用自定义注解替代@RequestBody实现xss过滤的尝试

最新推荐文章于 2024-07-05 19:49:01 发布
最新推荐文章于 2024-07-05 19:49:01 发布
阅读量1.8k 收藏 5
点赞数
文章标签: json 后端 runtime
原文链接:https://juejin.im/post/5c80c3d7f265da2da771f752
版权
需求背景

post请求中的body参数,会解析成 @RequestBody 注解的对象。现在需要把该对象的所有string属性进行XSS过滤,XSS过滤是已有的轮子。

设计思路
  1. 面向扩展开放,面向修改关闭原则。新定义一个注解解决这类问题:@XssCleaned
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface XssCleaned {
}
复制代码
实现
  1. 自定义扩展HandlerMethodArgumentResolver,由于需要替代@RequestBody,解析MediaType=application/*+json的请求中的body参数 (参见MappingJackson2HttpMessageConverter) 所以使用的自定义扩展HandlerMethodArgumentResolver的子类RequestResponseBodyMethodProcessor
public class XssCleanedResolver extends RequestResponseBodyMethodProcessor{

    public XssCleanedResolver(List<HttpMessageConverter<?>> converters) {
        super(converters);
   }

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.hasParameterAnnotation(XssCleaned.class);
   }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {

        Object o = super.resolveArgument(parameter,mavContainer,webRequest,binderFactory);
        //将所有string类型的feild进行xss过滤
        PostBodyUtil.cleanXSSfields(o);
        return o;
   }

}
复制代码
  1. 遍历string属性,进行过滤
public class PostBodyUtil {

    /**
     * 所有string类型的字段都进行xss过滤
     * @return
     */
    public static boolean cleanXSSfields(Object o){
        Arrays.stream(BeanUtils.getPropertyDescriptors(o.getClass())).forEach(t->{
                    if (t.getPropertyType().equals(String.class)){
                        String fieldValue = "";
                        try {
                            fieldValue = (String) t.getReadMethod().invoke(o);
                            t.getWriteMethod().invoke(o,
                                    AntiXssUtil.decodeHtml(AntiXssUtil.cleanHtml(fieldValue)));
                       } catch (IllegalAccessException  | InvocationTargetException e) {
                            LoggerHandler.error(e, "cleanHtml failed!"+t.getName()+":"+fieldValue);
                            return;
                       }
                   }
               }
       );
        return true;
   }
}
复制代码
  1. 注册该resolver 在自定义扩展的WebMvcConfigurationSupport中,重写addArgumentResolvers,将该resolver注册。
@Override
protected void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
    argumentResolvers.add(new XssCleanedResolver(converters));
}
复制代码
  1. 使用注解实例
@PostMapping("/updateShipments")
public PlatformReturn updateShipments(@XssCleaned Shipment shipment, @CurrentUser SysUser user){

