SpringBoot 通过Mybatis 拦截器 实现HTML标签转义

最新推荐文章于 2023-07-20 16:04:30 发布
最新推荐文章于 2023-07-20 16:04:30 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: springBoot学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhouzhiwengang/article/details/105542353
版权

说到注入攻击(xss攻击),我看到baidu和google 上的实现方式,主要是分为以下几种:

第一种:通过Filter 过滤器转义请求参数携带的特殊字符(注意POST 和GET请求参数方法不一样)

第二种:通过配置SpringMVC 的MessageConverter<T>过滤请求参数携带的特殊字符

第三种:通过Mybatis 拦截器,拦截所有的insert和update 操作(请求参数特殊字符的转义),拦截所有的select 操作(查询 结果的反转)

重点讲解第三种实现方式:

核心功能代码:



import java.lang.reflect.Field;
import java.util.Properties;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.SqlCommandType;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Plugin;
import org.apache.ibatis.plugin.Signature;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.util.HtmlUtils;

/**
 * 加码特殊字符转义(html)
 *
 */
@Intercepts({ @Signature(type = Executor.class, method = "update", args = { MappedStatement.class, Object.class }) })
public class EncodeInterceptor implements Interceptor {
	// 日志记录
	public static final Logger log = LoggerFactory.getLogger(EncodeInterceptor.class);
	// 编码HTML(默认不开启)
	private boolean escapeHTML = false;

	// set 和 get 方法
	public boolean isEscapeHTML() {
		return escapeHTML;
	}

	public void setEscapeHTML(boolean escapeHTML) {
		this.escapeHTML = escapeHTML;
	}

	// 构造函数
	public EncodeInterceptor() {
		super();
	}

	public EncodeInterceptor(boolean escapeHTML) {
		super();
		this.escapeHTML = escapeHTML;
	}

	@Override
	public Object intercept(Invocation invocation) throws Throwable {
		MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];

		// 获取 SQL
		SqlCommandType sqlCommandType = mappedStatement.getSqlCommandType();

		// 获取参数
		Object parameter = invocation.getArgs()[1];
		
		if(this.escapeHTML){
			// 获取私有成员变量
			Field[] declaredFields = parameter.getClass().getDeclaredFields();
			
			for (Field field : declaredFields) {
				// 判断MySQL数据库操作:insert 或者 update
				if (SqlCommandType.INSERT.equals(sqlCommandType) || SqlCommandType.UPDATE.equals(sqlCommandType)) {
					// 判断是否开启--HTML转义(String 类型转义)
						if(field.getType() == String.class ){
							// 无视private/protected修饰符, 不经过setter函数.
							field.setAccessible(true);
							try {
								String value = (String)field.get(parameter);
								field.set(parameter, HtmlUtils.htmlEscape(value));
							} catch (IllegalAccessException e) {
								log.error(e.getMessage());
							}
						}
					
				}
			}
		}


		return invocation.proceed();
	}

	@Override
	public Object plugin(Object target) {
		// TODO Auto-generated method stub
		return Plugin.wrap(target, this);

	}

	@Override
	public void setProperties(Properties properties) {
		// TODO Auto-generated method stub

	}

}


import java.lang.reflect.Field;
import java.util.ArrayList;
import java.util.List;
import java.util.Properties;
import org.apache.commons.collections.CollectionUtils;
import org.apache.commons.lang.StringUtils;
import org.apache.ibatis.cache.CacheKey;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.mapping.SqlCommandType;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Plugin;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.web.util.HtmlUtils;
import com.digipower.ucas.domain.BusForm;
import com.digipower.ucas.vo.BusFormWrapper;

/**
 * 转义字符->特殊字符
 *
 */
@Intercepts({ 
	@Signature(type = Executor.class, method = "query", args = { MappedStatement.class, Object.class,RowBounds.class, ResultHandler.class }),
	@Signature(type = Executor.class, method = "query", args = { MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class })
})
public class DecodeInterceptor implements Interceptor {

	// 日志记录
	public static final Logger log = LoggerFactory.getLogger(EncodeInterceptor.class);
	// 编码HTML(默认不开启)
	private boolean escapeHTML = false;
	
	// 拦截指定Mapper
	private List<String> mappers;

	// set 和 get 方法
	public boolean isEscapeHTML() {
		return escapeHTML;
	}

	public void setEscapeHTML(boolean escapeHTML) {
		this.escapeHTML = escapeHTML;
	}
	
	public List<String> getMappers() {
		return mappers;
	}

	public void setMappers(List<String> mappers) {
		this.mappers = mappers;
	}

	// 构造函数
	public DecodeInterceptor() {
		super();
	}

	public DecodeInterceptor(boolean escapeHTML) {
		super();
		this.escapeHTML = escapeHTML;
	}
	
	public DecodeInterceptor(boolean escapeHTML, List<String> mappers) {
		super();
		this.escapeHTML = escapeHTML;
		this.mappers = mappers;
	}

