处理 XSS 和 SQL 注入攻击的方法总结 #### 一、引言 在 Web 开发领域,特别是基于 Java 的应用开发中,Spring MVC 框架因其灵活高效的特点而被广泛采用。然而,随着互联网技术的发展,网络安全问题...
Spring MVC 防止XSS注入
Mr_Wanter
06-14 3895
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
springmvcxss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义
GIS地图技术分享(GIS入门、Openlayers教程、Leaflet教程),做最好的GIS地图开发教程
11-24 1263
springmvcxss脚本注入攻击,springmvc过滤html和js标签,html和js标签转义一、前言二、原理三、springmvc如何实现xss过滤3.1、xss转义包装器3.2 xss过滤器3.3 web.xml配置过滤器 一、前言 xss脚本注入攻击大家应该经常见了,不多说了,直接讲防xss脚本注入的原理吧。 二、原理 原理很简单,http后端通过过滤器过滤request接受的参数内容,把包含"<“和”>","&"、"/“和“””的字符进行转义即可。 例如: 普通注入脚
彻底解决Spring MVC XSS注入问题
热门推荐
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
SpringMvc防御XSS实践
a120717的博客
06-20 914
SpringMvc防御XSS实践 项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。 历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。 方案目标: 只配置一次,与业务接口无关 过滤两种请求的参数:Content-Type为form表单(application...
xss.haozi.me靶场“0x00-0x0A”通关教程
钟言的博客
03-12 5570
本篇介绍了xss.haozi.me靶场0x00到0x0A通关教程,详细内容包含了:一、靶场介绍 二、第一关 0x00 不做限制 三、第二关 0x01 文本闭合标签绕过 四、第三关 0x02 双引号闭合绕过 五、第四关 0x03 过滤括号 六、第五关 0x04 编码绕过 七、第六关 0x05 注释闭合绕过 八、第七关 0x06 换行绕过 九、第八关 0x07 删除标签 十、第九关 0x08 多加空格绕过 十一、第十关 0x09 闭合绕过 十二、第十一关 0x0A JS调用等内容
SpringMVC防御CSRF及XSS攻击(写的非常好)
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
XSS漏洞:xss.haozi.me靶场1-12 | A-F
weixin_68416970的博客
07-28 2875
XSS漏洞靶场,xss.haozi.me靶场的1-12关、A-F关通关教程
xss springmvc ajax,Java SpringMVC防止跨站脚本(XSS)注入攻击实现
weixin_31898831的博客
08-05 1827
跨站脚本(XSS)注入攻击防御的最有效办法是,通过Filter过滤检查提交参数的合法性。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~Spring MVC Xss FilterXSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指...
springmvc项目中XSS漏洞解决
laok186的博客
08-01 1996
反射型XSS漏洞修复
xss-labs-master.zip(xss注入通关游戏/靶场)
03-21
`xss-labs-master.zip`包含了一个专门用于学习和实践XSS注入的通关游戏或靶场,对于网络安全测试人员来说,这是一个极好的学习资源。 **XSS分类** 1. **存储型XSS**:也称为持久型XSS,攻击者将恶意脚本存入服务器...
springmvc4配置防止XSS攻击的方法
04-05
Spring MVC中防止XSS攻击的基本方法之一是通过实现过滤器来包装HttpServletRequest对象。具体地,需要创建一个包装类XssHttpServletRequestWrapper,用于覆盖HttpServletRequest的方法,对所有进入的请求数据进行...
JSP spring boot / cloud 使用filter防止XSS
10-19
XSS攻击全称为跨站脚本攻击(Cross Site Scripting),它是一种常见的网络攻击手段,攻击者通过在网页中插入恶意的JavaScript代码,当其他用户浏览该网页时,嵌入其中的恶意脚本就会被用户的浏览器执行,从而达到...
基于 python 实现的ios混淆脚本工具
10-01
【作品名称】:基于 python 实现的ios混淆脚本工具 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目介绍】: . addNative.py 生成oc垃圾代码工具 此脚本会扫描指定目录,给OC文件添加垃圾函数,同时创建垃圾文件到/trash目录。 参数说明 --oc_folder OC_FOLDER OC_FOLDER为OC代码所在目录 --replace替换OC_FOLDER下的原文件,同时原代码会备份到脚本目录下的backup_ios目录。不指定此项垃圾代码只会放到脚本目录下的target_ios/ addNative.py里还有一些配置可以看需求手动修改,如生成垃圾文件的数量,垃圾函数的数量,忽略文件列表等,具体请查看代码顶部相关注释 renameNative.py 修改类名前缀工具 类名是引用可能较为复杂 【资源声明】:本资源作为“参考资料”而不是“定制需求”,代码只能作为参考,不能完全复制照搬。需要有一定的基础能够看懂代码,能够自行调试代码并解决报错,能够自行添加功能修改代码。
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification.zip
10-01
基于SOM算法对IRIS数据集分类_Learning-Som_IrisClassification
06_摄影展示小程序.zip
最新发布
10-01
我们的小程序源码功能多样,涵盖社交、电商等领域。高度定制化,轻松打造专属风格。用户体验佳,界面美观操作便捷。安全可靠,保障数据与运行稳定。适合创业者、企业和开发者。提供技术支持与文档说明。快来下载,开启精彩之旅!
大学生创业计划书××信息技术公司商业计划书
10-01
大学生创业计划书××信息技术公司商业计划书
朴素贝叶斯分类Iris数据集_Iris-Bayes.zip
10-01
朴素贝叶斯分类Iris数据集_Iris-Bayes
js-xss-master/dist/test.html
10-02
js-xss-master/dist/test.html是js-xss库的一个测试页面。 js-xss是一个用于防御跨站点脚本攻击(XSS)的JavaScript库。它通过对输入的 HTML 进行过滤和转义,确保只有被允许的标签和属性能够被渲染,阻止恶意脚本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值