springmvc 防止XSS攻击 && 特殊字符转义和方法入参检测工具类

最新推荐文章于 2024-05-31 10:59:06 发布
最新推荐文章于 2024-05-31 10:59:06 发布
阅读量6.6k 收藏 2
点赞数
分类专栏: spring 文章标签: spring mvc

两个博文地址:springmvc 防止XSS攻击 && 特殊字符转义和方法入参检测工具类
springmvc 防止XSS攻击 && 特殊字符转义和方法入参检测工具类

XSS攻击,即Cross Site Script,跨脚本攻击,往web页面注入html代码或者script代码,造成页面混乱。
spring mvc框架中,有很多编辑器,每个编辑器有不同的作用,防止XSS攻击,就用到PropertyEditorSupport编辑器
项目中继承该类,写一个StringEscapeEditor类防止脚本或者html代码
public class StringEscapeEditor extends PropertyEditorSupport {

private boolean escapeHTML;// 编码HTML
private boolean escapeJavaScript;// 编码javascript

public StringEscapeEditor() {
super();
}

public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript) {
super();
this.escapeHTML = escapeHTML;
this.escapeJavaScript = escapeJavaScript;
}

@Override
public String getAsText() {
Object value = getValue();
return value != null ? value.toString() : “”;
}

@Override
public void setAsText(String text) throws IllegalArgumentException {
if (text == null) {
setValue(null);
} else {
String value = text;
if (escapeHTML) {
value = HtmlUtils.htmlEscape(value);
System.out.println(“value:”+value);
}
if (escapeJavaScript) {
value = JavaScriptUtils.javaScriptEscape(value);
System.out.println(“value:”+value);
}
setValue(value);
}
}
然后绑定控制层就ok了,
在basecontroller中
@Controller
@RequestMapping(“/baseController”)
public class BaseController {

@InitBinder
public void initBinder(ServletRequestDataBinder binder) {
/**
* 自动转换日期类型的字段格式
*/
binder.registerCustomEditor(Date.class, new CustomDateEditor(new SimpleDateFormat(“yyyy-MM-dd HH:mm:ss”), true));

/**
* 防止XSS攻击
*/
binder.registerCustomEditor(String.class, new StringEscapeEditor(true, false));

