springboot增加XSS跨站脚本攻击防护功能

最新推荐文章于 2023-06-12 11:13:31 发布
最新推荐文章于 2023-06-12 11:13:31 发布
阅读量534 收藏
点赞数
分类专栏: java 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43596905/article/details/117015734
版权
本文介绍了如何在SpringBoot应用中防止XSS攻击。详细步骤包括:创建Filter类、设计xssHttpServletRequestWrapper以替换参数中的XSS代码、在配置类中注册Filter,并通过application.properties或application.yml设置接口忽略与过滤开关。
摘要由CSDN通过智能技术生成

参考 文章https://my.oschina.net/u/4407261/blog/3395458

XSS原理

xss攻击的原理是利用前后端校验不严格,用户将攻击代码植入到数据中提交到了后台,当这些数据在网页上被其他用户查看的时候触发攻击
举例:用户提交表单时把地址写成:山东省济南市<script>for(var i=0;i<9999;i++){alert(i)}</script>
上面的数据如果没有在后台做处理,当数据被展示到网页上的时候,会在网页上弹出N个alert框,当然实际攻击肯定是比这个要复杂的多的

SpringBoot防护

1.增加一个Filter类

import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class XssFilter implements Filter {
   

    private List<String> excludes = new ArrayList<>();

    private boolean enabled = false;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
   
        String strExcludes = filterConfig.getInitParameter("excludes");
        String strEnabled = filterConfig.getInitParameter("enabled");
        //将不需要xss过滤的接口添加到列表中
        if(StringUtils.isNotEmpty(strExcludes)){
   
            String[] urls = strExcludes.split(",");
            for(String url:urls){
   
                excludes.add(url);
            }
        }
        if(StringUtils.isNotEmpty(strEnabled)){
   
            enabled = Boolean.valueOf(strEnabled);
        }
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
   
        HttpServletRequest request = (HttpServletRequest) servletRequest;

        //如果该访问接口在排除列表里面则不拦截
        if(isExcludeUrl(request.getServletPath())){
   
            filterChain.doFilter(servletRequest,servletResponse);
            return;
        }
        //拦截该url并进行xss过滤
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(xssHttpServletRequestWrapper,servletResponse);

    }

    @Override
    public void destroy() {
   

    }

    private boolean isExcludeUrl(String urlPath){
   
        if(!enabled){
   
            //如果xss开关关闭了,则所有url都不拦截
            return true;
        }
        if(excludes==null||excludes.isEmpty()){
   
            return false;
        }

        String url = urlPath;
        for(String pattern:excludes){
   
            Pattern p = Pattern
最低0.47元/天 解锁文章
爱智慧的打工人
关注
专栏目录
Java XSS跨站脚本攻击防御
qq_37160920的博客
12-06 655
XSS简介: 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到获取cookie,恶意攻击用户的目的。例如url:http://127.0.0.1:8090/project/pages/bumenjiandu/index.jsp?skinType=wh...
SpringBoot打造坚固防线:轻松实现XSS攻击防御
最新发布
weixin_42132035的博客
07-06 2454
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
SpringBootXSS攻击
qq_40005100的博客
03-31 1232
Filter代码: import java.io.IOException; import java.util.regex.Matcher; import java.util.regex.Pattern; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; ...
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5659
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
SpringBoot 如何防护 XSS 攻击 ??
doxopcsdn的博客
06-12 1716
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击!SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;
CTF-BUUCTF-Web-EasySQL
qq_42404383的博客
12-30 3579
CTF-BUUCTF-Web-EasySQL 如题: 解题思路: EasySQL 新手恶补: 什么是SQL注入? SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还...
springboot整合XSS
03-20
XSS是一种常见的网络攻击方式,通过注入恶意脚本到网页中,来窃取用户数据或者执行恶意操作。 一、理解XSS攻击 XSS攻击主要分为三种类型:反射型、存储型和DOM型。反射型XSS发生在用户点击含有恶意脚本的链接时,...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
主要介绍了springboot2.x使用Jsoup防XSS攻击的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java框架,用于快速开发高效...
springboot 防御XSS 攻击的简单实现
july_young的博客
11-02 3645
import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * xss过滤器 */ @WebFilter(filterName="xssFilter",urlPa...
SpringBoot如何防止XSS攻击
u013269298的博客
03-06 2397
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
Springboot防止XSS跨站脚本攻击
菜狗小仪的博客
11-18 641
系统渗透测试时被监测存在可利用XSS漏洞,解决方法如下: 1、Maven引用 <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.13.1</version> </dependency> 2、HtmlFilter过滤类 使用Jsoup对相应内容进行过滤。 jsoup是一个HTML
Spring防止Xss配置
dianqi0560的博客
01-03 148
web.xml配置 &lt;!-- xss过滤器 --&gt; &lt;filter&gt; &lt;filter-name&gt;XssFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.zyyt.sipctask...
Spring Boot 如何防护 XSS + SQL 注入攻击 ?一文带你搞定!
黑科技的专栏
03-17 555
【代码】Spring Boot 如何防护 XSS + SQL 注入攻击?一文带你搞定!
SpringBoot防止Xss和Sql注入攻击过滤器
meser88的博客
11-08 1040
package org.demo.monitor; import com.ctrip.framework.apollo.model.ConfigChangeEvent; import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener; import lombok.extern.slf4j.Slf4j; import org.springframework.context.EnvironmentAware; im.
Java开发中防范XSS跨站脚本攻击策略
"XSS跨站脚本攻击Java开发中防范的方法" XSS(Cross-Site Scripting)攻击是Web应用程序普遍面临的一种安全威胁。它允许攻击者在受害者的浏览器中执行恶意脚本,通常通过注入恶意代码到合法的网页中实现。在Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值