    return myOrderService.updateShipments(shipment,user);
}
复制代码

这样,shipment对象的每个string属性都是经过xss过滤的,其它功能与 @RequestBody 功能相同。

over

转载于:https://juejin.im/post/5c80c3d7f265da2da771f752

weixin_34026484
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【Bug】使用Filter替换@RequestBody注解参数中的指定字符无效
不务正业的野猴子
09-01 1727
项目中前后端交互数据类型使用json字符串,由于显示原因需要对指定字符进行转义处理,以前的处理方式是将HttpServletRequest重新封装,重写getParameter()等取值方法,在重写的取值方法获取到参数值后对该值进行处理。使用Filter将request对象转换成我们之定义的HttpServletRequest对象。这样当我们使用request对象取值时就会对指定的字符进行处理。 ...
【Springboot】@RequestBody参数过滤Xss
qq_36798836的博客
09-16 4976
在使用@RequestBody情况SpringBoot 参数并不是封装在parameter里面,所以重写getParameterValues和getParameterValue并不能解决问题,@RequestBody是流的形式,所以写Xss过滤如下: import java.io.ByteArrayInputStream; import java.io.IOException; import ja...
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
最新发布
weixin_73588491的博客
07-05 6207
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
@RequestParam和@RequestBody的区别
晨曦若梦的博客
04-30 612
@RequestParam 和 @RequestBody的区别一、问题重现1. 项目简介2. 问题Postman后台接口报错二、SpringMVC中的@RequestParam和@RequestBody1. Http请求报文2. 结论3. 验证三、修改1. 使用@RequestBody注解替换之前的@RequestParam2. 一个实体类的对象替换三个参数3. 成功四、总结 一、问题重现 1. ...
45. 从零开始学springboot撸一个Xss过滤器-注解实现
CTO技术的博客
08-26 355
前言 上章通过Filter实现Xss全局过滤器 可能小伙伴还有点不满, 全局意味着“一刀切”, 虽然我们也有白名单黑名单设置, 但是, 白名单黑名单针对的是整个方法或整个实体类 举个例子, 我定义了个实体 public class People { private String name; private String info; private String des; } 可能业务上有限制(比如name限制了只有5个字符长), 那么name其实不可能存在Xss注入风险了, 程序
使用过滤器解决xss攻击、SQL注入问题,自定义注解+aop+反射解决xss攻击问题
qq_37948985的博客
06-07 2433
一、过滤器和拦截器的区别: 不同点: 过滤器的执行顺序在拦截前 过滤器基于servlet,而拦截器是基于框架,springmvc 过滤器是基于函数回调,而拦截器是基于Java的反射机制 参考博客:https://blog.csdn.net/zxd1435513775/article/details/80556034 二、基于过滤器解决xss问题 (1)、什么是xss问题 xss问题就是脚本攻击,是指在参数中携带一些script脚本等能在HTML执行的脚本,从而呈现...
SpringBootXSS攻击过滤插件使用XSS是什么解决方案.docx
10-26
public String xss(@RequestBody Map, String> body) { return body.get("params"); } ``` #### 原理分析 mica-xss的核心机制在于: - **自定义WebDataBinder编辑器支持form过滤**:Spring MVC中的WebDataBinder...
SpringBoot MVC实现自定义RequestBody注解
shenszy的博客
01-02 4910
实现环境:SpringBoot 2.1.1,JDK 1.8 一、MVC实现RequestBody注解源码解析 1. @RequestBody 源码: @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) @Documented public @interface RequestBody { /** ...
常见的注解 @PathVariable、@RequestHeader、@RequstParam、@RequestBody、@RequstPart
记录点滴
07-11 1985
注解: @PathVariable、@RequestHeader、@ModelAttribute、@RequstParam、@MatrixVariable、@RequestBody 1、@PathVariable 符合rest风格的api传值方式,有多个变量时,也可以接受一个Map(前提:参数必须为String类型),springboot会自动封装到Map里 @RequestMapping(value = "/param/{userId}/{username}", method = Reque
对 Spring 中的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 2846
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBodyjson 数据怎么过滤呢: spring处
SpringBoot+Xss过滤(@RequestBody参数过滤Xss
Answer0902的博客
07-07 2684
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
@RequestBody与@RequestParam
H小阿飞的博客
11-24 261
@RequestParam 跟get结合使用   如果@RequestParam与post使用的话,就要使用form形式请求,不能用json了   还有RequestParam提交的时候,是content-type为form,RequestBody提交的时候 content-type为json   所以一个接口里面,不能同时有RequestParam和RequestBody两个注解 ...
springmvc中@requestBody,@restcontroller和@responseBody注解
WannaRunning的博客
06-01 7782
@RequestBody(把接收的数据转换为java对象) 作用:用于读取Request请求的body部分数据,是放在方法中参数类型之前,@RequestBody需要接的参数是一个string化的json字符串,使用系统默认配置的HttpMessageConverter进行解析,然后把相应的数据绑定到对象(javaBean)上。再把HttpMessageConverter返回的对象数据绑定到 ...
SpringBoot项目获取@RequestBody再也不用定义对象了
ww823883473的博客
08-11 2146
SpringBoot项目获取@RequestBody JSON请求体中的属性value,无需定义对象或者使用Json工具,类似@RequestParam
xss <BODY ONLOAD=alert(‘XSS’)>
weixin_34235371的博客
07-17 192
http://is.gd/QOv3eN 转载于:https://blog.51cto.com/4972113/1251596
Springboot 防止XSS攻击,包含解决RequestBodyJson 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
xss漏洞后端解决(body参数校验)
lqlscn的博客
09-08 1604
xss漏洞 我看网上有了很多的解释了 ,公司现在要过等保三级,然后发现一堆问题 要求修改。感觉没啥好说的 还是直接上代码吧。 import java.io.IOException; import java.util.Map; import java.util.Set; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.Filt
initbinder对ajax不起作用,ajax – @InitBinder与@RequestBody在Spring 3.2.4中转义XSS
weixin_35245810的博客
08-05 340
我在我的方法中有一个@RequestBody注释参数,如下所示:@RequestMapping(value = "/courses/{courseId}/{name}/comment", method = RequestMethod.POST)@ResponseStatus(HttpStatus.OK)public @ResponseBody CommentContainer addComment...
浅谈@RequestParam与@RequestBody区别
weixin_39755019的博客
07-12 842
@RequestParam:与servlet的request.getParameter()用法一致,都是用来接收form表单的提交,默认是application/x-www-form-urlencoded编码的内容,我们平时的jQuery与js提交都是默认application/x-www-form-urlencoded.(注意:不能接收json类型数据).ajax提交的json数据会被appli...
springcloudgateway中使用BodyInserter类方法实现 XSS过滤
05-11
在Spring Cloud Gateway中,可以使用BodyInserter类方法来实现XSS过滤。 首先,你需要创建一个实现BodyInserter接口的自定义类,用于对请求和响应的body进行修改。例如: ```java public class XssBodyInserter implements BodyInserter<Object, ReactiveHttpOutputMessage> { private final BodyInserter<Object, ReactiveHttpOutputMessage> delegate; public XssBodyInserter(BodyInserter<Object, ReactiveHttpOutputMessage> delegate) { this.delegate = delegate; } @Override public Mono<Void> insert( Publisher<? extends Object> input, ReactiveHttpOutputMessage outputMessage) { // 对请求或响应的body进行XSS过滤 return delegate.insert(input, outputMessage); } @Override public List<HttpMessageWriter<?>> messageWriters() { return delegate.messageWriters(); } } ``` 然后,在路由定义中使用该自定义类来对请求和响应的body进行修改。例如: ```java @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route(r -> r.path("/api/**") .filters(f -> f.modifyRequestBody(String.class, Object.class, MediaType.APPLICATION_JSON_VALUE, (exchange, s) -> { // 对请求的body进行XSS过滤 return Mono.just(XssUtils.xssEncode(s)); }) .modifyResponseBody(Object.class, String.class, MediaType.APPLICATION_JSON_VALUE, (exchange, s) -> { // 对响应的body进行XSS过滤 return Mono.just(XssUtils.xssEncode(s)); })) .uri("lb://backend-service")) .build(); } ``` 在上面的示例中,我们使用了`modifyRequestBody`和`modifyResponseBody`方法来分别对请求和响应的body进行修改,并调用自定义的`XssUtils.xssEncode`方法来进行XSS过滤。 需要注意的是,该方法只能对JSON格式的请求和响应进行XSS过滤,如果请求和响应是其他格式的,需要进行相应的修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值