spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出

最新推荐文章于 2024-05-03 22:13:52 发布
最新推荐文章于 2024-05-03 22:13:52 发布
阅读量4.9k 收藏 24
点赞数 1
分类专栏: spring spingmvc 后端 文章标签: xss filter log4j
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38373006/article/details/105635454
版权
后端 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
spring
3 篇文章 0 订阅
订阅专栏
spingmvc
2 篇文章 0 订阅
订阅专栏

背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文)

前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度)

因此需要重写两个wrapper(继承HttpServletRequestWrapper)(针对post的json请求以及其他格式的请求)

在filter中以contentType做类型的区分

未做业务耦合的区分(日志输出与xss过滤耦合到一起),若要区分开功能,单独书写即可

一:重写wrapper

1:contentType为multipart/form-data或application/x-www-form-urlencoded

public class XSSNormalRequestWrapper extends HttpServletRequestWrapper {


	public XSSNormalRequestWrapper(HttpServletRequest request) {
		super(request);
	}

	@Override
	public String[] getParameterValues(String parameter) {
		String[] values = super.getParameterValues(parameter);
		if (values == null) {
			return null;
		}
		int count = values.length;
		String[] encodedValues = new String[count];
		for (int i = 0; i < count; i++) {
			encodedValues[i] = stripXSS(values[i]);
		}
		return encodedValues;
	}

	@Override
	public String getParameter(String parameter) {
		String value = super.getParameter(parameter);
		return stripXSS(value);
	}

	@Override
	public String getHeader(String name) {
		String value = super.getHeader(name);
		return stripXSS(value);
	}

}

2:contentType为application/json

public class XSSBodyRequestWrapper extends HttpServletRequestWrapper {

    private String body;

    public XSSBodyRequestWrapper(HttpServletRequest request) {
        super(request);
        StringBuilder stringBuilder = new StringBuilder();
        BufferedReader bufferedReader = null;
        InputStream inputStream = null;
        try {
            inputStream = request.getInputStream();
            if (inputStream != null) {
                bufferedReader = new BufferedReader(new InputStreamReader(inputStream));
                char[] charBuffer = new char[128];
                int bytesRead = -1;
                while ((bytesRead = bufferedReader.read(charBuffer)) > 0) {
                    stringBuilder.append(charBuffer, 0, bytesRead);
                }
            } else {
                stringBuilder.append("");
            }
        } catch (IOException ex) {

        } finally {
            if (inputStream != null) {
                try {
                    inputStream.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
            if (bufferedReader != null) {
                try {
                    bufferedReader.close();
                }
                catch (IOException e) {
                    e.printStackTrace();
                }
            }
        }
        body = XSSStripUtils.stripXSS(stringBuilder.toString());
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(body.getBytes());
        ServletInputStream servletInputStream = new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read() throws IOException {
                return byteArrayInputStream.read();
            }
        };
        return servletInputStream;
    }

    @Override
    public BufferedReader getReader() throws IOException {
        return new BufferedReader(new InputStreamReader(this.getInputStream()));
    }

    public String getBody() {
        return body;
    }


}

二:xss处理工具方法:

public class XSSStripUtils {

    public static String stripXSS(String value) {
        if (value != null) {
            Pattern scriptPattern = Pattern.compile("<script>(\\s*.*?)</script>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("</script(\\s*.*?)>",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("<script(\\s*.*?)>",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("eval\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("e­xpression\\((.*?)\\)",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("javascript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("vbscript:",
                    Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("-");
            scriptPattern = Pattern.compile("onload(.*?)=",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("-");