	@Override
	public Object intercept(Invocation invocation) throws Throwable {
		// 拦截特定的查询mapper
				MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
				String mapper = mappedStatement.getId();
				// 获取 SQL
				SqlCommandType sqlCommandType = mappedStatement.getSqlCommandType();
				if (SqlCommandType.SELECT.equals(sqlCommandType)) {
			
						Object result = invocation.proceed();
						// 判断返回集合是否为array
						String name = result.getClass().getName();
						if(!StringUtils.isEmpty(name) && "java.util.ArrayList".equalsIgnoreCase(name)){
							ArrayList<Object> list = (ArrayList<Object>)result;
							if(list != null && list.size() > 0){
								for(Object obj : list){
									// 获取私有成员变量
									Class<?> clazz = obj.getClass();
									for (; clazz != Object.class; clazz = clazz.getSuperclass()) {//向上循环  遍历父类
										Field[] fields = clazz.getDeclaredFields();
										for (Field field : fields) {
											field.setAccessible(true);
											// 判断是否开启--HTML反转(String 类型转义)
											if (field.getType() == String.class) {
												// 无视private/protected修饰符, 不经过setter函数.
													field.setAccessible(true);
													try {
														String value = (String) field.get(obj);
														field.set(obj, HtmlUtils.htmlUnescape(value));
													} catch (IllegalAccessException e) {
														log.error(e.getMessage());
													}
											}
											
										}
									}
								}
							}
							return list;
							
						} else {
							// 获取私有成员变量
							Class<?> clazz = result.getClass();
							for (; clazz != Object.class; clazz = clazz.getSuperclass()) {//向上循环  遍历父类
								Field[] fields = clazz.getDeclaredFields();
								for (Field field : fields) {
									field.setAccessible(true);
									// 判断是否开启--HTML反转(String 类型转义)
									if (field.getType() == String.class) {
										// 无视private/protected修饰符, 不经过setter函数.
											field.setAccessible(true);
											try {
												String value = (String) field.get(result);
												field.set(result, HtmlUtils.htmlUnescape(value));
											} catch (IllegalAccessException e) {
												log.error(e.getMessage());
											}
									}
									
								}
							}
							return result;
						}
				}

		return invocation.proceed();
	}

	@Override
	public Object plugin(Object target) {
		// TODO Auto-generated method stub
		return Plugin.wrap(target, this);
	}

	@Override
	public void setProperties(Properties properties) {
		// TODO Auto-generated method stub
	}

}

SpringBoot 涉及MyBatis 配置文件:

@Configuration
public class MyBatisConfig {

	
	/**
	 * mybatis 自定义拦截器
	 * @return
	 */
	@Bean
	public DecodeInterceptor getDecodeInterceptor(@Value("${escapeHTML}") boolean escapeHTML, @Value("${unescapeHTML}") String unescapeHTML){
		DecodeInterceptor interceptor = null;
		if(StringUtils.isEmpty(unescapeHTML)){
			interceptor = new DecodeInterceptor(escapeHTML);
		}else {
			List<String> mappers = null;
			if(unescapeHTML.contains(",")){
				mappers = Arrays.asList(unescapeHTML.split(","));
			} else {
				mappers = Arrays.asList(new String[]{unescapeHTML});
			}
			interceptor = new DecodeInterceptor(escapeHTML, mappers);
		}
		return interceptor;
	}

	/**
	 * mybatis 自定义拦截器
	 * @return
	 */
	@Bean
	public EncodeInterceptor getEncodeInterceptor(@Value("${escapeHTML}") boolean escapeHTML){
		EncodeInterceptor interceptor = new EncodeInterceptor(escapeHTML);
		return interceptor;
	}
}

 

