【SpringBoot】:AntiSamy入门案例

已于 2022-05-07 10:22:57 修改
阅读量422 收藏 1
点赞数 1
分类专栏: 【Spring】 文章标签: java xss
于 2022-04-30 23:00:00 首次发布

文章目录

前言

笔记目的为了认识该技术

  • XSS介绍:
    XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。

  • XSS攻击原理:
    HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。

  • AntiSamy介绍:
    AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。

  • AntiSamy的Maven坐标:

<dependency>
  <groupId>org.owasp.antisamy</groupId>
  <artifactId>antisamy</artifactId>
  <version>1.5.7</version>
</dependency>

第一步:创建maven工程antiSamy_demo并配置pom.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.2.RELEASE</version>
        <relativePath/>
    </parent>
    <groupId>org.example</groupId>
    <artifactId>antiSamy_demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.owasp.antisamy</groupId>
            <artifactId>antisamy</artifactId>
            <version>1.5.7</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
    </dependencies>

</project>

第二步:创建application.yml

第三步:创建策略文件/resources/antisamy-test.xml,文件内容可以从antisamy的jar包中获取

注:AntiSamy对“恶意代码”的过滤依赖于策略文件。策略文件规定了AntiSamy对各个标签、属性的处理方法,策略文件定义的严格与否,决定了AntiSamy对XSS漏洞的防御效果。在AntiSamy的jar包中,包含了几个常用的策略文件(拷贝antisamy-ebay.xml)
请添加图片描述

