So eazy,SpringBoot一键去除参数前后空格和XSS过滤实战解析

最新推荐文章于 2024-04-17 01:27:20 发布
最新推荐文章于 2024-04-17 01:27:20 发布
阅读量314 收藏
点赞数
文章标签: java 编程语言 程序人生 架构 架构师
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ygk004/article/details/121422766
版权
本文介绍了如何在SpringBoot中使用jsoup工具类进行参数前后空格的去除和XSS过滤。jsoup虽然能有效防止XSS攻击,但会将英文尖括号转义,可能影响数据存储。文章提供了实现Filter的ParamsFilter类和处理JSON参数的方法,并通过测试验证了过滤效果。
摘要由CSDN通过智能技术生成

去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号 <> 转义,到接口里面拿到的参数就变成了 <> ,存库里面的就是转义后的字符串了。取出来的时候需要转一下。

比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455

过滤处理了后,到后台接口里面就成了: [12<>3455]

如果上面的结果能接受,那么这个工具类就可以用。

引入依赖 jsoup

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.12.1</version>
</dependency>
复制代码

JsoupUtil.java 工具类:

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-08-19 15:47
 *
 * 描述: 过滤 HTML 标签中 XSS 代码
 */
public class JsoupUtil {
    /** 
     * 使用自带的 basicWithImages 白名单
     * 允许的便签有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img  
     * 以及 a 标签的 href,img 标签的 src,align,alt,height,width,title 属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /** 配置过滤化参数, 不对代码进行格式化 */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文本编辑时一些样式是使用 style 来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加 style 属性
        whitelist.addAttributes(":all", "style");
    }
    public static String clean(String content) {
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }
}
复制代码

首先是定义参数过滤器: ParamsFilter 实现 Filter 类

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Description : 参数过滤器
 *
 */
public class ParamsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1,
                         FilterChain arg2) throws IOException, ServletException {
        ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper(
                (HttpServletRequest) arg0);
        arg2.doFilter(parmsRequest, arg1);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }

}
复制代码

添加参数过滤配置文件:

