Java 防止XSS攻击(Spring boot & Spring 方式)

已于 2022-05-05 12:20:34 修改
阅读量1.5k 收藏 6
点赞数
文章标签: java spring spring boot
于 2022-02-17 16:58:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43842853/article/details/122987054
版权

以下方式的pom依赖都基于hutool

        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.7</version>
        </dependency>

——SpringBoot

注解方式

  1. 过滤器
package com.xlj.xssdemo.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //使用包装器
        XssFilterWrapper xssFilterWrapper = new XssFilterWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssFilterWrapper, servletResponse);
    }

    @Override
    public void destroy() {
    }
}
  1. 包装器(真正过滤逻辑)
package com.xlj.xssdemo.filter;

import cn.hutool.core.util.EscapeUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssFilterWrapper  extends HttpServletRequestWrapper {
    public XssFilterWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return EscapeUtil.escape(super.getHeader(name));
    }

    @Override
    public String getQueryString() {
        return EscapeUtil.escape(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        return EscapeUtil.escape(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for(int i = 0; i < length; i++){
                escapseValues[i] = EscapeUtil.escape(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
}
  1. 启动类添加注解
package com.xlj.xssdemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.ServletComponentScan;

@SpringBootApplication
@ServletComponentScan(basePackages = "com.xlj.xssdemo.filter")
public class XssdemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(XssdemoApplication.class, args);
    }
}

配置类方式

  1. application.properties 开启xss配置
# XSS配置
xss.enabled=true
# 不过滤路径, 以逗号分割
xss.excludes=/open/*
# 过滤路径, 逗号分割
xss.urlPatterns=/*
  1. 过滤器配置
import cn.hutool.core.util.StrUtil;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import javax.servlet.DispatcherType;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class XssFilterConfig {
    @Value("${xss.enabled}")
    private String enabled;

    @Value("${xss.excludes}")
    private String excludes;

    @Value("${xss.urlPatterns}")
    private String urlPatterns;

    @SuppressWarnings({"rawtypes", "unchecked"})
    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new XssFilter());
        //添加过滤路径
        registration.addUrlPatterns(StrUtil.split(urlPatterns, ","));
        registration.setName("xssFilter");
        registration.setOrder(Integer.MAX_VALUE);
        //设置初始化参数
        Map<String, String> initParameters = new HashMap<>();
        initParameters.put("excludes", excludes);
        initParameters.put("enabled", enabled);
        registration.setInitParameters(initParameters);
        return registration;
    }
}
  1. 防止XSS攻击的过滤器
package com.xlj.xssdemo.filter;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //使用包装器
        XssFilterWrapper xssFilterWrapper = new XssFilterWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssFilterWrapper, servletResponse);
    }

    @Override
    public void destroy() {
    }
}
  1. XSS过滤处理
package com.xlj.xssdemo.filter;

import cn.hutool.core.util.EscapeUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssFilterWrapper  extends HttpServletRequestWrapper {
    public XssFilterWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return EscapeUtil.escape(super.getHeader(name));
    }

    @Override
    public String getQueryString() {
        return EscapeUtil.escape(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        return EscapeUtil.escape(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for(int i = 0; i < length; i++){
                escapseValues[i] = EscapeUtil.escape(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
}

——Spring

  1. 添加的 pom 依赖
        <dependency>
            <groupId>cn.hutool</groupId>
            <artifactId>hutool-all</artifactId>
            <version>5.3.7</version>
        </dependency>
  1. web.xml开启过滤配置
	<!-- 解决xss漏洞 -->
	<filter>
		<filter-name>xssFilter</filter-name>
		<filter-class>XXX.XssFilter</filter-class>
	</filter>
	<!-- 解决xss漏洞 -->
	<filter-mapping>
		<filter-name>xssFilter</filter-name>
		<url-pattern>*</url-pattern>
	</filter-mapping>
  1. 防止XSS攻击的过滤器
package com.ctrip.hotel.octopus.pdp.web.filter;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //使用包装器
        XssFilterWrapper xssFilterWrapper = new XssFilterWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssFilterWrapper, servletResponse);
    }

    @Override
    public void destroy() {
    }
}
  1. XSS过滤处理
package com.ctrip.hotel.octopus.pdp.web.filter;

import com.ctrip.vul.VulDef;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssFilterWrapper  extends HttpServletRequestWrapper {
    public XssFilterWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return EscapeUtil.escape(super.getHeader(name));
    }

