XSS攻击 springboot项目修复

最新推荐文章于 2024-05-23 14:50:28 发布
最新推荐文章于 2024-05-23 14:50:28 发布
阅读量261 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ytrdgfdtr/article/details/118186494
版权

攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等内容

比如输入框 输入  x

页面会有弹出框

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;


public class XssFilter implements Filter {


    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        filterChain.doFilter(new XssHttpServletRequestWrapper(httpServletRequest) , servletResponse);
    }

    @Override
    public void destroy() {

    }
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * xss针对http请求的包装
 *
 * 
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXss(values[i]);
        }
        return encodedValues;

    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return cleanXss(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXss(value);
    }

    private String cleanXss(String value) {

        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");

        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");

        value = value.replaceAll("'", "& #39;");

        value = value.replaceAll("eval\\((.*)\\)", "");

        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        return value;

    }

}
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import javax.annotation.Resource;


@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    
    /**
     * xss过滤器
     */
    @Bean
    public FilterRegistrationBean<XssFilter> xssFilterFilterRegistrationBean() {
        FilterRegistrationBean<XssFilter> registration = new FilterRegistrationBean<>(new XssFilter());
        registration.addUrlPatterns("/*");
        return registration;
    }

}

赶紧去巡山
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 中防止 XSS 攻击
Fightevery的博客
07-05 1401
1. 什么是XSS攻击XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何防范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
Springboot 阻止XSS攻击
web13985085406的博客
08-02 763
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
SpringBoot中如何防止XSS攻击和sql注入
2302_77596945的博客
05-23 530
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
springboot整合XSS
03-20
springboot 整合预防xss攻击
springboot解决XSS存储型漏洞
weixin_42949219的博客
12-18 3111
在这个过滤器中监听XSSFilter,使用上面写的XssRequestWrappers来处理请求中的非法内容/**} }/**} }/**} }Filter;
Springboot项目XSS漏洞的解决方法
xiaopy_0508的博客
07-12 5152
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面中,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种 。特点:XSS主要基于JavaScript完成恶意的攻击行为,由于JS可以非
SpringBoot只需要几行代码,就可以防XSS攻击
passerbyYSQ
02-23 1043
前言 可能很多同学在学习过程中自己做项目,很容易忽略XSS攻击。网上不少博客的自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤。 防止XSS攻击,一般有两种做法: 1、转义 Spring有提供工具类HtmlUtils来实现转义。个人比较喜欢这种方式,所以下面代码均采用转义处理。 2、过滤敏感标签(将敏感标签去除) jsoup实现了非常强大的clean敏感标签的功能,但是我对jsoup了解并不多。 接下来的
xss漏洞攻击,Filter实现xss漏洞
化名三爷
07-18 1864
该文章主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper.java文件中的cleanSqlKeyWords方法为具体的Xss拦截逻辑,可根根据自己的需要进行完善 3,服务器白名单为单独的一个工具包,在文章最后给出 4,文章开发环境为JDK1.8,使用SpringBoot框架进行开发 5,
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
SpringBoot应用中配置XSSFilter,可以确保传入和传出的数据都经过安全处理,防止XSS攻击的发生。 配置XSSFilter通常涉及以下几个步骤: 1. 添加依赖:确保项目中已经包含了Spring Security或者类似的过滤器库,...
使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验
07-18
主要使用Filter针对Xss攻击,sql注入,服务器访问白名单,以及csrf进行安全校验 1,主要实现的是三大块功能:Xss攻击,sql注入,服务器白名单,以及csrf 2,此Filter为真实项目部署,在XssHttpServletRequestWrapper...
基于springboot的网上图书商城系统源码.zip
08-30
- **安全性**:使用Spring Security进行权限控制,防止SQL注入和XSS攻击。 5. **项目开发流程** - **需求分析**:明确系统功能,制定需求文档。 - **设计阶段**:进行系统设计,包括数据库设计、接口设计等。 ...
在spring boot中防止xss攻击的实现方案
程序员记事本
02-22 2118
【代码】在spring boot中防止xss攻击的实现方案。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
热门推荐
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
Springboot2.0防止XSS攻击的几种方式
changzhi9421的博客
12-03 670
Springboot2.0防止XSS攻击的几种方式 Springboot2.0防止XSS攻击的几种方式 在平时做项目代码开发的时候,很容易忽视XSS攻击的防护,网上有很多自定义全局拦截器来实现XSS过滤,其实不需要这么麻烦,SpringBoot留有不少钩子(扩展点),据此我们可以巧妙地实现全局的XSS过滤 防止XSS攻击,一般有两种做法: 转义 使用工具类HtmlUtils实现 过滤 将敏感标签去除 jsoup实现了非常强大的clean敏感标签的功能 转义 做法的三种实现: 转义方法一:注册自定义转换器
MVC WEB安全——XSS攻击防御
weixin_30237719的博客
06-21 93
XSS(跨站脚本攻击) 描述: 原理:攻击者往Web页面里插入恶意代码,当用户浏览该页之时,嵌入其中Web里面的代码会被执行,从而达到攻击用户的特殊目的。 类别: 1)被动注入(Passive Injection)。用户将恶意代码输入到表单中,保存到数据库,然后再显示在网站上; 2)主动注入(Active Injection)。用户将恶意代码输入到文本框中并将输入的...
SpringBootXss攻击
leveretz的博客
12-29 519
SpringBootXss攻击
Springboot 对应XSS漏洞类配置处理
喜欢猪猪
12-08 3258
}}= null) {)\\)");)\\)");)>(.*?)>(.*?)>(.*?)\\)");)\\\"");)\\\"");)>(.*?)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");)\\\"");
分包合同计量单.docx
最新发布
07-13
分包合同计量单.docx
springboot xss攻击防御
07-25
在Spring Boot中防御XSS攻击有以下几种方法: 1. 输入过滤:对用户输入的数据进行过滤,移除或转义特殊字符。可以使用HTML转义库,如`HtmlUtils.htmlEscape()`来转义用户输入的HTML字符。 2. 输出编码:在将用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值