XSS的预防 – Hutool应用 – Spring提供解决方案

最新推荐文章于 2023-07-20 16:23:38 发布
最新推荐文章于 2023-07-20 16:23:38 发布
阅读量625 收藏 1
点赞数
文章标签: xss 前端 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45129599/article/details/128802508
版权

什么是XSS攻击?

跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户、服务器、别人服务器的目的。

举例:

  1. 个性签名中,容许200个字符,那么有的用户修改信息的时候就会植入H5的<script> 代码,比如常见的一些跳转。这些正常情况会被H5正常展示,但是<script>代码中有 超链接形式的内容,那么用户A在点击你的个性签名的时候,就会被迫跳转到一些页面。
  2. 你还有可能成为DDoS的肉鸡:针对热点站点、APP活动页面,伪造一个弹窗,一旦用户点击,就可以控制用户发大量请求。

这只是一个常见的XSS攻击,反正代码是运行在你的浏览器或者APP中,我可以随意获取你存储前端信息的地方(cookie,token等),伪造你的正常需要服务器校验操作,进而做出一些其他方式的攻击。所以XSS非常危险。

如何预防XSS?

XSS在前端表单中校验是没有任何意义的,如果前端的数据包被截胡、修改,一样会有XSS的攻击。必须在后台中进行二次校验!

前端处理,需要过滤服务器给的信息是否合规,双向过滤

方案一

Spring提供了一些特定的工具类供我们使用

import org.springframework.web.util.HtmlUtils;

转义:HtmlUtils.htmlEscape()

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String htmlEscape = HtmlUtils.htmlEscape(target);
        System.out.println(htmlEscape);

结果是
// &lt;script&gt;Hello &lt;/script&gt;World,&lt;a href=&#39;https://www.baidu.com&#39;&gt;点我跳转哦&lt;/a&gt;

反转义:HtmlUtils.htmlUnescape()

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String htmlEscape = HtmlUtils.htmlEscape(target);
        String htmlUnescape = HtmlUtils.htmlUnescape(htmlEscape);
        System.out.println(htmlUnescape);

结果是
// <script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>

方案二

Hutool包下的Xss解决方案

初始化字符串,实际是一个前端的Script 标签

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";

清除所有Html标签:cleanHtmlTag

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";        
        String cleanHtmlTag = HtmlUtil.cleanHtmlTag(target);
        System.out.println(cleanHtmlTag);
结果是
// Hello World,点我跳转哦

清除script标签:filter

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String filter = HtmlUtil.filter(target);
        System.out.println(filter);
结果是
// Hello World,<a href="https://www.baidu.com">点我跳转哦</a>

将HTML编码进行转义:escape

String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String escape = HtmlUtil.escape(target);
        System.out.println(escape);
结果是
// &lt;script&gt;Hello &lt;/script&gt;World,&lt;a href=&#039;https://www.baidu.com&#039;&gt;点我跳转哦&lt;/a&gt;

