2. 程式人生 > 實用技巧 >防止XSS指令碼注入-前端vue、後端springboot

防止XSS指令碼注入-前端vue、後端springboot

阿新 發佈:2020-11-04
作者時間
雨中星辰 2020-09-10

xss是什麼

跨站指令碼攻擊(XSS),是目前最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意指令碼程式碼到正常使用者會訪問到的頁面中,當正常使用者訪問該頁面時,則可導致嵌入的惡意指令碼程式碼的執行,從而達到惡意攻擊使用者的目的。

xss指令碼注入演示

  1. 通過表單,先新增一個數據,其中一條資料為指令碼
插入資料
  1. 重新整理頁面
重新整理頁面

從截圖看,注入的指令碼已經執行了。

防止xss指令碼注入的原理

將引數中的特殊字元進行轉換
處理前為:

<script>alert(1);</script>

處理後為:

&lt;script&gt;alert(1);&lt;/script&gt;

後臺springboot 防止xss注入配置

  1. 新增依賴

    <dependency>
    <groupId>org.apache.commons</groupId>
    <artifactId>commons-text</artifactId>
    <version>1.8</version>
</dependency>
  1. 新增xss過濾器

import org.apache.commons.lang3.ArrayUtils;
import org.apache.commons.lang3.StringEscapeUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

//用於將html引數轉義
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getQueryString() {
        return StringEscapeUtils.escapeHtml4(super.getQueryString());
    }

    @Override
    public String getParameter(String name) {
        return StringEscapeUtils.escapeHtml4(super.getParameter(name));
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (ArrayUtils.isEmpty(values)) {
            return values;
        }
        int length = values.length;
        String[] escapeValues = new String[length];
        for (int i = 0; i < length; i++) {
            escapeValues[i] = StringEscapeUtils.escapeHtml4(values[i]);
        }
        return escapeValues;
    }

}
  1. JSON字串請求引數處理

實現Jackson反序列化方法,將引數值轉義處理

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;
import org.apache.commons.lang3.StringEscapeUtils;

import java.io.IOException;

public class XssJacksonDeserializer extends JsonDeserializer<String> {

    @Override
    public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
        return StringEscapeUtils.escapeHtml4(jsonParser.getText());
    }

}
  1. SON字串響應結果處理

實現Jackson序列化方法,將引數值轉義處理


import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringEscapeUtils;

import java.io.IOException;

@Slf4j
public class XssJacksonSerializer extends JsonSerializer<String> {

    @Override
    public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        jsonGenerator.writeString(StringEscapeUtils.escapeHtml4(s));
    }

}
  1. xxs攔截器

import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@Slf4j
@WebFilter(filterName = "xssFilter", urlPatterns = "/*", asyncSupported = true)
public class XssFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);
    }

    /**
     * springboot預設的json庫為jackson,將其配置xss
     * @param builder
     * @return
     */
    @Bean
    @Primary
    public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) {
        //解析器
        ObjectMapper objectMapper = builder.createXmlMapper(false).build();
        //註冊xss解析器
        SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer");
        xssModule.addSerializer(new XssJacksonSerializer());
        xssModule.addDeserializer(String.class,new XssJacksonDeserializer());
        objectMapper.registerModule(xssModule);
        //返回
        return objectMapper;
    }

}
  1. 啟動類新增@ServletComponentScan註解,掃描使用servlet註解的類,啟用 XssFilter

前端vue 防止xss指令碼注入

vue防止xss注入

  • 儘量使用插值表示式{{}},它會把要顯示的內容轉為字串。
  • 如果使用v-html,要保證來自服務端的渲染資料都是安全的。
  • 在使用第三方UI元件庫的的時候,要檢查一下它們渲染頁面的方式,是否使用了v-html

引用:

https://springboot.plus/guide/xss.html#%E5%90%8E%E5%8F%B0%E5%A4%84%E7%90%86

https://github.com/lynnic26/LynnNote/issues/1



作者:雨中星辰0
連結:https://www.jianshu.com/p/64b12be27f77
來源:簡書
著作權歸作者所有。商業轉載請聯絡作者獲得授權,非商業轉載請註明出處。

相關推薦

防止XSS指令碼注入-前端vuespringboot

作者時間 雨中星辰 2020-09-10 xss是什麼 跨站指令碼攻擊(XSS),是目前最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意指令碼程式碼到正常使用者會訪問到的頁面中,當正常使用者訪問該頁面時,

