java过滤跨站脚本攻击_SpringBoot过滤XSS脚本攻击

SpringBoot防止XSS攻击:过滤与序列化解决方案
最新推荐文章于 2022-11-23 16:02:35 发布
原创 最新推荐文章于 2022-11-23 16:02:35 发布 · 378 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java过滤跨站脚本攻击

本文介绍了如何在SpringBoot项目中防止XSS攻击,提供了通过后台转译方式处理XSS的解决方案,包括重写`getParameter`和`getParameterValues`方法进行querystring类型参数过滤,并通过自定义`JsonSerializer`过滤json类型参数。

前排提醒

源码在最后

XSS攻击是什么

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web客户将代码植入到提供给其它客户使用的页面中。

简而言之,就是作恶客户通过表单提交少量前台代码,假如不做解决的话,这些前台代码将会在展现的时候被浏览器执行。

如何避免XSS攻击

这里我根据个人经验做一个总结,可能经验也有不足之处。我个人处理XSS攻击是通过后台转译的办法来处理的。在实际项目中,react、vue等前后台完全分离的框架似乎已经帮我们解决了XSS脚本,这个本人对于前台略懂皮毛而已,这里就不做讨论了。下面主要实现以后台做XSS过滤。

代码实现

对于过滤XSS脚本的代码,通过搜索引擎可以搜索到很多,但似乎都不是那么全面。基本上都是只能过滤querystring类型的入参,而不能过滤json类型的入参。其实,在现在的开发中,更多的是使用json类型做数据交互。下面就直接贴代码了:

XssAndSqlHttpServletRequestWrapper.javapackage com.loger.filter;

import org.apache.commons.lang3.StringUtils;

import org.apache.commons.text.StringEscapeUtils;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

* @author Loger

* 防止XSS攻击

*/

public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {

private HttpServletRequest request;

public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {

super(request);

this.request = request;

}

@Override

public String getParameter(String name) {

String value = request.getParameter(name);

if (!StringUtils.isEmpty(value)) {

value = StringEscapeUtils.escapeHtml4(value);

}

return value;

}

@Override

public String[] getParameterValues(String name) {

String[] parameterValues = super.getParameterValues(name);

if (parameterValues == null) {

return null;

}

for (int i = 0; i < parameterValues.length; i++) {

String value = parameterValues[i];

parameterValues[i] = StringEscapeUtils.escapeHtml4(value);

}

return parameterValues;

}

}

简单讲解下,这里重写了两个方法:getParameter和getParameterValues,getParameter方法是直接通过request取得querystring类型的入参调用的方法。假如是通过springMVC注解类型来取得参数的话,走的是getParameterValues的方法。

StringEscapeUtils.escapeHtml4这个方法来自Apache的工具类,maven坐标如下:org.apache.commons

commons-text

1.4

过滤的代码写完了,下面就是在一个filter中应用该代码。

XssFilter.javapackage com.loger.filter;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.fasterxml.jackson.databind.module.SimpleModule;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Primary;

import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;

import org.springframework.stereotype.Component;

import javax.servlet.*;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

/**

* @author Loger

*/

@WebFilter

@Component

public class XssFilter implements Filter {

@Override

public void init(FilterConfig filterConfig) throws ServletException {

}

@Override

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

throws IOException, ServletException {

HttpServletRequest req = (HttpServletRequest) request;

XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req);

chain.doFilter(xssRequestWrapper, response);

}

@Override

public void destroy() {

}

/**

* 过滤json类型的

* @param builder

* @return

*/

@Bean

@Primary

public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) {

//解析器

ObjectMapper objectMapper = builder.createXmlMapper(false).build();

//注册xss解析器

SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer");

xssModule.addSerializer(new XssStringJsonSerializer());

objectMapper.registerModule(xssModule);

//返回

return objectMapper;

}

}

就这样,过滤querystring类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码:

XssStringJsonSerializer.javapackage com.loger.filter;

import com.fasterxml.jackson.core.JsonGenerator;

import com.fasterxml.jackson.databind.JsonSerializer;

import com.fasterxml.jackson.databind.SerializerProvider;

import org.apache.commons.text.StringEscapeUtils;

import java.io.IOException;

public class XssStringJsonSerializer extends JsonSerializer{

@Override

public ClasshandledType() {

return String.class;