将HTML编码进行反转义:unescape

String unescape = HtmlUtil.unescape(escape);
        System.out.println("unescape 处理escape的结果是:\t" + unescape);
结果是
// <script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>
特殊说明: 以上文章,均是我实际操作,写出来的笔记资料,不会盗用别人文章!烦请各位,请勿直接盗用!转载记得标注来源!
程序之路2020/6/3
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
抵御即跨站脚本(XSS)攻击
Baridhu的博客
10-18 718
作为Web网站来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,那我们如何去防止这种事发生呢?看看这篇文章
JSP spring boot / cloud 使用filter防止XSS
10-19
主要介绍了JSP spring boot / cloud 使用filter防止XSS的相关资料,需要的朋友可以参考下
百度内部通用XSS攻击解决方案探讨培训ppt
03-20
百度内部通用XSS攻击解决方案探讨培训ppt
SpringBoot集成Hutool或mica防止XSS攻击实现
最新发布
toudousi的博客
07-20 1291
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
实战项目如何抵御即跨站脚本(XSS)攻击
一生烟雨的博客
12-04 1413
实战项目如何抵御即跨站脚本(XSS)攻击
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 2941
xss是跨站攻击脚本的简写。xss的攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网站更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
xss攻击
weixin_44860933的博客
04-03 326
抵御Xss攻击:通过参数转义,将转义后的参数存入数据库即可,如“hutool”类库提供一些转义操作。1.导入hutool包。
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1435
SpringBoot集成Hutool、mica防止XSS攻击实现
Web应用审计系统解决方案.docx
10-15
天玥网络安全审计系统-Web应用审计型产品是专门针对这些问题设计的解决方案。它可以旁路部署在Web应用系统的交换机上,通过分析网络流量,记录并分析用户的业务操作和系统反馈信息,以此来检测可能的违规、越权或...
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
xss解决方案.zip
03-13
本方案用以解决xss跨站脚本攻击,解决思路为常用的对request进行包装,重写request中的相关方法
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2583
springboot增加xss过滤器,防止xss攻击
后端抵御XSS攻击,使用继承HttpServletRequestWrapper,对request的内容进行转义
wuyang1115998756的博客
12-04 1208
java 转义 request请求内容 低于XSS工具(继承HttpServletRequestWrapper) 踩雷 org.springframework.http.converter.HttpMessageNotReadableException: JSON parse error。。。。。。。。。。。。。。。。。。。。。。。
XSS后台敏感操作(审计思路实现)
gl620321的博客
08-10 951
一、XSS后台敏感操作问题的审计 1、XSS是什么? XSS表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击中以以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,二在XSS攻击中,通过插入恶意脚本,实现对用户浏览器的控制。 2、XSS攻击可以分成两种类型 非持久性攻击:非持久性XSS攻击是一次性的,仅对当次的页面访问产生影响 持久性攻击:持久性XSS攻...
HTTP POST请求事故深度剖析
分享Java技术知识,共同成长进步!
10-08 1980
本文主要讲述的是如何根据公司网络架构和业务特点,锁定正常请求被误判为跨域的原因并解决。 一、问题描述 某一个业务后台在表单提交的时候,报跨域错误,具体如下图: 从图中可看出,报错原因为HTTP请求发送失败,由此,需先了解HTTP请求完整链路是什么。 HTTP请求一般经过3个关卡,分别为DNS、Nginx、Web服务器,具体流程如下图: 浏览器发送请求首先到达当地运营商DNS服务器,经过域名解析获取请求 IP 地址 浏览器获取 IP 地址后,发送HTTP请求到达Nginx,由Nginx反向代理到
Java后端XSS攻击防护和防止SQL注入
Logger
01-07 2767
最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。 SQL注入 一个SQL注入例子 我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的: String sql = "select * from USER where username= ' "+use...
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6330
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
Java解决XSS攻击方式
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
存储型XSS简介
热门推荐
seek_2022的博客
05-05 1万+
文章目录一、存储型XSS简介(一)存储型XSS的概念(二)存储型XSS攻击过程(三)打XSS的潜在风险二、XSS平台使用方法三、靶场实战 一、存储型XSS简介 (一)存储型XSS的概念 存储型XSS又称持久型XSS,攻击脚本将被永久地存放在目标服务器的数据库或文件中,具有很高的隐蔽性。反射型XSS的被攻击对象一般是攻击者去寻找的,就比如说:一个攻击者想盗取A的账号,那么攻击者就可以将一个含有反射型XSS的特制URL链接发送给A,然后用花言巧语诱骗A点击链接。当A不小心点进去时,就会立即受到XSS攻击。这种
HtmlUtil 函数讲解
05-05
HtmlUtil 是一个用于 HTML 编码和解码的工具类,可以帮助程序员在处理 HTML 内容时,更加方便地进行编码和解码操作。 具体来说,HtmlUtil 提供了以下方法: 1. `htmlEncode(String str)`:将字符串 str 进行 HTML 编码,将特殊字符转换为 HTML 实体,比如将 `<` 转换为 `<`。 2. `htmlDecode(String str)`:将字符串 str 进行 HTML 解码,将 HTML 实体转换为特殊字符,比如将 `<` 转换为 `<`。 3. `jsEscape(String str)`:将字符串 str 进行 JavaScript 编码,将特殊字符转换为 JavaScript 转义字符,比如将 `'` 转换为 `\'`。 4. `jsUnescape(String str)`:将字符串 str 进行 JavaScript 解码,将 JavaScript 转义字符转换为特殊字符,比如将 `\'` 转换为 `'`。 5. `urlEncode(String str)`:将字符串 str 进行 URL 编码,将特殊字符转换为 URL 编码,比如将空格转换为 `%20`。 6. `urlDecode(String str)`:将字符串 str 进行 URL 解码,将 URL 编码转换为特殊字符,比如将 `%20` 转换为空格。 这些方法可以帮助开发者在处理 HTML 内容时,避免出现特殊字符导致的问题,提高代码的可靠性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值