            scriptPattern = Pattern.compile("<+.*(oncontrolselect|oncopy|oncut|ondataavailable|ondatasetchanged|ondatasetcomplete|ondblclick|ondeactivate|ondrag|ondragend|ondragenter|ondragleave|ondragover|ondragstart|ondrop|onerror|onerroupdate|onfilterchange|onfinish|onfocus|onfocusin|onfocusout|onhelp|onkeydown|onkeypress|onkeyup|onlayoutcomplete|onload|onlosecapture|onmousedown|onmouseenter|onmouseleave|onmousemove|onmousout|onmouseover|onmouseup|onmousewheel|onmove|onmoveend|onmovestart|onabort|onactivate|onafterprint|onafterupdate|onbefore|onbeforeactivate|onbeforecopy|onbeforecut|onbeforedeactivate|onbeforeeditocus|onbeforepaste|onbeforeprint|onbeforeunload|onbeforeupdate|onblur|onbounce|oncellchange|onchange|onclick|oncontextmenu|onpaste|onpropertychange|onreadystatechange|onreset|onresize|onresizend|onresizestart|onrowenter|onrowexit|onrowsdelete|onrowsinserted|onscroll|onselect|onselectionchange|onselectstart|onstart|onstop|onsubmit|onunload)+.*=+",
                    Pattern.CASE_INSENSITIVE | Pattern.MULTILINE
                            | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("-");



            // 过滤emoji表情
            scriptPattern = Pattern
                    .compile(
                            "[\ud83c\udc00-\ud83c\udfff]|[\ud83d\udc00-\ud83d\udfff]|[\u2600-\u27ff]",
                            Pattern.UNICODE_CASE | Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("-");
        }
        return value;
    }

}

三:filter过滤器

public class XSSFilter implements Filter{

	private static final Logger logger = LoggerFactory.getLogger("external_request");

	@Override
	public void init(FilterConfig arg0) throws ServletException {

	}


	@Override
	public void doFilter(ServletRequest servletRequest, ServletResponse response, FilterChain chain) throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) servletRequest;
		resetCookies(request,(HttpServletResponse)response);
		String contentType = request.getContentType();
		if (StringUtils.isNotBlank(contentType) && contentType.contains("multipart/form-data")) {
			MultipartHttpServletRequest multipartHttpServletRequest =
					new CommonsMultipartResolver().resolveMultipart(request);
			XSSNormalRequestWrapper xssNormalRequestWrapper = new XSSNormalRequestWrapper(multipartHttpServletRequest);
			logUrlAndParam(request,xssNormalRequestWrapper,null);
			chain.doFilter(xssNormalRequestWrapper, response);
		} else if (StringUtils.isNotBlank(contentType) && contentType.contains("application/x-www-form-urlencoded")) {
			XSSNormalRequestWrapper xssNormalRequestWrapper = new XSSNormalRequestWrapper(request);
			logUrlAndParam(request,xssNormalRequestWrapper,null);
			chain.doFilter(xssNormalRequestWrapper, response);
		} else if (StringUtils.isNotBlank(contentType) && contentType.contains("application/json")) {
			XSSBodyRequestWrapper xssBodyRequestWrapper = new XSSBodyRequestWrapper(request);
			logUrlAndParam(request,null,xssBodyRequestWrapper);
			chain.doFilter(xssBodyRequestWrapper, response);
		} else {
			logUrlAndParam(request,null,null);
			chain.doFilter(request, response);
		}

	}

	public Cookie[] resetCookies(HttpServletRequest request,
								 HttpServletResponse response) {
		Cookie[] cookies = request.getCookies();
		Map<String, String> map = new HashMap<>();
		if (cookies != null && cookies.length != 0) {
			for (Cookie cookie : cookies) {
				String value = cookie.getValue();
				if (value != null) {
					String deleteValue = stripXSS(value);
					if (!value.equals(deleteValue)) {
						map.put(cookie.getName(), cookie.getDomain());
					}
				}
			}

			if (CollectionUtils.isNotEmpty(map)) {
				for (Map.Entry<String, String> cookie : map.entrySet()) {
					CookieUtil.removeCookie(request, response, cookie
							.getValue(), cookie.getKey());
				}
			}
		}
		return cookies;
	}

