SpringBoot防XSS攻击

最新推荐文章于 2024-07-06 22:22:11 发布
最新推荐文章于 2024-07-06 22:22:11 发布
阅读量2.7w 收藏 41
点赞数 6
分类专栏: Java SpringBoot 文章标签: Xss SpringBoot 拦截器 XSS攻击 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xingbaozhen1210/article/details/78860079
版权

1 . pom中增加依赖

<!-- xss过滤组件 -->
<dependency>
  <groupId>org.jsoup</groupId>
  <artifactId>jsoup</artifactId>
  <version>1.9.2</version>
</dependency>


2 . 增加标签处理类 

package com.xbz.utils;

import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

import java.io.IOException;

/**
 * xss非法标签过滤工具类
 * 过滤html中的xss字符
 * @author xbz
 */
public class JsoupUtil {

	/**
	 * 使用自带的basicWithImages 白名单
	 * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
	 * strike,strong,sub,sup,u,ul,img
	 * 以及a标签的href,img标签的src,align,alt,height,width,title属性
	 */
	private static final Whitelist whitelist = Whitelist.basicWithImages();
	/** 配置过滤化参数,不对代码进行格式化 */
	private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
	static {
		// 富文本编辑时一些样式是使用style来进行实现的
		// 比如红色字体 style="color:red;"
		// 所以需要给所有标签添加style属性
		whitelist.addAttributes(":all", "style");
	}

	public static String clean(String content) {
	    if(StringUtils.isNotBlank(content)){
	        content = content.trim();
        }
        return Jsoup.clean(content, "", whitelist, outputSettings);
	}
	
	public static void main(String[] args) throws IOException {
		String text = "   <a href=\"http://www.baidu.com/a\" οnclick=\"alert(1);\">sss</a><script>alert(0);</script>sss   ";
		System.out.println(clean(text));
	}
}


3 . 重写请求参数处理函数

package com.xbz.web.common.filter;

import com.xbz.utils.JsoupUtil;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


/** 
 * <code>{@link XssHttpServletRequestWrapper}</code>
 * @author
 */  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
    private boolean isIncludeRichText = false;
  
    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {  
        super(request);  
        orgRequest = request;
        this.isIncludeRichText = isIncludeRichText;
    }  
  
    /** 
    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> 
    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> 
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 
    */  
    @Override  
    public String getParameter(String name) {
        Boolean flag = ("content".equals(name) || name.endsWith("WithHtml"));
        if( flag && !isIncludeRichText){
            return super.getParameter(name);
        }
        name = JsoupUtil.clean(name);
        String value = super.getParameter(name);  
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value);
        }
        return value;  
    }  
    
    @Override
    public String[] getParameterValues(String name) {
    	String[] arr = super.getParameterValues(name);
    	if(arr != null){
    		for (int i=0;i<arr.length;i++) {
    			arr[i] = JsoupUtil.clean(arr[i]);
    		}
    	}
    	return arr;
    }
    
  
    /** 
    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> 
    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> 
    * getHeaderNames 也可能需要覆盖 
    */  
    @Override  
    public String getHeader(String name) {  
        name = JsoupUtil.clean(name);
        String value = super.getHeader(name);  
        if (StringUtils.isNotBlank(value)) {  
            value = JsoupUtil.clean(value); 
        }  
        return value;  
    }  
  
    /** 
    * 获取最原始的request 
    * 
    * @return 
    */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
    * 获取最原始的request的静态方法 
    * 
    * @return 
    */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
  
}


4 . 编写XSSFilter 

package com.xbz.web.common.filter;

import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
  
/** 
 * 拦截防止xss注入
 * 通过Jsoup过滤请求参数内的特定字符
 * @author yangwk 
 */  
public class XssFilter implements Filter {  
	private static final Logger logger = LogManager.getLogger();

	/**
	 * 是否过滤富文本内容
	 */
	private static boolean IS_INCLUDE_RICH_TEXT = false;
	
	public List<String> excludes = new ArrayList<>();
  
    @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {
    	if(logger.isDebugEnabled()){
  			logger.debug("xss filter is open");
  		}
  		
  		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
  		if(handleExcludeURL(req, resp)){
  			filterChain.doFilter(request, response);
			return;
		}
  		
  		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT);
  		filterChain.doFilter(xssRequest, response);
    }
    
    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {

		if (excludes == null || excludes.isEmpty()) {
			return false;
		}

		String url = request.getServletPath();
		for (String pattern : excludes) {
			Pattern p = Pattern.compile("^" + pattern);
			Matcher m = p.matcher(url);
			if (m.find()) {
				return true;
			}
		}

		return false;
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		if(logger.isDebugEnabled()){
			logger.debug("xss filter init ====================");
		}
		String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
		if(StringUtils.isNotBlank(isIncludeRichText)){
			IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
		}
		
