springboot经验之sql注入、xss注入拦截(POST)

最新推荐文章于 2025-06-05 09:31:37 发布
最新推荐文章于 2025-06-05 09:31:37 发布
阅读量4.2k 收藏 14
点赞数
CC 4.0 BY-SA版权
分类专栏: springcloud技术分享 springcloud 文章标签: sql注入 xss注入 springboot POST
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lp19861126/article/details/104228389

简介

sql注入、xss注入、cors攻击的简介以及解决方案,可以参考下面链接:
https://blog.csdn.net/yhhyhhyhhyhh/article/details/84504487
这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql,
而通常拦截参数都只有针对GET方法,下面介绍下POST方法

POST防注入方案

1、增加httprequest包装类


import java.io.BufferedReader;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.io.InputStreamReader;
import java.util.*;
import java.util.regex.Pattern;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.util.StreamUtils;

@Slf4j
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private static String key = "and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|;|or|-|+";
    private static Set<String> notAllowedKeyWords = new HashSet<String>(0);
    static {
        String keyStr[] = key.split("\\|");
        for (String str : keyStr) {
            notAllowedKeyWords.add(str);
        }
    }
    HttpServletRequest orgRequest = null;
    private Map<String, String[]> parameterMap;
    private final byte[] body; //用于保存读取body中数据

    public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) throws IOException{
        super(request);
        orgRequest = request;
        parameterMap = request.getParameterMap();
        body = StreamUtils.copyToByteArray(request.getInputStream());
    }

    // 重写几个HttpServletRequestWrapper中的方法
    /**
     * 获取所有参数名
     *
     * @return 返回所有参数名
     */
    @Override
    public Enumeration<String> getParameterNames() {
        Vector<String> vector = new Vector<String>(parameterMap.keySet());
        return vector.elements();
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss & sql过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String[] results = parameterMap.get(name);
        if (results == null || results.length <= 0)
            return null;
        else {
            String value = results[0];
            if (value != null) {
                value = xssEncode(value);
            }
            return value;
        }
    }

    /**
     * 获取指定参数名的所有值的数组,如:checkbox的所有数据 接收数组变量 ,如checkobx类型
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] results = parameterMap.get(name);
        if (results == null || results.length <= 0)
            return null;
        else {
            int length = results.length;
            for (int i = 0; i < length; i++) {
                results[i] = xssEncode(results[i]);
            }
            return results;
        }
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss & sql过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {

