Java防止Xss注入json_【快学springboot】15、SpringBoot过滤XSS脚本攻击

最新推荐文章于 2023-05-18 11:49:59 发布
最新推荐文章于 2023-05-18 11:49:59 发布
阅读量356 收藏 1
点赞数
文章标签: Java防止Xss注入json

XSS攻击是什么

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。

如何避免XSS攻击

解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。

代码实现

对于过滤XSS脚本的代码,通过搜索引擎可以搜索到很多,但似乎都不是那么全面。基本上都是只能过滤querystring(表单类型)类型的入参,而不能过滤json类型的入参。其实,在现在的开发中,更多的是使用json类型做数据交互。下面就直接贴代码了:

新建XssAndSqlHttpServletRequestWrapper.java

import org.apache.commons.lang3.StringUtils;import org.apache.commons.text.StringEscapeUtils;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;/** * @author Happy * 防止XSS攻击 */public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper { private HttpServletRequest request; public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) { super(request); this.request = request; } @Override public String getParameter(String name) { String value = request.getParameter(name); if (!StringUtils.isEmpty(value)) { value = StringEscapeUtils.escapeHtml4(value); } return value; } @Override public String[] getParameterValues(String name) { String[] parameterValues = super.getParameterValues(name); if (parameterValues == null) { return null; } for (int i = 0; i < parameterValues.length; i++) { String value = parameterValues[i]; parameterValues[i] = StringEscapeUtils.escapeHtml4(value); } return parameterValues; }}

这里重写了两个方法:getParameter和getParameterValues,getParameter方法是直接通过request获得querystring类型的入参调用的方法。如果是通过springMVC注解类型来获得参数的话,走的是getParameterValues的方法。大家可以通过打印一个输出来验证一下。

StringEscapeUtils.escapeHtml4这个方法来自Apache的工具类,maven坐标如下:

org.apache.commons commons-text 1.4

新建XssFilter.java

过滤的代码写完了,下面就是在一个filter中应用该代码。

import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.databind.module.SimpleModule;import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Primary;import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;import org.springframework.stereotype.Component;import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServletRequest;import java.io.IOException;/** * @author Happy */@WebFilter@Componentpublic class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req); chain.doFilter(xssRequestWrapper, response); } @Override public void destroy() { } /** * 过滤json类型的 * @param builder * @return */ @Bean @Primary public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) { //解析器 ObjectMapper objectMapper = builder.createXmlMapper(false).build(); //注册xss解析器 SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer"); xssModule.addSerializer(new XssStringJsonSerializer()); objectMapper.registerModule(xssModule); //返回 return objectMapper; }}

过滤表单类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码:

新建XssStringJsonSerializer.java

代码如下:

import com.fasterxml.jackson.core.JsonGenerator;import com.fasterxml.jackson.databind.JsonSerializer;import com.fasterxml.jackson.databind.SerializerProvider;import org.apache.commons.text.StringEscapeUtils;import java.io.IOException;public class XssStringJsonSerializer extends JsonSerializer { @Override public Class handledType() { return String.class; } @Override public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException { if (value != null) { String encodedValue = StringEscapeUtils.escapeHtml4(value); jsonGenerator.writeString(encodedValue); } }}

这里是通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过第一种方法,重写getInputStream方法来实现,这里我就不做演示了(通过json类型传参会走getInputStream方法,通过重写该方法打印输出可以证明)。

测试

TestController.java

import org.springframework.web.bind.annotation.*;import org.springframework.web.multipart.MultipartFile;/** * @author Happy */@RestController@RequestMapping(value = "/test")public class TestController { @PostMapping(value = "/xss") public Object test(String name) { System.out.println(name); return name; } @PostMapping(value = "/json") public Object testJSON(@RequestBody Param param) { return param; } @GetMapping(value = "/query") public Object testQuery(String q){ return q; } @PostMapping(value = "/upload") public Object upload(MultipartFile file){ System.out.println(file.getOriginalFilename()); return "OK"; }}

下面通过postman测试下效果:

25938ef3fbac10161117752411b9522d.png
77f4438ef4ba49c49f023154651d96e3.png
f72d47aaa8beed667a4e7c866ff533e1.png

