怎样用springboot开发cs_如何在springboot项目中进行XSS过滤

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量130 收藏
点赞数
文章标签: 怎样用springboot开发cs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33573700/article/details/114018118
版权

#简单介绍 XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 过滤方式:主要通过对html标签进行转义的方式达到过滤的目的 #话不多说,直接上代码 实现方式,共分为三步:

第一步:在springboot启动类上添加@ServletComponentScan注解,该注解会自动扫描到我们自定义的filter(还有其他方式,这里就不赘述了,大家有兴趣的可以自行百度)

第二步:定义request的包装类,重写其中的关键方法

import com.alibaba.fastjson.JSON;

import org.apache.commons.text.StringEscapeUtils;

import javax.servlet.ReadListener;

import javax.servlet.ServletInputStream;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import java.io.*;

import java.nio.charset.Charset;

import java.util.HashMap;

import java.util.Map;

/**

* ServletRequest包装类,对request做XSS过滤处理

* @author Jozz

*/

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

public XssHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

}

@Override

public String getHeader(String name) {

return StringEscapeUtils.escapeHtml4(super.getHeader(name));

}

@Override

public String getQueryString() {

return StringEscapeUtils.escapeHtml4(super.getQueryString());

}

@Override

public String getParameter(String name) {

return StringEscapeUtils.escapeHtml4(super.getParameter(name));

}

@Override

public String[] getParameterValues(String name) {

String[] values = super.getParameterValues(name);

if(values != null) {

int length = values.length;

String[] escapseValues = new String[length];

for(int i = 0; i < length; i++){

escapseValues[i] = StringEscapeUtils.escapeHtml4(values[i]);

}

return escapseValues;

}

return values;

}

@Override

public ServletInputStream getInputStream() throws IOException {

String str=getRequestBody(super.getInputStream());

Map map= JSON.parseObject(str,Map.class);

Map resultMap=new HashMap<>(map.size());

for(String key:map.keySet()){

Object val=map.get(key);

if(map.get(key) instanceof String){

resultMap.put(key,StringEscapeUtils.escapeHtml4(val.toString()));

}else{

resultMap.put(key,val);

}

}

str=JSON.toJSONString(resultMap);

final ByteArrayInputStream bais = new ByteArrayInputStream(str.getBytes());

return new ServletInputStream() {

@Override

public int read() throws IOException {

return bais.read();

}

@Override

public boolean isFinished() {

return false;

}

@Override

public boolean isReady() {

return false;

}

@Override

public void setReadListener(ReadListener listener) {

}

};

}

private String getRequestBody(InputStream stream) {

String line = "";

StringBuilder body = new StringBuilder();

int counter = 0;

// 读取POST提交的数据内容

BufferedReader reader = new BufferedReader(new InputStreamReader(stream, Charset.forName("UTF-8")));

try {

while ((line = reader.readLine()) != null) {

body.append(line);

counter++;

}

} catch (IOException e) {

e.printStackTrace();

}

return body.toString();

}

}

其中的StringEscapeUtils来自:

compile("org.apache.commons:commons-text:1.6")

第三步:自定义过滤器

import javax.servlet.*;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

/**

* XSS过滤器

* @author Jozz

*/

@WebFilter(filterName="xssFilter",urlPatterns="/*")

public class XssFilter implements Filter {

@Override

public void init(javax.servlet.FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

HttpServletRequest request = (HttpServletRequest)servletRequest;

String path = request.getServletPath();

//由于我的@WebFilter注解配置的是urlPatterns="/*"(过滤所有请求),所以这里对不需要过滤的静态资源url,作忽略处理(大家可以依照具体需求配置)

String[] exclusionsUrls = {".js",".gif",".jpg",".png",".css",".ico"};

for (String str : exclusionsUrls) {

if (path.contains(str)) {

filterChain.doFilter(servletRequest,servletResponse);

return;

}

}

filterChain.doFilter(new XssHttpServletRequestWrapper(request),servletResponse);

}

@Override

public void destroy() {

}

}

到这里就大功告成了~若您觉得文章有用,欢迎点赞分享!

