springMVC通过Filter实现防止xss注入

最新推荐文章于 2024-06-14 14:15:08 发布
最新推荐文章于 2024-06-14 14:15:08 发布
阅读量2.1k 收藏 7
点赞数 2
分类专栏: Spring 文章标签: SpringMVC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36586564/article/details/83343724
版权

XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。

sql注入
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。

原本是打算通过springMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。没办法就是要Filter来完成。

简单来说就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防)。

  • 1、首先配置web.xml,添加如下配置信息:
  <!-- Filter实现防止xss注入 -->
  <filter>
    <filter-name>MyXssFilter</filter-name>
    <filter-class>com.boss.common.filter.MyXssFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>MyXssFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  • 2、编写过滤器
/**
 * @Description: 获取参数时对参数进行XSS判断预防
 * @Author boss yan
 * @Date 2018/10/23 13:39
 */
@WebFilter(filterName="xssMyfilter",urlPatterns="/*")
public class MyXssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {

        XsslHttpServletRequestWrapper xssRequest = new XsslHttpServletRequestWrapper((HttpServletRequest)request);
        chain.doFilter(xssRequest , response);
    }

    @Override
    public void destroy() {

    }
}

XSS代码的过滤是在XsslHttpServletRequestWrapper中实现的,主要是覆盖实现了getParameter,getParameterValues,getHeader这几个方法,然后对获取的value值进行XSS处理。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.UnsupportedEncodingException;
import java.net.URLDecoder;
import java.util.regex.Pattern;

/**
 * @Description: XSS代码的过滤是在XsslHttpServletRequestWrapper中实现的,
 * 主要是覆盖实现了getParameter,getParameterValues,getHeader这几个方法,
 * 然后对获取的value值进行XSS处理
 * @Author boss yan
 * @Date 2018/10/23 13:41
 */
public class XsslHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest xssRequest = null;

    public XsslHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        xssRequest = request;
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(replaceXSS(name));
        if (value != null) {
            value = replaceXSS(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(replaceXSS(name));
        if(values != null && values.length > 0){
            for(int i =0; i< values.length ;i++){
                values[i] = replaceXSS(values[i]);
            }
        }
        return values;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(replaceXSS(name));
        if (value != null) {
            value = replaceXSS(value);
        }
        return value;
    }
    /**
     * 去除待带script、src、img的语句,转义替换后的value值
     */
    public static String replaceXSS(String value) {
        if (value != null) {
            try{
                value = value.replace("+","%2B");   //'+' replace to '%2B'
                value = URLDecoder.decode(value, "utf-8");
            }catch(UnsupportedEncodingException e){
            }catch(IllegalArgumentException e){
            }

            // Avoid null characters
            value = value.replaceAll("\0", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<img>(.*?)</img>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of e­xpression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</img>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("<img(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) e­xpressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid e­xpression(...) e­xpressions
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... e­xpressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid alert:... e­xpressions
            scriptPattern = Pattern.compile("alert", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
            // Avoid onload= e­xpressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
            scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return filter(value);
    }