    @Override
    public String getQueryString() {
        return EscapeUtil.escape(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        return EscapeUtil.escape(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if(values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for(int i = 0; i < length; i++){
                escapseValues[i] = EscapeUtil.escape(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
}
程序少年不秃头
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot +esapi 实现防止xss攻击 实战代码,真实有效
SpringCloud gateway 防止XSS漏洞
最新发布
qq_20236937的博客
01-31 1428
此外,面对XSS,往往要牺牲产品的便利性才能保证完全的安全,如何在安全和便利之间平衡也是一件需要考虑的事情。存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。DOM型XSS:不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS
奇安信安全扫描漏洞解决路径遍历和存储型xss和反射xss攻击漏洞
11-09
亲测可用,中级漏洞,解决服务器段请求伪造 final String forURL = ESAPI.encoder().encodeForURL(url); restTemplate.exchange(forURL, HttpMethod.GET,new HttpEntity<String>(headers), List.class, params);
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2484
springboot增加xss过滤器,防止xss攻击
开源项目——实现XSS过滤Cookie过滤拦截器(二)
CN華少的博客
08-23 1093
开源项目——实现XSS过滤Cookie过滤拦截器(二) 背景 日常我们开发人员在开发一些常用的平台时都会用到各种各样的接口,而对于这些接口的有效管理都会成为我们的一些麻烦事,一些常见的接口管理平台我们使用起来又不是很顺手,因此我想进行编写一个自己的API接口平台,用于我们日常的一些接口快速开发和管理共享使用。 里面会涉及到各类开发的知识,每项知识我们都会进行同步发布相应的学习记录文章,以便于想要学...
XSS攻击
12-21 688
目录 1 什么是XSS攻击? 2 解决思路 3 实现代码 3.1 springBoot项目(推荐) 3.1.1 yml配置文件中设置xss参数 3.1.2 自定义XssHttpServletRequestWrapper 3.1.3 自定义XssFilter过滤器 3.1.4 自定义FilterConfig配置类 3.1.5 引用类 3.1.6 参考开源项目 3.2 springMvc项目 3.2.1 自定义XssHttpServletRequestWrapper 3.2.2 自..
xss防护及sql注入
cyk_en5566的博客
03-31 528
xssFilter public class XssFilter implements Filter { /** * 排除链接 */ private List<String> excludes = new ArrayList<>(); /** * xss过滤开关 */ private boolean enabled = false; @Override public void init
Java中的10种方法防止XSS攻击
qq_28245087的博客
06-29 9035
这些方法包括输入验证和过滤、安全的HTML和URL编码、Content Security Policy(CSP)的使用、安全的模板引擎和富文本编辑器、用户输入的验证和限制、安全的Cookie设置以及防止跨站点请求伪造(CSRF)。通过实施这些方法,可以降低XSS攻击的风险,保护应用程序和用户的数据安全。通过使用安全的Cookie设置,您可以增加Web应用程序的安全性,保护用户的身份验证和敏感信息免受攻击和滥用。通过验证和限制用户输入,您可以增加应用程序的安全性和可靠性,防止潜在的安全漏洞和错误数据的影响。
Java防止XSS攻击
u010786200的博客
12-24 5872
方法一:转义存储:添加XssFilter 1.在web.xml添加过滤器: <!-- 解决xss漏洞 --> <filter> <filter-name>xssFilter</filter-name> <filter-class>XXXXXX.XssFilter</filter-class> </filter> <!-- 解决xss漏洞 --> ..
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7561
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
Could not resolve placeholder ‘XXX‘ in value “${XXX}“报错解决
热门推荐
fukeai的博客
12-29 2万+
问题概况: 代码确定无bug,但是切换新环境或者从远程仓库git后报错无法运行。 开发环境: IDEA 原因: 由于IDEA在识别文件夹类型时可能会有问题。尤其是切换空间、git代码、新建模块较多时经常出现。我们只需将文件夹类型设置正确即可。 解决: 将resources文件夹设置成资源文件夹,其他文件夹如果有问题,同理。 设置好后,文件夹图标发生发生变化,表示成功。 ...
JAVA----参数过滤器配置文件,配置参数,实现:防XSS,去掉参数左右空格
Damys
05-06 381
实现功能:防参数XSS攻击,去掉参数左右空格 ParamsFilterConfig 参数过滤配置文件 Configuration public class ParamsFilterConfig { @Value("${xss.enabled}") private String enabled; @Value("${xss.excludes}") private String excludes; @Value("${xss.urlPatterns}")
@WebFilter在SpringBoot无效的原因分析和解决
ffychina的专栏
11-19 6620
问题描述: 使用Ruoyi的demo部署成功后,发现js、css等静态文件都进入了过滤器,修改application.yml: xss: # 过滤开关 enabled: true # 排除链接(多个用逗号分隔) # 手动增加.*\\.css,.*\\.jpg,.*\\.js,.*\\.map,注意使用的是正则表达式 excludes: /system/notice/*,.*\...
xss攻击
weixin_44860933的博客
04-03 304
抵御Xss攻击:通过参数转义,将转义后的参数存入数据库即可,如“hutool”类库提供一些转义操作。1.导入hutool包。
spring boot防止xss攻击的实现方案
程序员记事本
02-22 1903
【代码】在spring boot防止xss攻击的实现方案。
【安全】 Java 过滤器 解决存储型xss攻击问题
DreamSun的博客
10-10 1918
跨站脚本( cross site script )为了避免与样式css(Cascading Style Sheets层叠样式表)混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞 ,也是web中最主流的攻击方式XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式
springboot 后端 防止xss攻击
05-31
为了防止XSS攻击Spring Boot后端可以采取以下措施: 1. 进行输入过滤和验证,比如对特殊字符进行转义,只允许特定的字符输入。 2. 使用安全的编码方式,比如HTML转义编码、URL编码等,确保输入的数据不会被误解释。 3. 在前端和后端都进行数据验证,前端可以对用户输入进行限制,后端也需要进行数据的验证和过滤。 4. 使用Spring Security框架对用户的输入进行过滤和验证,确保输入的数据符合预期的格式。 5. 对于输入的数据,进行白名单过滤,只允许特定的标签和属性,这样可以有效地避免XSS攻击。 需要注意的是,防止XSS攻击不仅仅是后端的责任,前端同样也需要做好相应的工作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序少年不秃头

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值