	@Override
	public void destroy() {
		
	}

	private void logUrlAndParam(HttpServletRequest request, XSSNormalRequestWrapper xssNormalRequestWrapper,XSSBodyRequestWrapper xssBodyRequestWrapper) {
		// 获取请求URL
		String url = request.getRequestURI();
		// 获取请求方法
		String method = request.getMethod();
		// 获取path
		String path = request.getQueryString();
		// 获取header
		Map<String, String> map = new HashMap<String, String>();
		Enumeration headerNames = request.getHeaderNames();
		while (headerNames.hasMoreElements()) {//循环遍历Header中的参数,把遍历出来的参数放入Map中
			String key = (String) headerNames.nextElement();
			String value =  request.getHeader(key);
			map.put(key, value);
		}
		String header = JSON.toJSONString(map);
		// 获取参数
		String params = "";
		if(xssNormalRequestWrapper != null) {
			params = JSON.toJSONString(xssNormalRequestWrapper.getParameterMap());
		}
		if(xssBodyRequestWrapper != null) {
			params = xssBodyRequestWrapper.getBody();
		}
		if(xssNormalRequestWrapper == null && xssBodyRequestWrapper == null) {
			params = JSON.toJSONString(request.getParameterMap());
		}
		logger.info("请求url:{},方法:{},path:{},header:{},param:{}",url,method,path,header,params);
	}


}

四:在web.xml配置过滤器

	<filter>
		<filter-name>XSSFilter</filter-name>
		<filter-class>xxxx.filter.XSSFilter</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>XSSFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

 

