SpringBoot防Xss攻击

已于 2023-05-18 09:40:02 修改
阅读量5.6k 收藏 35
点赞数 8
分类专栏: SpringBoot篇 文章标签: spring boot xss java 后端 servlet
于 2022-11-11 10:56:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48040732/article/details/127799769
版权

SpringBoot防Xss攻击

说明

这几天自己学习了一下SpringBoot项目怎么预防Xss攻击,这里记录一下怎么防止Xss攻击的代码,等以后有需要用到的话,自己可以快速找到。

依赖

这里需要注意的是1.5到1.9版本有高危漏洞,需要升级到1.10.0以上版本,这是当前时间最新的版本。

		<!--commons-text工具包,用于xss攻击对特殊参数字符做转换,1.51.9版本有高危漏洞-->
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-text</artifactId>
            <version>1.10.0</version>
        </dependency>

项目文件结构

处理非application/json提交方式使用下面二个类:
XssFilter类,重写doFilter方法,然后调用XssHttpServletRequestWrapper类。
XssHttpServletRequestWrapper类,只能对提交方式为x-www-form-urlencoded和form-data做特殊字符转换,不能对提交方式为application/json的数据格式做转换,如果没有指定提交方式,浏览器默认提交方式为x-www-form-urlencoded。
处理application/json提交方式使用下面三个类:
XssStringJsonDeSerializer类,这个类主要是对前端传递的数据格式为json格式的参数进行特殊字符转义。
XssStringJsonSerializer类,这个类主要是处理后端向前端返回的json数据,将数据里面包含的特殊字符进行转义后发送。
JacksonConfig类,调用上面2个自定义的序列化类,没有这个配置类,上面的2个类不会生效。
在这里插入图片描述

未处理Xss前的效果

测试代码:
在这里插入图片描述
在谷歌浏览器直接输入接口请求测试如下:
看到它这里是直接弹窗打印了,想要的返回值应该是浏览器页面中返回的是值才对。
在这里插入图片描述

处理非application/json提交方式的xss代码

XssFilter类代码

package com.hjl.mall.filter;

import org.springframework.stereotype.Component;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * XSS过滤器
 */
@Component
public class XssFilter implements Filter {
	
	@Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
	
	//重写doFilter方法
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        /**
         * 1. 重写getParamter方法
         * 2. 在getParamter中判断属性,然后对特殊字符进行编码,使用官方提供的工具类.
         * 3. 继续提交请求
         */
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }

	@Override
    public void destroy() {
 
    }
}

XssHttpServletRequestWrapper类代码

package com.hjl.mall.filter;

import org.apache.commons.text.StringEscapeUtils;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.IOException;
import java.util.Objects;

/**
 * @ClassName XssHttpServletRequestWrapper
 * @Description 重写wrapper,只能对提交方式为x-www-form-urlencoded和form-data做特殊字符转换,不能对提交方式为json的数据格式做转换
 * @Version 1.0
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getHeader(String name) {
        return StringEscapeUtils.escapeHtml4(super.getHeader(name));
    }

    @Override
    public String getQueryString() {
        return StringEscapeUtils.escapeHtml4(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        return super.getInputStream();
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] parameterValues = super.getParameterValues(name);
        if (Objects.isNull(parameterValues)) {
            return null;
        }
        //对请求参数里面的特殊字符进行转义
        for (int i = 0; i < parameterValues.length; i++) {
            parameterValues[i] = StringEscapeUtils.escapeHtml4(parameterValues[i]);
        }

        return parameterValues;
    }
}

处理Xss后的效果

可以看到达到了自己想要的结果,没有弹窗显示了,直接将结果正确显示到了页面中。
在这里插入图片描述
转义后的值如下:
在这里插入图片描述
但是这样对于json格式的数据起不到作用,如下图,发现并没有对里面的<、>、"这三个特殊符号进行转义:
在这里插入图片描述

处理application/json提交方式的xss代码

XssStringJsonDeSerializer类代码

package com.hjl.mall.filter;

import java.io.IOException;

import org.apache.commons.text.StringEscapeUtils;

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;

/**
 * 对前端传递的数据格式为json格式的参数进行特殊字符转义
 */
public class XssStringJsonDeSerializer extends JsonDeserializer<String> {

    @Override
    public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
        //对json格式的参数值进行转义
        return StringEscapeUtils.escapeHtml4(jsonParser.getText());
    }
}

XssStringJsonSerializer类代码

package com.hjl.mall.filter;

import java.io.IOException;
import java.util.Objects;

import org.apache.commons.text.StringEscapeUtils;

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;

/**
 * 处理后端向前端返回的json数据,将数据进行转义后发送
 */
public class XssStringJsonSerializer extends JsonSerializer<String> {

    @Override
    public Class<String> handledType() {
        return String.class;
    }

    @Override
    public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        if (Objects.nonNull(value)) {
            //将json格式数据转义后发送给前端
            String encodedValue = StringEscapeUtils.escapeHtml4(value);
            jsonGenerator.writeString(encodedValue);
        }
    }
}

JacksonConfig类代码

package com.hjl.mall.config;

import com.hjl.mall.filter.XssStringJsonDeSerializer;
import com.hjl.mall.filter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;