		String temp = filterConfig.getInitParameter("excludes");
		if (temp != null) {
			String[] url = temp.split(",");
			for (int i = 0; url != null && i < url.length; i++) {
				excludes.add(url[i]);
			}
		}
	}

	@Override
	public void destroy() {}  
  
}




5 .  增加XSS配置

package com.xbz.web.common.config;

import com.xbz.web.common.filter.XssFilter;
import com.google.common.collect.Maps;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.Map;

@Configuration
public class XssConfig{

	/**
	 * xss过滤拦截器
	 */
	@Bean
	public FilterRegistrationBean xssFilterRegistrationBean() {
		FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
		filterRegistrationBean.setFilter(new XssFilter());
		filterRegistrationBean.setOrder(1);
		filterRegistrationBean.setEnabled(true);
		filterRegistrationBean.addUrlPatterns("/*");
		Map<String, String> initParameters = Maps.newHashMap();
		initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
		initParameters.put("isIncludeRichText", "true");
		filterRegistrationBean.setInitParameters(initParameters);
		return filterRegistrationBean;
	}
}

大功告成, 另外SpringMVC版本的XSS防范请参考另一篇文章SpringMVC防止XSS攻击

BlueKitty1210
关注
  • 6
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring boot xss
11-05
spring boot xss御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
springboot2.x使用JsoupXSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
SpringBootXss攻击
weixin_48040732的博客
11-11 5388
这里记录一下怎么Xss攻击的代码,等以后有需要用到的话,自己直接使用即可。里面有对application/json数据格式和非application/json数据格式做Xss攻击处理。
SpringBoot打造坚固线:轻松实现XSS攻击
最新发布
weixin_42132035的博客
07-06 1934
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS御。
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
SpringBoot XSS攻击
Wcybaonier
04-12 3542
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击。XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
SpringBoot 抵御XSS攻击
小青龙,创造,变强
02-27 663
SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击
SpringBoot +esapi 实现xss攻击 实战代码
11-25
SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS护。 首先,让我们了解ESAPI。ESAPI是一...
springboot整合XSS
03-20
XSS攻击主要分为三种类型:反射型、存储型和DOM型。反射型XSS发生在用户点击含有恶意脚本的链接时,恶意代码会立即执行。存储型XSS则是在用户提交的数据被存储到服务器,并在后续页面展示时执行。DOM型XSS则利用了...
SpringBoot整合XSS.zip
04-30
总结,通过SpringBoot整合XssFilter和Jsoup,我们可以有效地XSS攻击,保护Web应用的安全。同时,理解并实践良好的编程习惯和安全策略,对于预SQL注入等其他安全问题也至关重要。在实际项目中,应结合多种护...
XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot止跨站脚本(XSS)注入攻击
Sunshine_zjh的博客
06-20 3352
增加过滤器 package com.zjhang.filter; import com.zjhang.XssHttpServletRequestWrapper; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest;
springboot xss攻击的三种方式(SQL注入适用)
qq_38275707的博客
09-09 1634
文章目录拦截器自定义消息转码器注解+反射比较 XSS攻击和SQL注入,原理就不多说了,主要记录一下3种方式来避免 拦截器 主要是继承HttpServletRequestWrapper,然后重写里面的方法实现,再加上实现Filter达到拦截效果。其实转码方式可以直接用HtmlUtils.htmlEscape,但是getInputStream里面返回会有“\t”,会被转义,导致json格式不对,所以只能自己写转义方法 ,也可以不重写getInputStream,改为直接对json化工具动手,直接注入自定义的ob
SpringBoot通过AOP实现Xss攻击拦截
热门推荐
一恍过去
02-27 1万+
SpringBoot通过AOP实现Xss攻击拦截
SpringBoot如何XSS攻击
u013269298的博客
03-06 2354
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
【项目实战】Spring Boot项目抵御XSS攻击
apple_51673523的博客
11-22 3681
作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。
springboot xss攻击
07-25
在Spring Boot中XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户输入的数据展示到前端页面时,使用合适的编码方式来避免被浏览器解析为HTML标签。可以使用Thymeleaf模板引擎的`${variableName}`表达式来输出变量值,它会自动进行HTML编码。 3. 设置HTTP头:在响应中设置`X-XSS-Protection`头部字段,启用浏览器内置的XSS过滤器。可以通过设置该字段的值为`1; mode=block`来开启。 4. 使用安全框架:Spring Security是一个功能强大的安全框架,可以用于保护应用程序免受XSS攻击和其他安全威胁。通过配置Spring Security的规则和过滤器,可以对用户输入进行严格的验证和过滤。 5. 使用CSP:Content Security Policy (CSP)是一种安全策略,通过限制网页内容源的加载,减少XSS攻击的风险。在Spring Boot应用中,可以通过设置响应头`Content-Security-Policy`来启用CSP。 请注意,XSS攻击是一项综合性的工作,需要从多个方面进行护。以上方法只是其中的一部分,还需要根据具体情况和需求进行进一步的安全加固。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值