}

@Override

public void serialize(String value, JsonGenerator jsonGenerator,

SerializerProvider serializerProvider) throws IOException {

if (value != null) {

String encodedValue = StringEscapeUtils.escapeHtml4(value);

jsonGenerator.writeString(encodedValue);

}

}

}

这里通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过第一种方法,重写getInputStream方法来实现,但因为得到的是ServletInputStream,不太好解决。(通过json类型传参会走getInputStream方法,通过重写该方法打印输出可以证实)

下面可以通过几个例子验证下能否成功:

简单写一个controller

TestController.javapackage com.loger.controller;

import org.springframework.web.bind.annotation.*;

import org.springframework.web.multipart.MultipartFile;

/**

* @author Loger

* Date: 2018-10-05

* TIme: 19:14

* Description :

*/

@RestController

@RequestMapping(value = "/test")

public class TestController {

@PostMapping(value = "/xss")

public Object test(String name) {

System.out.println(name);

return name;

}

@PostMapping(value = "/json")

public Object testJSON(@RequestBody Param param) {

return param;

}

@GetMapping(value = "/query")

public Object testQuery(String q){

return q;

}

@PostMapping(value = "/upload")

public Object upload(MultipartFile file){

System.out.println(file.getOriginalFilename());

return "OK";

}

}

下面通过postman测试下效果:

0f47066d8dc3101dee964b2f20c26084.png

d4ce0f94424e35ec93cdd94f466a16fb.png

0233ab8b8109d98da0f8c52e53a62701.png

git地址:https://github.com/logerchen/springboot-xss.git

晓暮云君
关注
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 1088
漏洞描述:本页面存在跨站脚本攻击跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
SpringBoot过滤Xss脚本攻击
wangfeng117254的博客
12-20 2511
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如何避免XSS攻击 解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。 代码实现 1、新建XssAndSqlHttpServletRequestWrapper.java import org.apache.comm
java 跨站攻击脚本过滤工具类
qq_34874784的博客
11-23 531
java 跨站攻击脚本过滤工具类
Java Web应用程序的反跨站点脚本XSS过滤
最佳 Java 编程
05-09 369
这是为Java Web应用程序编写的一个好简单的反跨站点脚本XSS过滤器。 它的主要作用是从请求参数中删除所有可疑字符串,然后将其返回给应用程序。 这是我以前关于该主题的帖子的改进。 您应该将其配置为链(web.xml)中的第一个过滤器,通常最好让它捕获对您站点的所有请求。 实际的实现包括两个类,实际的过滤器非常简单,它将HTTP请求对象包装在一个专门的HttpServle...
跨站脚本攻击字符过滤
07-25
用这个办法,可以过滤在输入中含有 % [ ] { } ; & + - " ( ) 的这些字符。
java防止XSS(跨站脚本攻击)攻击的常用方法总结
码在飞博客
07-13 1万+
一、什么是XSS攻击XSS攻击跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆, 故将跨站脚本攻击缩写为XSS。 二、如何预防XSS攻击呢? 自己写 filter 拦截来实现,但要注意的时,在WEB.XM 中配置 filter的时候,请将这个 filter 放在第一位. 采用开
Java企业级开发_SpringBoot_MyBatis_Shiro_JWT_React_AntDesign_RESTFul_前后端分离_用户管理_角色管理_权限系统_XSS防范_.zip
最新发布
05-05
XSS跨站脚本攻击)防范是Web安全中的一项重要工作。通过在输入输出环节对数据进行严格的过滤和编码,可以有效地防止恶意脚本的注入,保护用户的会话安全,避免数据泄露。 综合以上技术点,本压缩包文件提供了一个...
Java过滤XSS脚本攻击记录一下
qq_41665452的博客
05-11 2640
背景 之前公司信息安全部门对公司项目进行网络安全升级时,发现项目里可能会出现XSS脚本攻击漏洞,所以就需要对其参数进行过滤拦截。 XSS 百度百科:XSS攻击全称:cross site scripting(这里是为了和CSS区分,所以叫XSS),跨站脚本攻击XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。攻击者可以使用户在浏览器中执行其预定义的恶意脚本
springboot2.x使用Jsoup防XSS攻击的实现
10-15
SpringBoot 2.x 使用 Jsoup 防XSS攻击的实现主要是为了保护应用程序免受跨站脚本(Cross-Site Scripting,简称XSS)的威胁。XSS攻击是一种常见且危害极大的网络安全问题,它允许攻击者在受害者的浏览器上执行恶意...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
XSS跨站脚本攻击Java开发中防范的方法
01-09
XSS跨站脚本攻击Java开发中防范的方法
java登录过滤 跨站脚本攻击问题解决
weikzhao0521的博客
09-13 2015
一,web.xml 文件添加过滤,要加在登陆验证之前 &lt;!-- 特殊字符过滤验证或转义 --&gt; &lt;filter&gt; &lt;filter-name&gt;XSSFilter&lt;/filter-name&gt; &lt;filter-class&gt;com.web.system.filter.XSSFilter&lt;/filt...
跨站脚本攻击-----为什么要过滤危险字符串
developerFBI的专栏
07-07 1298
不算前言的前言 好像已经很久没有写过安全方面的文章了,所谓安全圈子里面,大家也许认为玄猫消失了,不过,我想,作为骇客的玄猫也许从来没有出现过吧。没错的,我是玄猫,如果前两年你看过《黑客X档案》或者《黑客手册》这样的民间安全杂志,那么你也许见过这个名字。 或者,很抱歉的,你的站点有时会出现过“玄猫啊玄猫……”这样的提示框或者文字,那么我很遗憾,我写的漏洞利用工具被人滥用到你的网站上了,蓝色理想里
防止XSS跨站脚本攻击Java过滤
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
XSS - 跨站脚本 Java 演示
allway2的博客
07-24 486
或者,当您单击从未知地址收到的电子邮件链接时,您的组织要求您不要单击并报告他们的网络安全团队作为强制性安全培训的一部分时,实际会发生什么。有一些开源工具和项目可用于清理HTML文档,方法是在将其作为响应发回之前删除诸如“、、、”之类的威胁标签。“这个世界上没有什么是免费的,只要记住一切都是有代价的”,所以不要点击来自未知发件人的链接。,攻击者能够在银行网站的帮助下,在受害者的浏览器上执行他网站上的代码。,它提供了实现并允许配置自定义策略。...
SpringBoot + xss 跨站脚本攻击实战
xmt1139057136的专栏
05-04 4629
知道的越多,不知道的就越多,业余的像一棵小草!编辑:业余草来源:https://www.xttblog.com/?p=4990我百度搜索了一下,跨站脚本攻击,相关内容超过 500 多万,...
SpringBoot 项目添加抵御跨站防御脚本(XSS)攻击功能
.
05-07 1603
一、XSS攻击 百度百科. XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 二、导入依赖库 因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,
XSS跨站脚本攻击)多姿势绕过滤思路
ElsonHY的博客
11-17 1392
XXS(跨站脚本攻击)多姿势绕过滤思路0x01 什么是XSS?0x02 XSS的危害0x03 XSS类型0x04 多姿势绕过1.基本的xss2.大小写绕过、字符拼接3.解锁更多姿势4.转义字符的排除0x05 其他情况0x06 总结 0x01 什么是XSS? 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页面时,嵌入Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。XSS攻击主要针对的是客户端的攻击。 0x02 XSS的危害 XSS能实现的的攻击有很多,一般攻击水平是取决
java 过滤攻击报文_Spring Boot XSS攻击过滤插件
weixin_28950543的博客
02-26 298
XSS 是什么XSS(Cross Site Scripting)攻击全称跨站脚本攻击,为了不与 CSS(Cascading Style Sheets)名词混淆,故将跨站脚本攻击简称为 XSSXSS 是一种常见 web 安全漏洞,它允许恶意代码植入到提供给其它用户使用的页面中。xss 攻击流程简单 xss 攻击示例若网站某个表单没做相关的处理,用户提交相关恶意代码,浏览器会执行相关的代码。解决方案...
springboot跨站脚本攻击
09-01
Spring Boot本身并不提供专门的跨站脚本攻击(Cross-Site Scripting,XSS)防护功能但它提供了一些安全性相关的功能和配置选项,可以帮助我们减少XSS攻击的风险。 以下是一些常用的方法来防止Spring Boot应用程序中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值