So eazy,SpringBoot一键去除参数前后空格和XSS过滤实战解析

最新推荐文章于 2024-04-24 12:46:56 发布
VIP文章 最新推荐文章于 2024-04-24 12:46:56 发布
阅读量294 收藏
点赞数
文章标签: java spring spring cloud 经验分享 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ygk004/article/details/121886604
版权

去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号 <> 转义,到接口里面拿到的参数就变成了 <> ,存库里面的就是转义后的字符串了。取出来的时候需要转一下。

比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455

过滤处理了后,到后台接口里面就成了: [12<>3455]

如果上面的结果能接受,那么这个工具类就可以用。

引入依赖 jsoup

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.12.1</version>
</dependency>
复制代码

JsoupUtil.java 工具类:

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-08-19 15:47
 *
 * 描述: 过滤 HTML 标签中 XSS 代码
 */
public class JsoupUtil {
    /** 
     * 使用自带的 basicWithImages 白名单
     * 允许的便签有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img  
     * 以及 a 标签的 href,img 标签的 src,align,alt,height,width,title 属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /** 配置过滤化参数, 不对代码进行格式化 */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文本编辑时一些样式是使用 style 来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加 style 属性
        whitelist.addAttributes(":all", "style");
    }
    public static String clean(String content) {
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }
}
复制代码

首先是定义参数过滤器: ParamsFilter 实现 Filter 类

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Description : 参数过滤器
 *
 */
public class ParamsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1,
                         FilterChain arg2) throws IOException, ServletException {
        ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper(
                (HttpServletRequest) arg0);
        arg2.doFilter(parmsRequest, arg1);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }

}
复制代码

添加参数过滤配置文件:

import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.a
最低0.47元/天 解锁文章
热爱Java的分享家
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
G-Eazy Wallpapers New Tab Theme-crx插件
03-17
在每个新标签页上都包含说唱歌手G-Eazy的高清图像 对于嘻哈说唱Hoodie Allen Childish Gambino和其他人的粉丝。 在每个新标签页上都包含说唱歌手G-Eazy的高清图像。 对于嘻哈,说唱,连帽衫艾伦,幼稚的甘比诺等人的...
ctfshow命令执行
njh18790816639的博客
04-14 1531
web29 error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 过滤了flag(无论大小写) 然后开始构造url http://d21fb9a4-ae00-4ab5-89a5-21dbe59eaa19.challenge.
spring aop实现日志录入
程序猿学社的博客
07-23 878
1. spring 配置 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:tx="http://...
springBoot 配置接收 String 参数时自动去除前后空格
weixin_45947759的博客
02-21 648
ps:在接收String类型参数时,前后可能存在一些空格,如果未曾去除就直接保存的话,可能会对一些特殊的业务场景造成致命影响。为了杜绝这种情况,需要在接收参数时进行前后空格清除处理。
springboot使用AOP实现入参去空格处理
weixin_43799275的博客
07-25 1329
@Component @Aspect @Order(1) public class TrimAspect { // 定义切点 // 记录后台接口的操作记录 // 拦截Controller所在的包 @Pointcut("execution(* com.cloud.mes.api..*.*(..))") public void excudeService() { } @Before("excudeService()") public Objec
SpringBoot-Controller入参去除前后空格
imVainiycos的博客
05-08 2421
面临测试需求存在着用户输入的参数前后空格需要统一做去除,所以找个通用的解决方案进行统一处理。若需要处理一些特殊字符,例如%字符会穿透like查询查出所有记录的解决方案,可以参考该文,
关于网络抓取连接释放不了报错的解决办法
sunweiking的博客
10-27 384
在客户端声明时加入以下代码即可 DefaultHttpClient client = new DefaultHttpClient();      ClientConnectionManager mgr = client.getConnectionManager();      HttpParams params = client.getParams();         
关于springboot去除参数中前后空格说明
酸奶盖儿的博客
04-22 5710
1. 需求 使用SpringBoot使用过滤去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再封装到对象中,正好项目中有这个需要,所以就参考别的做了Post请求中针对application/json格式的有@RequestBody注解的参数进行了去空格处理 2. 解决方法 2.1
SpringBoot-去除参数前后空格XSS过滤
种一棵树最好的时间是十年前,其次是现在。
09-05 891
去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了&lt;&gt;,存库里面的就是转义后的字符串了。取出来的时候需要转一下。 比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455 过滤处理了后,到后台接口里面就成了:[12&l
SpringBoot去除字符串类型参数的前后空格
淋雨一直走啊
09-07 7412
在实际的开发过程中,经常会使用String类型的参数,而用户提交给后端的字符串可以说五花八门,""," “,” 123456","123456 “,”  123456 "等等。如果不对这些空格进行处理,不仅会浪费存储空间,还会引起一些不必要的麻烦。 接收String类型的参数通常两种方式: ①.使用url或者form表单的形式 对于这种情况,我们在参数绑定时注册下面的类即可: @RestControllerAdvice public class GlobalHandler { private st
高能来袭!SpringBoot一键去除参数前后空格XSS过滤实战解析
m0_72101998的博客
06-20 1978
去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号 转义,到接口里面拿到的参数就变成了 ,存库里面的就是转义后的字符串了。取出来的时候需要转一下。比如前台传的参数传的是: 123alter('11111111')455过滤处理了后,到后台接口里面就成了: [123455]如果上面的结果能接受,那么这个工具类就可以用。引入依赖 jsoup ......
springboot使用过滤器,实现对请求参数空格处理
热门推荐
my博客
11-07 1万+
springboot添加过滤器有两种方式: 1、通过创建FilterRegistrationBean的方式(建议使用此种方式,统一管理,且通过注解的方式若不是本地调试,如果在filter中需要增加cookie可能会存在写不进前端情况) 2、通过注解@WebFilter的方式 通过创建FilterRegistrationBean的方式创建多个filter以及设置执行顺序: 1、创建两个实现Filt...
Api-Eazy-Sound-Manager.zip
09-18
Api-Eazy-Sound-Manager.zip,eazy sound manager是一个简单的unity3d工具,旨在使游戏中的声音和音乐管理更容易。eazy sound manager是一个简单的unity3d工具,旨在使游戏中的声音和音乐管理更容易。现在播放单个...
Eazy4U-开源
05-12
Eazy4U软件是一个简单易用的基于WebPHP编辑器,用于管理MySql数据库。功能是通过界面查看和创建表。其他功能包括添加,更新,删除和查询记录。
Nutch Eazy-开源
06-27
Provide an easy way to install and setup the web search engine, Nutch. NutchEz 顧名思義就是Nutch Easy,只要安裝NutchEz後就,再加上幾個指令,就可以輕鬆的產生出你自己的搜尋引擎囉! ...
Eazy Home-crx插件
04-04
语言:English 通过同时搜索您喜欢的网站来找到...Eazy Home使用简单,直观-选择国家/地区并选择所需的所有过滤器以找到理想的位置-启用或禁用要搜索的所有站点-单击按钮将立即在所有选定站点中搜索,打开一个站点标签
string模拟实现
m0_73969414的博客
04-23 918
c++中string的模拟实现,面试必会知识点
【1524】java投票管理系统Myeclipse开发mysql数据库web结构java编程计算机网页项目
qq_251836457的博客
04-18 886
2、开发环境为TOMCAT7.0,Myeclipse8.5开发,数据库为Mysql5.0,使用java语言开发。(5)投票选项管理:对投票选项信息进行添加、删除、修改和查看。(6)投票记录管理:对投票记录信息进行添加、删除、修改和查看。(1)管理员管理:对管理员信息进行添加、删除、修改和查看。(2)用户管理:对用户信息进行添加、删除、修改和查看。(3)公告管理:对公告信息进行添加、删除、修改和查看。(4)投票管理:对投票信息进行添加、删除、修改和查看。4)投票浏览查看、查看投票、投票记录。
PageHelper实现分页查询
最新发布
m0_63849044的博客
04-24 666
这行代码是在使用 MyBatis Generator (MBG) 或类似的 MyBatis 工具生成的代码来构建查询条件。(可能是MyBatis的Mapper接口)来执行基于前面定义的查询条件的查询,并获取结果列表。实例之后会被用来设置各种查询条件,如字段的等于、不等于、大于、小于、模糊查询等。实体类生成的辅助类,它通常包含了一些静态内部类和方法,用于构建查询条件。在MyBatis中,这样的对象通常用于构建查询条件。对象,可能用于作为查询条件)。的一个内部类,用于定义查询的具体条件。
eazy-sql报错注入
06-03
你好,很抱歉听到你的代码出现了...同时,在接收用户输入时,也应该进行必要的过滤和验证,确保输入的数据符合预期的格式和范围。 希望这些信息能帮到你解决问题。如果你还有其他问题或需要进一步的帮助,请随时问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值