}
其他控制层继承这个basecontroller就可以防止XSS攻击了。
不过只是post方式有效,get方式就没办法了

孤城幻夜
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springmvc4配置防止XSS攻击方法
04-05
配置防止XSS攻击方法尝试,其中包含可以对sql注入的方法解决。
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6336
描述 XSS(跨站脚本攻击) 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
StringEscapeUtils 工具特殊字符转码,防止xss攻击
mcband的博客
09-04 1367
防止xss存储型攻击
【护网必备】Spring综合漏洞的利用工具
最新发布
Fly_鹏程万里
05-31 261
复现了几个spring之前的漏洞,顺手就武器化了下,工具目前支持Spring Cloud Gateway RCE(CVE-2022-22947)、Spring Cloud Function SpEL RCE (CVE-2022-22963)、Spring Framework RCE (CVE-2022-22965) 的检测以及利用,目前仅为第一个版本,后续会添加更多漏洞POC,以及更多的持久化利用方式。
SpringMVC配置@Responsebody返回json不带转义字符
热门推荐
sqyNick
12-28 1万+
1.在spring-servlet.xml(主配置文件中添加) <bean id="mappingJacksonHttpMessageConverter" class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter" />
转义特殊字符防止xss攻击
逍遥的码农的博客
10-27 1387
function symbolEscape(text){ return text.replace(/[<>"&]/g, function(match, pos, originalText){ switch(match){ case "<": return "&lt;"; case ">":return "&gt;"; ..
【前端开发必知】HTML特殊字符转义及编码
等风来
08-25 9582
在 HTML 中,有一些特殊字符不可直接使用,需要使用转义字符或实体编码来表示。这是为了避免这些字符与 HTML 标签和语法产生冲突。同时,也是为了防范前端XSS。 例如,有些特殊字符(如 < 和 >)作为HTML标签的一部分,要是没有被特殊处理可能被恶意XSS。HTML的特殊字符转义及编码在防范跨站脚本攻击(Cross-Site Scripting, XSS)方面起到关键作用。XSS是一种常见的安全漏洞,攻击者通过在受信任网站上插入恶意脚本,使其在用户浏览器中执行。
防sql注入和xss攻击springmv拦截器
07-24
防sql注入和xss攻击springmv拦截器,可自由调整需要拦截的字符
SpringMVC文件上传和下载的工具类(完整项目)
07-22
本文主要目的是记录自己基于SpringMVC实现的文件上传和下载的工具类的编写,代码经过测试可以直接运行在以后的项目中。开发的主要思路是对上传和下载文件进行抽象,把上传和下载的核心功能抽取出来分装成类。
SpringMVC防止浏览器记住表单用户名称和密码的方法.docx
04-20
SpringMVC 防止浏览器记住表单用户名称和密码的方法 概述: 在 Web 开发中,浏览器的自动保存表单提交的用户名称和密码功能可以提高用户体验。但是,为了安全考虑,有时候需要清除浏览器这些行为。SpringMVC 提供...
SpringMVC3AndHibernate3 & springMVC集成DWR
04-03
- 使用`@Controller`、`@RequestMapping`等注解定义控制器类和处理方法。 2. **配置Hibernate** - 创建`hibernate.cfg.xml`配置文件,配置数据库连接、方言、缓存等。 - 定义实体类,并使用Hibernate注解如`@...
xss攻击突破转义_WEB安全之XSS攻击方式与防御方式
weixin_39520393的博客
11-21 869
上一期给大家简单介绍XSS以及其操作,本期将带大家了解XSS比较常见的攻击方式与防御方式,一起去了解一下~XSS 常见攻击方法1、绕过 XSS-Filter,利用 <> 标签注入 Html/JavaScript 代码;2、利用 HTML 标签的属性值进行 XSS 攻击。例如:<img src=“javascript:alert(‘xss’)”/>;(当然并不是所有的 Web...
XSS绕过经验总结
sli_ant的博客
07-06 4663
XSS绕过经验总结 1.概述 做过不少渗透测试,发现系统中有各式各样的拦截XSS的机制,这边分享一下绕过XSS的经验。 刚开始学习XSS时,可能一开始的攻击方式是将payload整理成字典,然后一个个尝试,或者是放到burpsuite中进行爆破,这个是非常直接而且挺有效果的方式,但是如果防御机制是直接将特殊字符进行转义时,可能这个效果就会比较差,因此我这里分享的经验时逐步进行分析的流程。 XSS攻击的流程: 1.观察输入的数据是否在页面有回显 2.判断XSS防御机制 3.构造XSSpayload 4.触发X
spring学习笔记】(二)Spring MVC注解配置 参数转换注解@RequestMapping@RequestParam、@PathVariable@MatrixVariable
qq_41358574的博客
06-23 581
Spring MVC项目中,<\context:component-scan>配置标签还会开启@Request-Mapping、@GetMapping等映射注解功能(也就是会注册RequestMappingHandler-Mapping和RequestMappingHandlerAdapter等请求映射和处理等组件),但是< context:component-scan>不支持数据转换或验证等注解功能。 Spring MVC提供了<\mvc:annotation-driven
xss php 转义_addslashes,htmlspecialchars,htmlentities转换或者转义php特殊字符防止xss攻击以及sql注入...
weixin_29137997的博客
03-09 534
一、转义或者转换的目的1.转义或者转换字符串防止sql注入2.转义或者转换字符防止html非过滤引起页面布局变化3.转义或者转换可以阻止javascript等脚本的xss攻击,避免出现类似恶意弹窗等等形式二、函数1. addslashes($str);此函数转义预定义的字符:单引号(‘),双引号(“),反斜线(\)与NULL(NULL字符)转义出现在html中的单引号(‘)和双引号(“),经...
记录一次修复XSS安全漏洞
weixin_44777693的博客
09-30 2737
前几天收到安全部门的邮件:你负责的项目有个XSS安全漏洞需要修复。我内心:安全知识倒是了解些,到底该怎么去修复,还是一头雾水。。。 什么是XSS呢? XSS漏洞为跨站脚本漏洞,分为反射型、持久型、DOM型。反射型漏洞的触发是用户点击了被篡改的URL,篡改的数据经前端传到后端后展示在前端,并在前端执行,受影响的是指定浏览器;持久型漏洞是用户输入非法内容,经前端上传到后端,并入库,后经后端传给前端,在前端执行,受影响的是任何访问指定连接的浏览器;DOM型漏洞是用户点击了被篡改的url,篡改后的数据直接...
【网络安全 / 前端 XSS 防护】一文带你了解 HTML 的特殊字符转义及编码
胡西风的博客
04-01 238
如果用户输入的内容未经过转义或编码处理,并且在个人简介页面上直接显示,那么攻击者可以在自我介绍中插入恶意 HTML 标签或属性。例如,当浏览器检测到页面中的特殊字符被正确转义或编码时,它们会将其视为纯文本,不会将其解析为 HTML 标签或脚本。转义时应考虑多重编码:当字符传输经过多个层级或环节时,确保在每个层级或环节上都进行了正确的编码和转义处理。这样,HTML 标签和属性不再被解析为可执行的代码,保护了页面和用户的安全。这样,URL 中的特殊字符转义为实体编码,防止了恶意代码的执行。
SpringMvc接受特殊符号参数被转义
weixin_34357267的博客
08-06 1554
WEB开发时,在前端通过get / post 方法传递参数的时候  如果实参附带特殊符号,后端接收到的值中特殊符号就会被转义 例如该请求: http://localhost:10001/demo/index.do?name=张三(1) 注:中文()不会出现此种情况 后台就收到的实际 name 值为:   张三&amp;#40;1&amp;#41; &amp;#40;其实为html中  ( ...
特殊字符的过滤,防止xss攻击
weixin_30809333的博客
08-16 1696
概念 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 项目环境 spring + struts2 +.....(仅列举相关的) 需求 防止xss攻击 分析 1.防止xss攻击,可以从...
SpringMVC工具类
09-09
SpringMVC工具类包括UriComponentsBuilder和MvcUriComponentsBuilder。UriComponentsBuilder是Spring提供的一个类,用于构建URL地址,并提供了一些方法来添加查询参数、路径变量等。MvcUriComponentsBuilder是在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值