是小辰辰吖
关注
懒人方案--半天搞定一个SpringBoot单体项目
`or 1 or 不正经の泡泡
09-14 2100
好久木有冒个泡了,来活跃一下,顺便再水一篇博文~。那么最近也是在构建咱们这个whiteHole的分布式版本的时候呢,发现一个问题那就是通过充分考量业务的分析之后,鄙人一共创建了90多张表,6个数据库,还有两个没有创建(附加功能)保守估计加上一套完整的分级管理系统也就是120/30多张表嘛。那么问题来了,有没有一张方案能够给我偷个懒呢,把这种简单的controller service dao 最好再来点前端页面给我写好呢?
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5616
Penetration_Testing_POC 搜集有关渗透测试用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
springboot整合XSS
03-20
springboot 整合预防xss攻击
怎样用springboot开发cs_SpringBoot分布式任务间件开发 附视频讲解 (手把手教你开发和使用间件)...
weixin_39744512的博客
12-22 185
沉淀、分享、成长,让自己和他人都能有所收获!?前言@SpringBootApplication@EnableSchedulingpublic class Application{public static void mian(String[] args){SpringApplication.run(Application.class,args);}@Scheduled(cron = "0/3 * ...
Spring Boot + Vue 如此强大?竟然可以开发基于 C/S 架构的应用
勇往直前的专栏
03-10 635
虽然B/S是目前开发的主流,但是C/S仍然有很大的市场需求。受限于浏览器的沙盒限制,网页应用无法满足某些场景下的使用需求,而桌面应用可以读写本地文件、调用更多系统资源,再加上Web开发的低成本、高效率的优势,这种跨平台方式越来越受到开发者的喜爱。 Electron是一个基于Chromium和 Node.js,使用 HTML、CSS和JavaScript来构建跨平台应用的跨平台开发框架,兼容 Ma...
cs:基于springboot的后台管理系统
05-09
chen 基于springboot的后台管理系统
怎样用springboot开发cs_SpringBoot开发简单的前后端分离系统
weixin_39956443的博客
12-31 583
自学Java 水平比较低 放弃春招准备全力秋招第一次学习项目 分享一下 适合小白安装node和vue首先安装node.js,下载地址:node.js下好后.exe直接安装就行了,然后在命令行通过node -v查看是否安装成功然后初始化,通过node init完成,一路按回车就行然后设置一个镜像点,不然可能因为网速问题一直无法成功之后下载vuenpm install -g @vue/cli等待一段时...
【大总结2】大学两年,写了这篇几十万字的干货总结_万字 cndn
2401_84617533的博客
04-27 853
这部分在我看来是最有意思的,我们有必要了解底层数据结构的实现,这也是我最感兴趣的。比如,你知道redis的字符串怎么实现的吗?为什么这么实现?你知道redis压缩列表是什么算法吗?你知道redis为什么抛弃了红黑树反而采用了跳表这种新的数据结构吗?你知道hyperloglog为什么用如此小的空间就可以有这么好的统计性能和准确性吗?你知道布隆过滤器为什么这么有效吗?有没有数学证明过?你是否还能很快写出来快排?或者不断优化性能的排序?是不是只会调库了甚至库函数怎么实现的都不知道?真的就是快排?
Java架构专家
星月IWJ
08-09 424
java架构专家
程序员编程笔记
weixin_40789007的博客
09-20 4661
1.查看电脑当前进程和端口cmd netstat -pid netstat -a 查看全部端口信息:netstat –ano 2.创建文件夹 mkdir 文件名或文件路径 3.删除文件夹 rmdir 4.删除文件 del 5.打开计算机calc 6.打开画图mspaint 7.用echo "写入新数据">d:\a.txt,echo 字符串 >文件路径 文件名(会覆盖原内容) 8.用echo "写入新数据">>d:\a.txt,echo 字符串 >文件路径 文件名.
简单记录springBoot 开发项目(idea2017.3)<1>
暂无简介
07-22 133
简记: 1. 利用Idea创建springBoot(可谓是最简单的一种方式了 ) 2. 创建File ==> New ==>> Project ==>>>Spring Initializr ==>>>> Next 2.1.其会遇到联网获取springBoot失败 把上面的网址复制到下面试一下 ...
怎样用springboot开发cs_SpringBoot如何进行学习!
weixin_39554891的博客
12-31 237
话不用多说,Spring Boot在众多从事Java微服务开发的程序员群体是一个很特别的存在。Spring Boot在如下几个方面为我们带来了巨大的效能提升:1. 约定优于配置2. 自动装配3. 内嵌各种Servlet容器4.yml配置的支持5.提供了各种starter便于功能的开箱即用6.提供了各种度量SpringBoot复杂性:Spring Boot所提供的功能非常之多,上面不过是列举...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 2713
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击,攻击者通过在网页注入恶意脚本代码,使这些代码在其他用户的浏览器执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
基于SpringBoot+JavaFx的CS端的个人日程及项目管理工具
myme95的博客
04-26 380
https://blog.csdn.net/icarusliu/article/details/78788136?depth_1-utm_source=distribute.pc_relevant.n
idea没有springboot_springboot 系列 springboot 初探
weixin_39628594的博客
11-29 398
本篇是 springboot 系列的第一篇。先把本篇文章的大纲列出来。如果有读者觉得文章太长,可以挑自己想看的进行学习。① springboot 是什么?② 为什么大家都在用 springboot?用 springboot 的好处在哪?③ springboot 与 spring 之间的关系?(毕竟名字里都带个 spring,容易让人产生联想)④ springboot 的简单使用⑤ 下节预...
02-Springboot+Mybatics
cbd_2012的博客
11-20 478
Spring boot Mybatis 整合(完整版) 2017年08月16日 15:59:47 LuisChen的博客 阅读数:377036更多 所属专栏: springboot 版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/Winter_chen001/article/details/77249029 对Mybatis注解方式有兴趣...
java linux readline 为 null,java 调用 powershell 遇到的 reader.readLine() 卡住问题
weixin_30769455的博客
05-09 450
1、首先我本地有一个test.ps1的powershell文件,内容为(只是为了输出传进来的参数):For($i=0;$i -lt $args.Count; $i++){Write-Host "parameter $i : $($args[$i])"}2、然后我的java代码如下:private static void testExeCmd() {BufferedReader reader = n...
Spring Boot配置XSS
a123123sdf的博客
02-21 2648
spring boot 配置xss
Springboot xss过滤
07-28
过滤,可以使用`XssHttpServletRequestWrapper`来对请求进行包装,以实现XSS过滤的功能。这个包装类可以对请求参数进行过滤,包括表单传值(`@RequestParam`)和URL传参(`@PathVariable`)。\[2\] 需要注意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值