    /**
     * 过滤特殊字符
     */
    public static String filter(String value) {
        if (value == null) {
            return null;
        }
        StringBuffer result = new StringBuffer(value.length());
        for (int i=0; i<value.length(); ++i) {
            switch (value.charAt(i)) {
                case '<':
                    result.append("<");
                    break;
                case '>':
                    result.append(">");
                    break;
                case '"':
                    result.append("\"");
                    break;
                case '\'':
                    result.append("'");
                    break;
                case '%':
                    result.append("%");
                    break;
                case ';':
                    result.append(";");
                    break;
                case '(':
                    result.append("(");
                    break;
                case ')':
                    result.append(")");
                    break;
                case '&':
                    result.append("&");
                    break;
                case '+':
                    result.append("+");
                    break;
                default:
                    result.append(value.charAt(i));
                    break;
            }
        }
        return result.toString();
    }
}
严严严的博客
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringMVC精品资源--整合JWT,spring,springMVC实现基于token验证.zip
02-18
通过这个资源,开发者可以学习如何在SpringMVC应用中实现出高效且安全的基于JWT的身份验证系统,提升Web应用的安全性和用户体验。教程可能包括代码示例、配置文件详解、问题排查等内容,帮助开发者深入理解Spring、...
springmvc+mybatis登录注册及文件上传
11-10
在本项目中,我们主要探讨的是如何将Spring MVC与MyBatis框架整合,...在实际开发中,还需要考虑安全性(如防止SQL注入XSS攻击)和性能优化(如使用缓存、合理的数据库设计)等问题,以确保应用的稳定性和用户体验。
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4066
Springboot配置XSS过滤器XssFilter
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 4997
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
springboot注入一个xss filter
最新发布
猿脑2.0的博客
06-14 417
在 Spring Boot 应用程序中注册一个 XSS 过滤器,你需要创建一个过滤器类(如上所述),然后通过一个配置类将其注册到 Spring 的过滤器链中。完成以上步骤后,你的 XSS 过滤器就会在 Spring Boot 应用程序中注册并生效了。它会自动应用到所有的请求中,清理潜在的 XSS 攻击代码。方法用于指定过滤器应该拦截的请求类型(如REQUEST、FORWARD、INCLUDE、ERROR等)。类被 Spring 托管,可以通过在类上添加。在这个配置类中,我们通过。注解或者在配置类中通过。
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
程序员小明1024
12-19 955
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2619
springboot增加xss过滤器,防止xss攻击
彻底根治Spring @ResponseBody JavaScript HTML特殊字符
01-12
可以通过配置`ObjectMapper`来实现,例如: ```java ObjectMapper objectMapper = new ObjectMapper(); objectMapper.configure(JsonGenerator.Feature.ESCAPE_NON_ASCII, true); objectMapper.configure...
DWR整合Spring MVC
11-07
- 考虑安全因素,不要将敏感方法暴露给前端,防止XSS和CSRF攻击。 - 使用DWR的缓存机制,提高性能。 - 在实际项目中,可能需要自定义DWR的行为,如错误处理、权限控制等,这时可以编写自定义的Filter或扩展DWR的核心...
毕设课设-java拍卖系统ssm架构竞拍系统.zip
09-27
此外,还需要注意安全性问题,比如防止SQL注入XSS攻击等。 通过这个项目,学习者可以实践到如何将Java后端与前端、数据库紧密集成,实现一个完整的Web应用程序,并对SSM框架有深入的理解。同时,这也有助于提升...
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能
chenghuagui9785的博客
05-31 1106
springmvc使用过滤器filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤的XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6366
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
SpringBoot 防御Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9099
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
XSS过滤器Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
Java防止SQL注入(通过Filter过滤器功能进行拦截)
qq_37272886的博客
05-18 6499
前言 contentType=multipart/form-data的header以文件流的的形式上传文件时,如果代码中使用了Filter,会出现无法用Filter 中用ServletRequest.getParameter 方法取不到一并提交上来的参数 multipart/form-data格式: package com.cn.unit.filter; import java.io.IOException; import javax.servlet.Filter; import java.
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
qimingzhennan_to的博客
08-15 2676
springboot自带filter实现sql防注入过滤器,可以全路径也可以自己设置过滤路径,还可以在全路径的时候选择放行某些路径不过滤。
Java编写Filter实现防止XSS攻击
Charygus的博客
08-23 1268
什么是XSS攻击 XSS攻击 攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。(摘自百度百科) SQL注入: SQL注入指的是发生在Web应用对后台数据...
springmvc将jar包的bean实现注入
03-24
Spring MVC通过依赖注入(DI)和控制反转(IOC)的机制来实现jar包的bean实现注入。具体实现方式包括使用注解、XML配置文件等多个方法。需要注意的是,Spring MVC框架在注入时会根据不同的情况选择不同的注入方式,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值