/**
 * 对json格式数据做序列化和反序列化操作,防止xss攻击
 * XssFilter类
 * XssHttpServletRequestWrapper类
 * XssStringJsonDeSerializer类
 * XssStringJsonSerializer类
 * JacksonConfig类
 * 这5个类是一起的,都是用来防止xss攻击,前2个类是用来处理提交方式为x-www-form-urlencoded和form-data做特殊字符转换
 * 后面三类是对application/json提交方式做处理
 */
@Configuration
public class JacksonConfig implements WebMvcConfigurer{

    @Bean
    public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) {
        ObjectMapper objectMapper = builder.createXmlMapper(false).build();
        //注入自定义的序列化工具,将@RequestBody的json格式参数做转义处理
        SimpleModule simpleModule = new SimpleModule(XssStringJsonSerializer.class.getSimpleName());
        //只对入参json进行特殊字符转义
        simpleModule.addDeserializer(String.class, new XssStringJsonDeSerializer());
        //对返回给前端的json数据(特殊字符)进行转义,这里暂时注释掉,当前项目暂不需要对返回给前端的数据进行转义
        //simpleModule.addSerializer(String.class, new XssStringJsonSerializer());
        objectMapper.registerModule(simpleModule);
        return objectMapper;
    }
}

json格式处理Xss后的效果

测试代码:
在这里插入图片描述
因为是post请求,所以这里使用postman工具对接口进行测试:
发现已经转义成功。
在这里插入图片描述

注意事项(补充说明)

这个JacksonConfig类 里面的代码,我注释掉了对返回json数据格式做转义的处理。
在这里插入图片描述
不注释掉的话,会进行2次转义处理,效果如下:
它这里先是对入参<转义为&lt;,然后又将&lt;里面的&符合在返回给前端的时候又进行了一次转义,所以变成了&amp;lt;
在这里插入图片描述
这一种会出现这一种情况,我这里用txt简单写一个html页面代码:
在这里插入图片描述
然后我将txt后缀改为html,效果如下:
在这里插入图片描述
所以这里JacksonConfig类里面的XssStringJsonSerializer类调用需要根据自己的项目实际情况需要是否引用。
在这里插入图片描述
好了,笔记先做到这里,等以后自己有需要直接引用即可。

谁不想飞舞青春
关注
  • 8
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
springbootXSS 攻击
Fightevery的博客
07-05 1446
1. 什么是XSS攻击XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
Springboot 阻止XSS攻击
web13985085406的博客
08-02 816
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
详解XssSpringBoot Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 5620
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
SpringBoot打造坚固线:轻松实现XSS攻击
最新发布
weixin_42132035的博客
07-06 2230
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS御。
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
Spring Boot 如何XSS + SQL 注入攻击 ?终于懂了!
犬小哈
03-27 483
???? 欢迎加入小哈的星球,你将获得:专属的项目实战 / Java 学习路线 /一对一提问 / 学习打卡 / 赠书福利全栈前后端分离博客项目 2.0 版本完结啦,演示链接:http://116.62.199.48/,新项目正在酝酿中。全程手摸手,后端 + 前端全栈开发,从 0 到 1 讲解每个功能点开发步骤,1v1 答疑,直到项目上线。目前已更新了239小节,累计38w+字,讲解图:164...
spring boot xss
11-05
spring boot xss御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
springbootXSS攻击和sql注入
02-22 1919
springbootXSS攻击和sql注入
SpringBoot实战:轻松实现XSS攻击御(注解和过滤器)
weixin_73588491的博客
07-05 6843
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
SpringBoot +esapi 实现xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现xss攻击 实战代码
SpringBoot如何XSS攻击
u013269298的博客
03-06 2369
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
springboot整合XSS
03-20
springboot 整合预xss攻击
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
漏洞警告:SpringBoot 该如何预 XSS 攻击 ??
良月柒
10-31 187
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 10分钟。来自:blog.csdn.net/sinat_31420295/article/details/121519010写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这...
SpringBoot XSS攻击
Wcybaonier
04-12 3693
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
springboot xss攻击
07-25
Spring BootXSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户输入的数据展示到前端页面时,使用合适的编码方式来避免被浏览器解析为HTML标签。可以使用Thymeleaf模板引擎的`${variableName}`表达式来输出变量值,它会自动进行HTML编码。 3. 设置HTTP头:在响应中设置`X-XSS-Protection`头部字段,启用浏览器内置的XSS过滤器。可以通过设置该字段的值为`1; mode=block`来开启。 4. 使用安全框架:Spring Security是一个功能强大的安全框架,可以用于保护应用程序免受XSS攻击和其他安全威胁。通过配置Spring Security的规则和过滤器,可以对用户输入进行严格的验证和过滤。 5. 使用CSP:Content Security Policy (CSP)是一种安全策略,通过限制网页内容源的加载,减少XSS攻击的风险。在Spring Boot应用中,可以通过设置响应头`Content-Security-Policy`来启用CSP。 请注意,XSS攻击是一项综合性的工作,需要从多个方面进行护。以上方法只是其中的一部分,还需要根据具体情况和需求进行进一步的安全加固。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值