        String value = super.getHeader(xssEncode(name));
        if (value != null) {
            value = xssEncode(value)
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Cloud Gateway 实现XSSSQL注入拦截
BUG指挥课堂
04-06 4823
创建Filter 实现GlobalFilter, Ordered @Slf4j @Component public class SqLinjectionFilter implements GlobalFilter, Ordered { @SneakyThrows @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain){ // grab config
防止XSSSQL注入:后端输入验证终极方案
最新发布
架构师的AI之路,分享AI应用开发架构的学习与实践。
06-10 816
在互联网世界中,用户输入是系统与外界交互的“大门”,但这扇门也可能成为黑客的“突破口”。据OWASP(开放Web应用安全项目)2023年报告,XSS跨站脚本攻击和SQL注入连续10年稳居“Web应用十大安全漏洞”前两名,每年因这两类漏洞导致的数据泄露、系统瘫痪等事件造成的经济损失超百亿美元。XSSSQL注入的攻击原理与典型场景为什么前端验证无法替代后端验证?后端输入验证的三大核心方法(白名单、正则、转义)从代码实现到项目落地的完整防护方案用“快递安检”故事引出输入验证的重要性。
SpringBoot中如何防止XSS攻击和sql注入
2302_77596945的博客
05-23 1940
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
Springboot 阻止XSS攻击
web13985085406的博客
08-02 991
写此文章的目的是为了记录一下在工作中解决的XSS漏洞问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做??,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。就是注意要分情况处理。拦截器处理一部分,并注意拦截器的注册方式Jackson的方式处理另一部分,也是注意配置方式让我们共同进步。...
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!
Python84310366的博客
06-05 949
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。
使用filter过滤xss攻击
lionzl的专栏
12-02 1550
使用filter过滤xss攻击 博客分类:  技术人生 filter实现脚注入攻击过滤源码    先说一下实现思路: 1. 使用正则表达式的方式实现脚本过滤,这个方法准确率较高,但是可能根据不能的要求会变动; 2. 为了保证配置灵活(包括正则表达式灵活),使用xml配置文件的方式记录配置信息,配置信息包含是否开启校验、是否记录日志、是否中断请求、是否替
SpringBoot防止XssSql注入攻击过滤器
meser88的博客
11-08 1133
package org.demo.monitor; import com.ctrip.framework.apollo.model.ConfigChangeEvent; import com.ctrip.framework.apollo.spring.annotation.ApolloConfigChangeListener; import lombok.extern.slf4j.Slf4j; import org.springframework.context.EnvironmentAware; im.
springboot防止XSS攻击&&SQL防注入
qq_41798504的博客
04-14 1292
SpringBoot下通过过滤器实现对Xss攻击和Sql注入
SpringBoot过滤器获取POST请求的JSON参数
林北
12-19 9481
​ 项目中需要将每个请求的路径和请求参数以及响应结果,都记录在日志中,这样在出现问题时可以快速定位是哪里出现了问题。想到了使用过滤器来实现这个功能,当请求来到过滤器时,会有一个Request参数,通过该参数就能获取到请求路径和请求参数,以及相关内容 parameterMap = httpRequest.getParameterMap(); String requestMethod = httpRequest.getMethod(); String remoteAddr = httpRequest.getR
Spring-Cloud-Gateway-实现XSSSQL注入拦截
lbmydream的博客
06-06 2622
XSSSQL注入是Web应用中常见计算机安全漏洞,文章主要分享通过Spring Cloud Gateway 全局过滤器对XSSSQL注入进行安全防范。写这篇文章也是因为项目在经过安全组进行安全巡检时发现项目存储该漏洞后进行系统整改,本文的运行结果是经过安全组验证通过。
【ASP.NET编程知识】ASP.NET过滤类SqlFilter,防止SQL注入 .docx
05-19
在现代网络技术迅速发展的今天,网络安全问题愈发受到重视,其中SQL注入攻击是一种非常严重的安全威胁,尤其对于使用ASP.NET技术构建的应用程序。SQL注入允许攻击者通过输入恶意构造的SQL代码片段,使得应用程序执行...
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot 之 SpringMVC 实现SQL注入过滤 完整版(支持POST请求和GET请求)
zhouzhiwengang的专栏
09-19 4940
首先请参考:SpringBoot 之 SpringMVC拦截器从Request中获取参数并解决request的请求流只能读取一次的问题 参考完上面的代码,现在开始编辑SQL注入拦截器,核心功能代码如下: package com.digipower.erms.interceptor; import java.io.BufferedReader; import java.io.InputStr...
SpringBootPost请求参数过滤SQL防止注入
cszzl123的博客
09-15 1087
【代码】SpringBootPost请求参数过滤SQL防止注入
Springboot过滤器,过滤相应的方法接口和对POST数据的拦截并通过文件上传
黑科技的专栏
07-09 1186
import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; @Slf4j @Component @WebFilte..
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3669
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