import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.a
最低0.47元/天 解锁文章
热爱Java的分享家
关注
Java EasyExcel注解详解和实战案例
一碗清深的博客
03-12 640
本文将详细介绍Java EasyExcel注解的使用方法,并提供一个实战案例,帮助读者更好地理解和应用EasyExcel。
SpringBoot请求参数过滤空格
HealerJean梦想博客
09-29 2477
前言 博主github 博主个人博客http://blog.healerjean.com 1、参数修改SpaceHttpServletRequestWrapper public class SpaceHttpServletRequestWrapper extends HttpServletRequestWrapper { public SpaceHttpServletRequestWr...
SpringBoot-去除参数前后空格XSS过滤
种一棵树最好的时间是十年前,其次是现在。
09-05 977
去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了&lt;&gt;,存库里面的就是转义后的字符串了。取出来的时候需要转一下。 比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455 过滤处理了后,到后台接口里面就成了:[12&l
预防XSS攻击,(参数/响应值)特殊字符过滤
weixin_34200628的博客
12-17 1572
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phi...
springBoot 配置接收 String 参数时自动去除前后空格
weixin_45947759的博客
02-21 2669
ps:在接收String类型参数时,前后可能存在一些空格,如果未曾去除就直接保存的话,可能会对一些特殊的业务场景造成致命影响。为了杜绝这种情况,需要在接收参数时进行前后空格清除处理。
控制器接收参数空格
学海无涯,我用JAVA
08-04 379
开发中遇到一些特殊字段不能有空格的要求,后端需要对其进行处理,百度实践之后,奉上一个工具类,可以完美去掉参数中的空格。 原理就是利用反射机制,获取属性值并重新设置去空格之后的属性值 BeanHelper import java.lang.reflect.Field; import java.lang.reflect.Method; public class BeanHelper { /*...
So eazySpringBoot一键去除参数前后空格XSS过滤实战解析
最新发布
2401_83915450的博客
04-17 542
在这个部分总结了2019年到目前为止Java常见面试问题,取其面试核心编写成这份文档笔记,从中分析面试官的心理,摸清面试官的“套路”,可以说搞定90%以上的Java中高级面试没一点难度。本节总结的内容涵盖了:消息队列、Redis缓存、分库分表、读写分离、设计高并发系统、分布式系统、高可用系统、SpringCloud微服务架构等一系列互联网主流高级技术的知识点。(上述只是一个整体目录大纲,每个点里面都有如下所示的详细内容,从面试问题——分析面试官心理——剖析面试题——完美解答的一个过程)
So eazySpringBoot一键去除参数前后空格XSS过滤实战解析
ygk004的博客
12-12 331
去除XSS字符串需要借助工具类jsoup,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了<>,存库里面的就是转义后的字符串了。取出来的时候需要转一下。 比如前台传的参数传的是:12<>3<script>alter('11111111')</script>455 过滤处理了后,到后台接口里面就成了:[12<&gt...
自定义注解之参数空格
qq_35572013的博客
02-19 2348
package com.paic.phucp.console.annotations; import java.lang.annotation.ElementType; import java.lang.annotation.Retention; import java.lang.annotation.RetentionPolicy; import java.lang.annotation.Target; /** * <p>对请求参数所有的字符串参数剔除空格</p> * &l..
SpringBoot去除字符串类型参数的前后空格
淋雨一直走啊
09-07 7914
在实际的开发过程中,经常会使用String类型的参数,而用户提交给后端的字符串可以说五花八门,""," “,” 123456","123456 “,”  123456 "等等。如果不对这些空格进行处理,不仅会浪费存储空间,还会引起一些不必要的麻烦。 接收String类型的参数通常两种方式: ①.使用url或者form表单的形式 对于这种情况,我们在参数绑定时注册下面的类即可: @RestControllerAdvice public class GlobalHandler { private st
关于springboot去除参数中前后空格说明
酸奶盖儿的博客
04-22 6198
1. 需求 使用SpringBoot使用过滤去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再封装到对象中,正好项目中有这个需要,所以就参考别的做了Post请求中针对application/json格式的有@RequestBody注解的参数进行了去空格处理 2. 解决方法 2.1
狂神说:Springboot学习笔记(十一)——MVC自动配置原理
LeeBlog
11-10 520
狂神说原文链接 bilibili视频地址 文章目录 一、MVC自动配置原理 1.官网阅读 2.ContentNegotiatingViewResolver 内容协商视图解析器 3.转换器和格式化器 4.修改SpringBoot默认配置 5.全面接管SpringMVC 一、MVC自动配置原理 1.官网阅读 在进行项目编写前,我们还需要知道一个东西,就是SpringBoot对我们的SpringMVC还做了哪些配置,包括如何扩展,如何定制。 只有把这些都搞清楚了,我们在之后使用才会更..
Springboot自定义转换器实现参数空格功能
weixin_41270375的博客
11-13 3957
Springboot自定义转换器实现参数空格功能 1.自定义转换器类,实现Converter&lt;S, T&gt;类,重写convert()方法,直接上代码。 /** * 自定义转换器 * 去掉前后空格 * @author liuy * @version 2018年11月13日 */ public class CustomConverter implements Converter&lt;S...
springBoot过滤去除请求参数前后空格
技匠而已
10-27 3289
springBoot过滤去除请求参数前后空格 在一个阳光明媚的早晨,客服小姐姐甜美的声音照常的响起:”昨天客户平台数千条用户充值失败,钱打到客户手中了,但是订单生成失败“ 啊这…这……阳光逐渐暗淡,温馨的画面变成了黑白,甜美的声音也逐渐变的刺耳。脑子中出现了四个字【重大事故】 细细思索一番,昨天?? 近一周都没有了新版本上线,怎么昨天出现问题???? 带着满脑子问号冲向工位 迅速走过以下操作 不信任原则 迅速验证消息的真实性(消息属实) 查错误数据,查看数据范围,评定事故等级(还好:51条失败订单
spring boot 过滤去除请求参数前后空格
知了的博客
09-26 7952
         需求:去除用户表单参数中由于用户不小心输入的前后空格,防止因为前后空格原因引起业务异常          实现方式一:前端参数传入的时候去除首尾空格          实现方式二:后端接收参数参数处理,去除参数首尾空格后再做其他业务          实现方式三:利用Filter处理所有的请求,去除请求参数首尾空格重新写回            很明显实现方式一和...
SpringBoot配置过滤空值
y449739776的博客
07-18 485
SpringBoot配置过滤空值
SpringBoot-Controller入参去除前后空格
imVainiycos的博客
05-08 2874
面临测试需求存在着用户输入的参数前后空格需要统一做去除,所以找个通用的解决方案进行统一处理。若需要处理一些特殊字符,例如%字符会穿透like查询查出所有记录的解决方案,可以参考该文,
springboot使用AOP实现入参去空格处理
weixin_43799275的博客
07-25 1457
@Component @Aspect @Order(1) public class TrimAspect { // 定义切点 // 记录后台接口的操作记录 // 拦截Controller所在的包 @Pointcut("execution(* com.cloud.mes.api..*.*(..))") public void excudeService() { } @Before("excudeService()") public Objec
SpringBoot使用过滤过滤参数中的空格
Curtisjia的博客
12-25 1586
前言 最近项目中需要对前台提交的参数进行去空格,这种事本来应该前台做,但是我想如果前台做的话,所有input框都得进行trim代价太大,我就想着后台可不可以对提交的参数进行去空格,查了一下,可以使用过滤器进行实现。 代码 过滤器 import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.htt
eazy-sql报错注入
06-03
你好,很抱歉听到你的代码出现了...同时,在接收用户输入时,也应该进行必要的过滤和验证,确保输入的数据符合预期的格式和范围。 希望这些信息能帮到你解决问题。如果你还有其他问题或需要进一步的帮助,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值