第四步:创建User实体类和UserController

@Data
public class User {
   
    private
最低0.47元/天 解锁文章
追yi个小太阳
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Antisamy(XSS防御)的学习
qq_461491877的博客
01-16 3404
Antisamy(XSS防御)的学习 此教程基于黑马程序员Java品达通用权限项目,哔哩哔哩链接:https://www.bilibili.com/video/BV1tw411f79E?p=55 1.XSS介绍 XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。 XSS攻
SpringBoot2.x 集成 AntiSamy 防御XSS攻击
RtxTitanV的博客
08-25 2580
AntiSamy是OWASP的一个开源项目,通过对用户输入的HTML、CSS、JavaScript等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。 XSS攻击全称为跨站脚本攻击(Cross Site Scripting),是一种在web应用中的计算机安全漏洞,它允许用户将恶意代码(如script脚本)植入到Web页面中,为了不和层叠样式表(Cascading Style Sheets, CSS)混淆,一般缩写为XSS。XSS分为以下两种类型
SpringBoot应用篇】SpringBoot集成AntiSamy防御XSS(跨站脚本攻击)--过滤器实现
输入技术、输出想法
12-29 1581
XSS:跨站脚本攻击(Cross Site Scripting),为不和 CSS混淆,故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。有点类似于sql注入。XSS攻击原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(
Antisamy 集成
small_MQ的博客
04-28 191
文章目录导入坐标写过滤器创建XssRequestWrapper 类配置类 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。 导入坐标 <dependency> <groupId>org.owasp.antisamy</groupId> <artifactId>antisamy&l
SpringBoot学习】25、SpringBoot 集成 kk-anti-reptile 实现反爬虫与防止接口盗刷
Tellsea
03-18 1525
文章目录一、反爬虫与防止接口盗刷(1)概述(2)系统要求(3)工作流程(4)验证码页面(5)接入使用(6)注意(7)配置一览表 一、反爬虫与防止接口盗刷 (1)概述 kk-anti-reptile 是适用于基于Springboot开发的系统的开源反爬虫接口防刷组件。 (2)系统要求 基于 spring-boot 开发(spring-boot1.x, spring-boot2.x 均可) 需要使用 redis (3)工作流程 kk-anti-reptile 使用 SpringMVC拦截器 对请求进行过滤,
SpringBoot:SpringBoot入门程序
03-31
SpringBoot是Java开发领域的一款热门框架,它由Pivotal团队维护,旨在简化Spring应用程序的初始搭建以及开发过程。SpringBoot的核心理念在于“约定优于配置”,通过自动配置和嵌入式服务器,使得开发者能够快速地...
Springboot:springboot-练习所用
05-14
这个项目"Springboot:springboot-练习所用"显然旨在帮助开发者通过实践来掌握SpringBoot的核心特性和使用方式。下面我们将深入探讨SpringBoot与数据库连接、数据源管理以及集成MyBatis的相关知识。 首先,...
ModbusTCP整合java springboot: 远程操控真机demo
01-19
写寄存器(每台内机占用 4 个寄存器) 1、开关设定 2、模式设定 3、温度设定 4、风速设定 读寄存器(每台内机占用 6 个寄存器) 1、开关查询 2、模式查询 3、温度查询 4、风速查询 ...6、故障查询
springboot+shiro入门案例
12-21
在本文中,我们将深入探讨如何使用SpringBoot与Apache Shiro框架构建一个入门级的应用案例。Apache Shiro是一款轻量级的...在这个入门案例中,你可以进一步探索这些概念并实践它们,从而掌握Shiro在实际项目中的应用。
springbootspringboot演示
02-11
在"springbootspringboot演示"这个项目中,我们可以看到一个基本的SpringBoot应用实例。SpringBoot入门通常从创建一个Maven或Gradle项目开始,这里可能使用的是Maven,因为文件名为`springboot-main`,这通常是...
XSS防御-使用AntiSamy配置文件
02-02
XSS防御-使用AntiSamy配置文件。 AntiSamy是OWASP的一个开源项目,通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理,确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
antisamy xml
09-29
XML简介参考 http://blog.csdn.net/zhoubiyin/article/details/78136096
常用antisamy策略文件
12-20
常用antisamy策略文件:antisamy-slashdot.xml 、antisamy-ebay.xml、antisamy-myspace.xml、antisamy-anythinggoes.xml、antisamy-tinymce.xml等。 详细介绍参见此文:http://blog.csdn.net/softwave/article/details/53761796
antisamy 策略文件
01-10
比较全的策略文件,antisamy是owasp组织的一个开源库,是一个可确保用户输入的HTML/CSS符合应用规范的API,参考:http://blog.csdn.net/raychiu757374816/article/details/79016101
XSS脚本攻击防御(Antisamy)(上)
Vi_error.nextval
01-11 1702
XSS脚本攻击防御(Antisamy)(上)由于公司的产品准备全面互联网化,所以就对安全问题进行了一系列的排查,排查过程中发现了xss脚本攻击的问题,开始着手了解和修改代码XSS脚本攻击防御Antisamy上 xss攻击的简单解释 通过开源项目Antisamy防御Xss攻击 引入Antisamy包 jar包中的xml文件 Antisamy项目使用xss攻击的简单解释 跨站脚本(Cross-sit
XSS 防御之 AntiSamy
chongdanshi5995的博客
06-19 405
1.前言 传统xss 防御的方式,可以是在前端或服务端进行手动特殊字符过滤,用户根据需要添加需要被处理的字符。这种方式的优点是方便简单,但缺点是,开发者很难穷举需要被过滤的特殊字符。所以有了 AntiSamy。 2.AntiSamy 简介 AntiSamy 是 OWASP 的一个开...
XSS脚本攻击防御(Antisamy)(下)
Vi_error.nextval
01-12 1268
上篇写了怎么使用antisamy防御xss脚本攻击,下篇简单分析一下antisamy过滤的原理。 基础步骤的分析 项目源码 扫描流程 html解析成dom的流程基础步骤的分析从上篇的最基础的实现逻辑分析具体的实现,下面这段最基础实现非常好理解,看注释就能知道实现步骤。//定义过滤的策略 Policy policy = Policy.getInstance("file"); //此处的file指使用的
使用AntiSamy防止XSS攻击
weixin_33898876的博客
07-12 153
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot入门到精通.pdf
最新发布
08-14
"Springboot入门到精通.pdf" Spring Boot 是一个由 Pivotal 团队创建的 Java 开发框架,它的目标是简化 Spring 应用的初始搭建以及开发过程。Spring Boot 不是为替换 Spring 而生,而是作为增强 Spring 开发者体验...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值