六年级叔叔
关注
  • 1
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
spring mvc xss filter
涛哥盛世
07-09 5502
spring mvc xss filter        XSS (Cross Site Scripting): 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。           一般现
XSS学习总结
bcbobo21cn的专栏
06-21 2277
XSS攻击常识及常见的XSS攻击脚本汇总 一、什么是XSS? XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现 了不被预期的脚本指令并执行时,XSS就发生了。 这里我们主要注意四点:1、目标网站目标用户;2、浏览器;3、不被预期;4、脚本。 二、XSS有什么危害? 当我
So eazy!SpringBoot一键去除参数前后空格和XSS过滤实战解析
最新发布
2401_84152189的博客
05-03 1052
《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!public void init(FilterConfig arg0) throws ServletException {}@Overridepublic void destroy() {}}复制代码添加参数过滤配置文件:import gc.cnnvd.framework.core.filter.ParamsFilter;import org.springframework.boot.web.servlet.
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4016
Springboot配置XSS过滤XssFilter
springMVC通过Filter实现防止xss注入
严老板的技术梦想博客
10-24 2145
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输...
在文件上传中防止Xss注入
fxtxz2的专栏
12-24 4181
上传文件流防XSS
Springboot使用CrosXssFilter防止sql注入xss攻击cros跨域等
程序员小明1024
12-19 949
.markdown-body { line-height: 1.75; font-weight: 400; font-size: 16px; overflow-x: hidden; color: rgba(51, 51, 51, 1) } .markdown-body h1, .markdown-body h2, .markdown-body h3, .markdown-body h4, .ma...
post攻击 xxs_如何拦截post请求xss攻击
weixin_42298093的博客
01-28 1222
publicclassXssHttpServletRequestWrapperextendsHttpServletRequestWrapper{//白名单数组privatestaticfinalString[]WHITE_LIST={"content"};//定义script的正则表达式privatestaticfinalStringREGEX_SCRIPT="...
spring实现登录注册(尚未彻底完善)
05-17
Spring提供了`@PostMapping`注解处理HTTP POST请求,以及`ModelMapper`等工具来映射模型对象。注册完成后,可以使用`PasswordEncoder`对密码进行加密存储,以增加安全性。 5. **权限控制** 授权是指决定用户是否能...
Spring Security Demo
06-21
它提供了全面的安全解决方案,包括用户认证、授权、会话管理以及防止常见的Web攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。 **核心组件** 1. **Filter Security Interceptor (FSI)**: FSI是Spring Security...
Javaweb 登录页面自动跳转
05-07
在JavaWeb开发中,登录页面自动跳转是一个常见的功能需求,它涉及到用户认证、会话管理以及URL重定向等核心概念。以下是对这个主题的详细解释: 1. **用户认证**:用户认证是验证用户身份的过程,通常在登录页面...
JAVA Web程序设计任务教程(黑马程序员、编著)课后习题1-15章课后习题答案.zip
11-11
Filter可以拦截请求和响应,实现如权限控制、内容过滤等功能。Listener可以监听特定的事件,如会话创建、销毁等,用于实现会话管理、应用初始化等。 6. **Spring框架**:Spring是Java Web开发中最常用的框架之一,...
Springboot过滤xss
Time_Point的博客
04-26 3201
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参出参
3月3的风筝
05-07 9082
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
springmvc使用过滤filter实现过滤XSS,SQL脚本等功能
chenghuagui9785的博客
05-31 1104
springmvc使用过滤filter实现过滤XSS,SQL脚本等功能,然后在初始化init方法加载需要过滤XSS,SQL脚本配置, package com.csair.csm.web.filter; import java.io.IOException; import java...
XSS过滤Filter实现全过程
热门推荐
qq_38118138的博客
06-21 1万+
XSS过滤Filter实现全过程 需求: 对用户输入的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端参数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5828
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2613
springboot增加xss过滤器,防止xss攻击
springcloudgateway实现XSS过滤
05-11
Spring Cloud Gateway可以通过编写自定义的过滤器实现XSS过滤。 首先,我们需要创建一个XSS过滤器类,实现`GlobalFilter`和`Ordered`接口: ```java @Component public class XssGlobalFilter implements GlobalFilter, Ordered { @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { ServerHttpRequest request = exchange.getRequest(); HttpHeaders headers = request.getHeaders(); MediaType contentType = headers.getContentType(); HttpMethod method = request.getMethod(); if (contentType != null && contentType.isCompatibleWith(MediaType.APPLICATION_JSON) && HttpMethod.POST.equals(method)) { return chain.filter(exchange.mutate().request(new XssServerHttpRequest(request)).build()); } return chain.filter(exchange); } @Override public int getOrder() { return -1; } } ``` 这里,我们首先判断请求的Content-Type是否为`application/json`,并且请求方法是否为POST,如果是,则将请求的`ServerHttpRequest`替换为我们自定义的`XssServerHttpRequest`,该类继承自`ServerHttpRequestDecorator`,在该类中对请求进行XSS过滤,代码如下: ```java public class XssServerHttpRequest extends ServerHttpRequestDecorator { public XssServerHttpRequest(ServerHttpRequest delegate) { super(delegate); } @Override public Flux<DataBuffer> getBody() { Flux<DataBuffer> body = super.getBody(); return body.map(dataBuffer -> { CharBuffer charBuffer = StandardCharsets.UTF_8.decode(dataBuffer.asByteBuffer()); String bodyContent = charBuffer.toString(); // 进行XSS过滤 String filteredBodyContent = Jsoup.clean(bodyContent, Whitelist.none()); byte[] bytes = filteredBodyContent.getBytes(StandardCharsets.UTF_8); DataBuffer buffer = new DefaultDataBufferFactory().wrap(bytes); DataBufferUtils.release(dataBuffer); return buffer; }); } } ``` 在该类中,我们首先将`DataBuffer`转换成`CharBuffer`,再将其转换成字符串,然后使用Jsoup对字符串进行XSS过滤,最后再将过滤后的字符串转换成`DataBuffer`返回。 最后,我们需要将这个过滤器添加到Spring Cloud Gateway的过滤器链中,在配置类中添加: ```java @Configuration public class GatewayConfig { @Bean public XssGlobalFilter xssGlobalFilter() { return new XssGlobalFilter(); } @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() // 添加自定义路由 .route(r -> r.path("/api/**").uri("lb://service-provider")) .build(); } } ``` 这样,当请求Content-Type为`application/json`,并且请求方法为POST时,请求体中的HTML标签就会被过滤掉,从而实现XSS过滤

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值