在奋斗的大道
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis中的CDATA标签转义
weixin_43830606的博客
07-05 1088
Mybatis的xml文件中写sql语句时,有时可能会有 “<” 、 “&” 字符等这些符号,但是mybatis的xml文件会将这些符号转义,在以往的操作中,如果要解决这个问题,就使用对应的转义符,如用&lt;代替<,具体转义符如下所示: 当然,也可以使用标签<![CDATA[ ]]>。将带有会被转义的符号的内容放在 <![CDATA[ 和...
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)
prisoneradvance的博客
03-06 1238
占位符
SpringBoot项目——字符转义
qq_41332719的博客
12-24 3045
情况描述 filebeat.yml 文件修改替换部分内容: filebeat.inputs: - type: log enabled: true paths: - {{path}} fields: index: {{index}} ip: {{host}} filebeat.config.modules: path: ${path.config}/modules.d/*.yml reload.enabled: false setup.template.settin
springboot拦截html页面元素,SpringBoot 拦截器 && 拦截之后返回前台自定义格式
weixin_36333122的博客
06-05 563
package com.pigs.springbootpigsinterceptor.interceptor;import com.alibaba.fastjson.JSON;import com.pigs.springbootpigsinterceptor.util.ResultUtil;import org.slf4j.Logger;import org.slf4j.LoggerFactory...
SpringBoot 使用Filter 解决Xss攻击 HTML标签转义
binglong180
07-03 2868
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 XSSFilter import javax.servlet.*; import javax.servlet.htt.
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
Mybatis自定义拦截器,对模糊查询传值的特殊字符(\,_,%)统一进行转义处理的代码
07-27
代码包含: EscapeUtil.java:特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%...
自定义拦截器
08-12
拦截器决定阻止Action的执行,可以通过返回特定值来实现。 创建自定义拦截器需要以下步骤: 1. 创建拦截器类:继承Struts2提供的`com.opensymphony.xwork2.interceptor.AbstractInterceptor`抽象类或实现`...
mybatis 模糊查询的实现方法
09-09
总结一下,MyBatis的模糊查询主要是通过`#`符号结合`%`通配符来实现的,它既保证了安全性,又提供了灵活的查询能力。在实际开发中,要根据具体需求选择合适的查询方式,并注意防止SQL注入问题。希望这篇介绍能帮助你...
SpringBoot整合Mybatis!!附带源码!!
goodipip的博客
06-12 631
1. 需要注意properties中的配置信息;2. 需要注意在启动类中加@MapperScan注解,表示让项目启动自动取扫描mapper所在的路径;3. 在删除操作中,删除成功后要重定向(redirect)到列表页面;4. 需要注意在页面中使用thymeleaf语法。
Springboot+mybatis+html实现商品的增删改查,在线商城系统源码
gapjun0722的博客
07-14 347
综上所述,通过结合Spring Boot、MyBatisHTML,我们可以实现一个简单的商品增删改查功能的在线商城系统。接下来,我们需要配置数据库连接信息,并创建相应的数据库表和实体类。在编写数据访问层代码之前,我们需要定义商品的实体类,包括商品的属性和对应的Getter/Setter方法。在上述代码中,我们定义了几个不同的请求映射,用于展示商品列表、商品详情、新增商品、编辑商品和删除商品的页面。这是一个简单的Mapper接口,定义了查询所有商品、根据ID查询商品、插入商品、更新商品和删除商品的方法。
mybatis存页面html的问题,SpringBoot+Mybatis+Mysql+Html实现的页面登录案例
weixin_36155560的博客
06-03 512
前言前段时间在网上看到了很多童鞋在学习Springboot,并且想找一个简单容易的案例来上手,但是上面的博客都是各种转载或者是代码不全的。这确实让新上手的同学很是烦恼,所以自己抽了个时间写了一个简单的小案例,希望大家一起来学习。这是一篇SpringBoot+Mybatis+Mysql+Html+Echart+Layui实现的页面登录简单案例各位老鸟可以略过其中童鞋可以忽略(+Echart+Layu...
Spring HtmlUtils把HTML编码转义,可将HTML标签互相转义
热门推荐
iechenyb专栏
10-27 1万+
Spring HtmlUtils把HTML编码转义,可将HTML标签互相转义 org.springframework.web.util.HtmlUtils 可以实现HTML标签转义字符之间的转换。  代码如下:  /** HTML转义 **/   String s = HtmlUtils.htmlEscape("hello world ");   System.o
springboot拦截html页面元素,微服务 SpringBoot 2.0(八):静态资源和拦截器处理
weixin_42398635的博客
06-05 748
一文搞清楚静态资源和拦截器 —— Java面试必修引言接触一个web项目,首先要确认的就是入口,所以静态资源和拦截器在项目中是架构级的,在第五章我们整合了Thymeleaf模块,初次认识了SpringBoot对静态资源的默认支持。今天我们来继续学习SpringBoot中如何合理的存放静态资源,如何根据我们自身需要来进行扩展资源和拦截器的扩展。在接下来的文章中,我在末尾处会公布源码,源码将托管在码...
SpringBoo+HTML——【整合】——项目思路
奔跑的狮子
02-26 707
一 前期准备: 1.引入pom包,springboot的parent,springboot-web,jquery,mybatis,jdbc,gosn等依赖 2.创建springboot的启动java文件 3.创建java目录结构controller、common、service、mapper、pojo、configuration 4.创建MyMvcConfig文件配置静态资源 5.配置applic...
MyBatis 中的转义
杨小熊学习笔记
10-09 5180
MyBatis 中的转义符 在使用MyBatis的时候,在xml的sql语句,不能直接使用大于号,小于号,而需要进行转义。常用的转义为: 原字符 转义后的字符 描述 &amp;lt; &amp;amp;lt; 小于 &amp;lt;= &amp;amp;lt;= 小于等于 &amp;gt; &amp;amp;gt; 大于 &amp;gt;= &amp;amp;
mybatis-plus 拦截器解决模糊查询特殊字符转义问题
weixin_45636743的博客
07-20 595
处理mybatis-plus 模糊查询特殊字符转义问题,使用mybatis-plus 3.4.2版本,实现 InnerInterceptor。遗留Bug,不支持foreach方式,打印的仍然没有替换!问题sql控制台打印。
springboot + mybatis 拦截器
最新发布
08-20
SpringBoot中使用Mybatis拦截器的方法有三种。 第一种方法是在启动项目时不会自动调用自定义拦截器的setProperties方法。可以通过在SpringBoot的配置类中使用@Bean注解进行配置。 第二种方法是在Mybatis核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值