SpringBoot 防御Xss基本攻击之Filter拦截
代码缔造者的博客
06-07 9276
什么是Xss 答:百度百科中有详细介绍:https://baike.baidu.com/item/xss/917356 方案 建立过滤器将页面含有sql 或者js 脚本语句语句过滤掉再去请求到服务端接口。 步骤 SpringBoot pom.xml 引入 <dependency> <groupId>org.apache.commons&...
SpringBoot拦截XSS攻击
link88889的博客
03-16 243
<!--XSS 安全过滤--> <dependency> <groupId>net.dreamlu</groupId> <artifactId>mica-core</artifactId> <version>2.0.9-GA</version> </dependency> <dependency> <groupId>net.dreamlu&l
springboot下Filter的POST和GET过滤参数
SmallTenMr的博客
09-20 7000
//定义一个filter过滤器 import org.apache.commons.lang.StringUtils; import org.springframework.stereotype.Component; import org.apache.commons.lang.StringEscapeUtils; import javax.servlet.*; import javax....
nginx拦截post方式sql注入
03-29
<think>好的,我现在需要帮助用户解决如何配置Nginx来拦截通过POST方式提交的SQL注入攻击。首先,我得回想一下Nginx的相关配置,特别是关于处理POST请求和防止SQL注入的部分。 用户提到他们想拦截POST请求中的SQL注入,这可能需要检查请求体中的内容。Nginx默认情况下不会处理POST数据,因为它的body数据可能很大,处理起来会影响性能。不过,可以通过一些模块或者配置来实现这个需求。 首先,我记得Nginx的ngx_http_rewrite_module模块可以用来重写请求,但可能不够。可能需要用到ngx_http_lua_module来执行Lua脚本,这样可以更灵活地检查请求体。另外,可能需要设置client_body_buffer_size和client_body_in_file_only来将请求体保存到文件中,以便后续处理。 接下来,具体的配置步骤可能包括:配置Nginx以捕获POST数据,然后使用正则表达式匹配常见的SQL注入模式,比如单引号、分号、union select等关键词。例如,在location块中添加配置,使用if条件判断请求方法是否为POST,然后通过$request_body变量或者读取临时文件来获取POST数据,并进行正则匹配。如果检测到恶意内容,返回403禁止访问。 同时,需要注意性能问题,因为处理POST数据可能会增加服务器负担。所以可能需要限制检查的内容长度,或者调整缓冲区大小。另外,确保正则表达式尽可能高效,避免过于复杂的模式影响性能。 另外,参考用户提供的引用链接,其中提到Nginx防护规则包括拦截非法字符、SQL注入XSS等。可能需要结合这些已有的规则,调整到处理POST请求的情况。例如,引用中的方法可能主要是针对GET请求的查询参数,而POST数据需要不同的处理方式。 还需要考虑的是,Nginx的配置是否支持在server或http块中全局应用这些规则,或者需要在特定的location中配置。例如,可能需要在处理PHP或其他后端脚本的location中添加这些检查,以确保只有相关请求被过滤。 最后,测试配置是否正确,避免误拦截正常请求。可能需要编写一些测试用例,发送包含SQL注入特征的POST请求,验证Nginx是否能够正确拦截并返回403。同时,检查日志文件,确认是否有错误或误报的情况。 总结一下,配置的关键点包括启用必要的模块、处理POST数据、编写有效的正则表达式、考虑性能影响以及正确应用配置位置。可能还需要参考已有的安全配置,如引用中的方法,进行适当的调整和优化。</think>### Nginx拦截POST请求SQL注入的配置方法 要拦截通过POST请求提交的SQL注入攻击,需通过Nginx的过滤规则对请求体内容进行检测。具体步骤如下: #### 1. **启用请求体处理模块** Nginx默认不读取POST请求体数据,需添加配置使其支持: ```nginx client_body_buffer_size 10M; # 根据实际需求调整缓冲区大小 client_body_in_file_only clean; client_body_temp_path /var/nginx/client_body_temp; ``` #### 2. **注入检测规则** 在`server`或`location`块中添加过滤逻辑: ```nginx location / { # 检测POST请求 if ($request_method = POST) { set $block 0; # 检查请求体中的SQL注入特征 if ($request_body ~* "(\'|\")(.*)(\%27|\%23|\-\-|\;|\=|\|)(.*)(select|union|insert|update|delete|drop|alter|truncate|sleep|benchmark)") { set $block 1; } # 若检测到攻击则拦截 if ($block = 1) { return 403; access_log /var/log/nginx/sql_injection.log; } } # 其他反向代理配置 proxy_pass http://backend; } ``` #### 3. **使用Lua模块增强检测(推荐)** 通过`ngx_http_lua_module`动态处理POST数据: ```nginx location / { access_by_lua_block { if ngx.req.get_method() == "POST" then ngx.req.read_body() local body_data = ngx.req.get_body_data() if body_data and string.match(body_data:lower(), "[%c%z\'\"%;%-\-]+%s*(select|union|insert|update|delete)") then ngx.exit(403) end end } proxy_pass http://backend; } ``` #### 4. **性能与安全性平衡** - 使用`client_max_body_size`限制请求体大小 - 正则表达式应避免过度复杂,例如优先检测如`union%20select`、`;sleep(`等组合 - 结合WAF模块(如ModSecurity)实现更精准的防护[^1] #### 5. **测试与日志监控** - 发送含`admin' OR 1=1#`的POST请求验证拦截效果 - 通过`tail -f /var/log/nginx/access.log`观察拦截记录
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值