spring mvc xss html,springmvc 防止XSS攻击 | 学步园

最新推荐文章于 2022-03-02 11:04:45 发布
最新推荐文章于 2022-03-02 11:04:45 发布
阅读量219 收藏
点赞数
文章标签: spring mvc xss html

http://blog.csdn.net/M87138/article/details/39023361

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。

spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止XSS攻击,就用到PropertyEditorSupport编辑器

项目中继承该类,写一个StringEscapeEditor类防止脚本或者html代码

public class StringEscapeEditor extends PropertyEditorSupport {

private boolean escapeHTML;// 编码HTML

private boolean escapeJavaScript;// 编码javascript

public StringEscapeEditor() {

super();

}

public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {

super();

this.escapeHTML = escapeHTML;

this.escapeJavaScript = escapeJavaScript;

}

@Override

public String getAsText() {

Object value = getValue();

return value != null ? value.toString() : "";

}

@Override

public void setAsText(String text) throws IllegalArgumentException {

if (text == null) {

setValue(null);

} else {

String value = text;

if (escapeHTML) {

value = HtmlUtils.htmlEscape(value);

System.out.println("value:"+value);

}

if (escapeJavaScript) {

value = JavaScriptUtils.System.out.println("value:"+value);

}

setValue(value);

}

}

然后绑定控制层就ok了,

在basecontroller中

@Controller

@RequestMapping("/baseController")

public class BaseController {

@InitBinder

public void initBinder(ServletRequestDataBinder binder) {

/**

* 自动转换日期类型的字段格式

*/

binder.registerCustomEditor(Date.class, new CustomDateEditor(new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"), true));

/**

* 防止XSS攻击

*/

binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));

}

其他控制层继承这个basecontroller就可以防止XSS攻击了。

不过只是post方式有效,get方式就没办法了

于日
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9079
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 767
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
spring mvc xss html,spring-mvc – 如何使用SpringMVC Jackson Application防止XSS攻击
weixin_42302418的博客
06-16 93
Cross Site Scripting Cheat Sheet有许多防范XSS攻击的规则.我想在我的网络应用程序中实现这些建议,该应用程序使用Spring MVC Jackson JPA Hibernate Bean Validation.作为示例,请考虑以下与我的应用程序中的代码类似的代码.public class MessageJson {@NotEmpty // Bean Validati...
spring mvc xss html,如何防止人们在Spring MVC中执行XSS
weixin_29672983的博客
06-16 101
我@Valid对所有输入对象(绑定和@RequestBodyjson,请参阅https://dzone.com/articles/spring-31-valid-requestbody)使用Hibernate Validator via 。所以@org.hibernate.validator.constraints.SafeHtml对我来说是一个很好的解决方案。Hibernate SafeHtml...
拦截XSS攻击
qq_29086005的博客
01-02 607
话不多说直接上代码 @Configuration public class XssConfiguration { /** * 描述 : xssObjectMapper * * @param builder builder * @return xssObjectMapper */ @SuppressWarnings("Spring...
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
在 ASP.NET Core MVC防止 XSS 攻击
最新发布
06-12
跨站点脚本 (XSS) 攻击是一种严重的安全威胁,恶意脚本会注入其他用户查看的网页中。源码通过 ASP.NET Core MVC 中构建一个简单的博客应用程序,同时使用内置安全功能和最佳实践来防止 XSS 攻击。
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java微服务框架,而ESAPI...
关于XSS脚本注入攻击和重定向攻击
qq_33642970的博客
01-07 1517
1.脚本注入攻击 例如: <SCRIPT SRC=http://***/XSS/xss.js></SCRIPT> <IMG SRC=”javascript:alert(‘XSS‘)”> 更多请参考: XSS脚本注入 - 美女爱找茬 - 博客 (cnblogs.com) 那么怎么来预防这类攻击? 我们可以添加参数过滤,例如: 增加对get请求,form表单,json数据的过滤 将这五个文件导入项目即可 import org.springframew
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 693
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
彻底解决Spring MVC XSS注入问题
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
基于SpringMVC的拦截器(Interceptor)和过滤器(Filter)的区别与联系
weixin_33958366的博客
12-07 1786
一 简介(1)过滤器:依赖于servlet容器。在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要获取的数据,比如:在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括:过滤低俗文字、危险字符等关于过滤器的一些用法可以参考我写过的这些文章...
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 866
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
SpringMVC 表单标签中 htmlEscape 属性的作用
热门推荐
HaHa_Sir的博客
11-22 2万+
一、SpringMVC 表单元素标签 如下: htmlEscape="false" class="input-xlarge"/> 其中的属性 htmlEscape的作用是? 大致的意思是起转义作用。 二、测试如下 1、htmlEscape="false" , 输入内容 " 2、htmlEscape="true" , 输入内容 "
java过滤xss_Java对类进行XSS过滤
weixin_31869917的博客
02-12 601
Jackson对返回数据进行XSS过滤定义一个类继承ObjectMapperpackage demo;import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.core.JsonProcessingException;import com.fasterxml.jackson.core.Version;i...
Spring HtmlUtils用法
shadow_zed的博客
09-04 8478
package test.org.springframework.web.util; 02. 03.import org.junit.Test; 04.import org.springframework.web.util.HtmlUtils; 05. 06./** 07. * 测试htmlUtils 功能 08. * @author hk 09
springcloud防止XSS,CSRF,SQL攻击,详细代码
06-12
Spring Cloud内部集成了Spring Security,可以通过配置Spring Security来防止XSS攻击。 - 在页面输出时,使用转义字符进行过滤,比如JSTL标签库中的标签或者Spring MVC的@ResponseBody注解。 - 在配置文件中添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值