一文讀盡前端路由路由單頁面應用多頁面應用

前端路由 定義:在單頁面應用,大部分頁面結構不變,只改變部分內容的使用

springboot+vue部署到阿里雲伺服器(從零開始到部署完成,包含JDK的安裝Nginx做前端伺服器以及Nginx配置自啟專案自啟)

技術標籤:伺服器框架nginx伺服器阿里雲專案部署springboot+vue 由於最近這兩天沒有什麼事情,經理讓我把目前正在寫的專案(半成品)部署到線上,由於本人還是菜鳥一枚,之前也沒接觸過,所以也是網上查資料從零

Java使用過濾器防止SQL注入XSS指令碼注入的實現

前幾天有個客戶在系統上寫了一段html語句,開啟頁面就顯示一張炒雞大的圖片,影響美觀。後來仔細想想,幸虧注入的僅僅是html語句,知道嚴重性,馬上開始一番系統安全配置。

天貓精靈云云接入——前端VUE伺服器PHPjava

技術標籤:javaphpvue 天貓精靈云云接入——前端VUE伺服器PHPjava AliGenieVUE獲取引數獲取code跳轉頁面

js中的模組化開發(前端

js中的模組化開發 的模組化開發使用commenJs,使用路由形成入口檔案,每一個介面是一個檔案

vue做Excel匯出功能返回資料流前端的處理操作

專案中有一個匯出功能的實現,用部落格來記錄一下。因為需求對匯出表格的資料格式和樣式有要求,所以這個匯出功能放到後端來做,而且後端返回的是資料流,所以需要處理成想要的表格並匯出來。

Java如何防止JS指令碼注入程式碼例項

1.java中防止JS指令碼注入的工具類-通用 public class XssUtil { private static Map<String,String> xssMap = new LinkedHashMap<String,String>();

Vue element-ui 前端頁面使用介面

首先: 1.佈局:使用一個麵包屑導航: <!--麵包屑導航--> <el-breadcrumb separator=\"/\">

vue接收傳來的pdf檔案流,前端呼叫預覽PDF

技術標籤:vue前端html5jsjavascript 我的業務場景是需要解析後端的PDF檔案流,然後預覽最後可以打印出來就完事! 完全不需要外掛幾句程式碼就搞定了,這裡就不廢話了直接上程式碼!直接起飛!!!懂得都懂香就完

vue前端和Django如何查詢一定時間段內的資料

前言 在開發過程中經常會遇程式設計客棧到篩選查詢之類的功能,比如查詢某一個時間段內的資料而非所有資料。

使用k8s部署前端vue專案和springboot專案關於ingress的訪問路徑設定

1.前端vue專案 專案根目錄下有Dockerfile檔案,.gitlab-ci.yml檔案和nginx.conf檔案 Dockerfile檔案作用:根據基礎nginx映象前端vue專案生成的檔案打包進去

如何打通前端dist和jar?

前端dist和jar已經分別獨立部署到伺服器上,這篇部落格是對下面兩篇部落格的延續。

webApi前端ajax呼叫返回{&amp;quot;readyState&amp;quot;:0,&amp;quot;status&amp;quot;:0,&amp;quot;statusText&amp;quot;:&amp;quot;error&amp;quot;}解決方案

var url = data.url,params = data.params,try_times = data.try_times,async = data.sync == ‘false‘ ? false : true;

前端接收下載檔案流

說明: 這裡是接收excel流的示例,故屬性為type: \'application/vnd.ms-excel\',最重要的是responseType要設定為blob.

VUE根據資料生成多個表格並且每一個表格能完整列印

效果(這裡金額為或者欄位為空不顯示) 顯示 列印,不會有表格是分兩頁列印的,根據自己需要設定一頁列印多少個表格

vue接通api以及部署到伺服器操作

1.開啟專案工程,找到config資料夾下index.js,進行以下修改 dev: { // Paths assetsSubDirectory: \'static\',assetsPublicPath: \'/\',proxyTable: {

nginx 處理跨域問題(前端專案訪問介面報跨域問題)

location / {    #處理跨域問題 start # 允許請求地址跨域 * 做為萬用字元 add_header \'Access-Control-Allow-Origin\' \'*\';

html傳送email的兩種方式,前端(mailto)和(node)__(一)

前端篇-mailto 前端無法達到點選一個按鈕直接傳送郵件到指定收件人的效果,可以一用的只有mailto。

Vue - 與互動

零:與互動 - ajax 版本1 - 出現了跨域問題 前端:index.html <!DOCTYPE html> <html lang=\"en\">