可以看到,js代码已经经过转义。转义过后的代码,即使前端读取过去了,也不会被浏览器执行的。

weixin_39841572
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java防止Xss注入json_Xss,基础与实战一步到位。
weixin_39630744的博客
10-28 346
在深入了解之前Xss之前,我们先来了解一下浏览器常用的安全策略吧。什么是源和同源策略源就是主机,协议,端口名的一个三元组。同源策略(Same Origin Policy, SOP)是Web应用程序的一种策略机制,该机制规定了应用程序代码可以访问的资源范围。同源策略的基本思想是,源自于某台服务器上的代码只能访问同一台服务器上的Web资源。重要的事情说三遍:它只是个机制,而不是标准(哪怕标准...
web渗透测试----16、JSON注入
七天
06-22 3484
文章目录一、JSON简介二、JSON注入三、JSON注入的防御 一、JSON简介 1、简介 JSON是一种轻量级的数据交换格式,易于阅读和编写,同时也易于机器解析和生成。它是基于Javascript的一个子集,JSON采用完全独立于语言的文本格式,但是也使用类似于C语言家族的习惯(C、C#、C++、JavaJavascript、Perl、Python等都可以使用JSON),这些特性使JSON成为理想的数据交换语言。 JSON可以将Javascript中的对象转换为字符串,然后在函数、网络之间传递这个字
java过滤脚本文件_Java过滤XSS脚本, 可通过Appscan扫描
weixin_35838019的博客
02-13 428
项目中有时会需要把一些报错或者解决方案直接返回给前端,如果直接返回原字符串, 可能会被恶意传参来实现xss注入.例如常规业务访问一个页面读取文件&file=sdf.cpt,如果文件不存在, 则页面返回没有找到sdf.cpt的报错.恶意传参即: &file=sdf.cptalert(123);, 这样页面会alert出来123;这时需要我们在后台对于一些报错进行去脚本话.一开始是用的...
java 跨站攻击脚本过滤工具类
qq_34874784的博客
11-23 392
java 跨站攻击脚本过滤工具类
java服务端过滤富文本恶意js脚本
qq_37913231的博客
10-26 491
java服务端过滤富文本恶意js脚本
java json injection_【缺陷周话】第40期:JSON 注入
weixin_31899235的博客
02-24 956
1、JSON 注入JSON注入是指应用程序所解析的JSON数据来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,如果应用程序使用未经验证的输入构造 JSON,则可以更改 JSON 数据的语义。在相对理想的情况下,攻击者可能会插入无关的元素,导致应用程序在解析 JSON数据时抛出异常。本文以JAVA语言源代码为例,分析“JSON注入”漏洞产生的原因以及修复方法。该漏洞的详细介绍请参...
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
xss_bomb:跨站点脚本命令和控制通知服务器
05-06
XSS_BOMB 轻松测试网站安全性。 xss_bomb是一款移动应用程序,旨在在远程目标上执行xss有效内容时通知您,并且您无法直接知道有效负载何时在目标设备上运行。 您可以在发布页面免费下载该应用程序。 如果您想了解...
script-escape:通过安全转义用于`中的值来防止XSS攻击` tags
05-22
脚本转义 通过安全转义要在[removed]标记中使用的值来防止XSS攻击。 var escape = require ( 'script-escape' ) ; // Safety first! escape ( JSON . stringify ( { test : '[removed]' } ) ) ;
基于Springboot的IT技术交流和分享平台.zip
最新发布
06-08
这包括用户认证和授权机制,如使用JWT(JSON Web Tokens)进行身份验证和权限控制,以及防止跨站脚本攻击XSS)和SQL注入等安全漏洞的措施。 API接口:平台提供了RESTful API接口,使得前端和移动端应用程序可以与...
xss-demo-react-mobx-todo:该项目旨在演示跨站点脚本攻击以及​​如何修复xss漏洞
05-16
在package.json添加以下行"jsesc": "^2.3.0"依赖项中的"jsesc": "^2.3.0"并执行npm i (或者) 安装jsesc使用npm install jsesc 第2步: 在src/client.js替换const initialState = window.initialState || {}; ...
Java防止Xss注入json_【知识点】6个XSS的防御小技巧
weixin_39580041的博客
11-20 455
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。作者:la...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?终于懂了!
芋艿V
03-30 593
点击上方“芋道源码”,选择“设为星标”管她前浪,还是后浪?能浪的浪,才是好浪!每天 10:33更新文章,每天掉亿点点头发...源码精品专栏原创 | Java 2021超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络应用框架 Netty 源码解析消息中间件 RocketMQ 源码解析数据库中间件 Sharding-JDBC 和 MyCAT 源码解析作业调度中间件 E...
php sql json防注入,代码审计 | ThinkPHP5漏洞分析之SQL注入(六)
weixin_35810162的博客
03-13 282
原标题:代码审计 | ThinkPHP5漏洞分析之SQL注入(六)ThinkPHPThinkPHP 漏洞分析,也将更新于 ThinkPHP-Vuln(https://github.com/Mochazz/ThinkPHP-Vuln) 项目上。本篇文章,将分析 ThinkPHPSQL注入漏洞 (所有 Mysql 聚合函数相关方法均存在注入)。本次漏洞存在于所有 Mysql 聚合函数相关方法。由于程序...
关于XSS脚本注入攻击和重定向攻击
qq_33642970的博客
01-07 1495
1.脚本注入攻击 例如: <SCRIPT SRC=http://***/XSS/xss.js></SCRIPT> <IMG SRC=”javascript:alert(‘XSS‘)”> 更多请参考: XSS脚本注入 - 美女爱找茬 - 博客园 (cnblogs.com) 那么怎么来预防这类攻击? 我们可以添加参数过滤,例如: 增加对get请求,form表单,json数据的过滤 将这五个文件导入项目即可 import org.springframew
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5068
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
Java防止Xss注入json_XSS的两种攻击方式及五种防御方式
weixin_39639518的博客
11-20 1599
XSS介绍跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:该攻击方式能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种反射型:是通过URL参数直接注入,一般是使用alert来...
Spring过滤json中的XSS
学医救不了中国人
10-24 6384
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1638
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 二、XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
xss 过滤双引号 json报错
09-08
XSS是一种跨站脚本攻击的方式,它可以通过注入恶意脚本代码,使得网页被篡改或者用户隐私信息被窃取。为了防止XSS攻击,常常需要对用户输入的内容进行过滤和转义处理。 双引号在JSON中一般用来表示字符串的开始和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值