2. 程式人生 > 程式設計 >SpringBoot去除引數前後空格和XSS過濾

SpringBoot去除引數前後空格和XSS過濾

阿新 發佈:2021-09-03

去除XSS字串需要藉助工具類 oup ,這裡jsoup有一點需要注意的是,jsoup的功能可能有點太強大了,能把xss攻擊的內容直接過濾掉了不說,也會對英文尖括號<>轉義,到接口裡面拿到的引數就變成了&lt;&gt;,存庫裡面的就是轉義後的字串了。取出來的時候需要轉一下。

比如前臺傳的引數傳的是: 12<>3<script>alter('11111111')</script>455

過濾處理了後,到後臺接口裡面就成了:[12&lt;&gt;3455]

如果上面的結果能接受,那麼這個工具類就可以用。

引入依賴 jsoup

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.12.1</version>
</dependency>

JsoupUtil.工具類:

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-08-19 15:47
 *
 * 描述: 過濾 HTML 標籤中 XSS 程式碼
 */
public class JsoupUtil {
    /** 
     * 使用自帶的 basicWithImages 白名單
     * 允許的便籤有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img  
     * 以及 a 標籤的 href,img 標籤的 src,align,alt,height,width,title 屬性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /** 配置過濾化引數,不對程式碼進行格式化 */
    private static final Document.OutputSettings outputSettings 
 
= new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文字編輯時一些樣式是使用 style 來進行實現的
        // 比如紅色字型 style="color:red;"
        // 所以需要給所有標籤新增 style 屬性
        whitelist.addAttributes(":all","style");
    }
    public static String clean(String content) {
        return Jsoup.clean(content,"",whitelist,outputSettings);
    }
}

首先是定義引數過濾器:ParamsFilter 實現 Filter 類

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Description : 引數過濾器
 *
 */
public class ParamsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest arg0,ServletResponse arg1,FilterChain arg2) throws IOException,ServletException {
        ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper(
                (HttpServletRequest) arg0);
        arg2.doFilter(parmsRequest,arg1);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }
}

新增引數過濾配置檔案:

import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.DispatcherType;

@Configuration
public class ParameterTrimConfig {

    /**
     * 去除引數頭尾空格過濾器
     * @return
     */
    @Bean
    public FilterRegistrationBean parmsFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new ParamsFilter());
        registration.addUrlPatterns("/*");
        registration.setName("paramsFilter");
        registration.setOrder(Integer.MAX_VALUE-1);
        return registration;
    }
}

處理都交給了這貨:

import com.alibaba.fastjson.JSON;
import gc.cnnvd.framework.config.converter.JsonValueTrimUtil;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-03-25 15:47
 *
 * Description : 請求引數的處理,
 *  1. 去除引數前後空格
 *  2. 過濾XSS非法字元
 *
 */
public class ParameterRequestWrapper extends HttpServletRequestWrapper {

    private Map<String,String[]> params = new HashMap<>();


    public ParameterRequestWrapper(HttpServletRequest request) {
        // 將request交給父類,以便於呼叫對應方法的時候,將其輸出,其實父親類的實現方式和第一種new的方式類似
        super(request);
        //將引數表,賦予給當前的Map以便於持有request中的引數
        Map<String,String[]> requestMap=request.getParameterMap();

        this.params.putAll(requestMap);
        this.modifyParameterValues();

    }
    /**
     * 重寫getInputStream方法  post型別的請求引數必須通過流才能獲取到值
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //非json型別,直接返回
        if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){
            return super.getInputStream();
        }
        //為空,直接返回
        String json = IOUtils.toString(super.getInputStream(),Stwww.cppcns.comandardCharsets.UTF_8);
        if (StringUtils.isEmpty(json)) {
            return super.getInputStream();
        }
        Object resultObject = JsonValueTrimUtil.jsonStrTrim(json);//這裡處理的是json傳參的引數
        ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(resultObject).getBytes(StandardCharsets.UTF_8));
        return new CustomServletInputStream(bis);

    }
    /**
     * 將parameter的值去除空格後重寫回去
     */
    public void modifyParameterValues(){
        Set<String> set = params.keySet();
        Iterator<String> it = set.iterator();
        while(it.hasNext()){
            String key = it.next();
            String[] values = params.get(key);
            values[0] = values[0].trim();
            values[0] = JsoupUtil.clean(values[0]);//這裡處理的是form傳參的引數
            params.put(key,values);
        }
    }
    /**
     * 重寫getParameter 引數從當前類中的map獲取
     */
    @Override
    public String getParameter(String name) {
        String[]values = params.get(name);
        if(values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }
    /**
     * 重寫getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {//同上
        return params.get(name);
    }

    class CustomServletInputStream extends  ServletInputStream{
        private ByteArrayInputStream bis;
        public CustomServletInputStream(ByteArrayInputStream bis){
            this.bis=bis;
        }
        @Override
        public boolean isFinished() {
            return true;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }
        @Override
        public int read() throws IOException {
            return bis.read();
        }
    }
}

上面form傳的引數直接處理了,那麼要是JSON傳的引數,就要藉助下面的工具類了:

import cn.hutool.json.JSONTokener;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.lang3.StringUtils;

import java.util.Map;
import java.util.Set;

/**
 * @Auther linmengmeng
 * @Date 2021-03-25 15:47
 * 1. 去除Json字串中的屬性值前後空格的工具類
 * 2. 去除 XSS 攻擊字元
 */

public class JsonValueTrimUtil {

    public static Object jsonStrTrim(String jsonStr){
        if (StringUtils.isBlank(jsonStr)){
            return "";
        }
        Object typeObject = new JSONTokener(jsonStr).nextValue();
        if (typeObject instanceof cn.hutool.json.JSONObject){
            return jsonObjectTrim(JSONObject.parseObject(jsonStr));
        }
        if (typeObject instanceof cn.hutool.json.JSONArray){
            return jsonArrayTrim(JSONArray.parseArray(jsonStr));
        }
        jsonStr = JsoupUtil.clean(jsonStr);
        return jsonStr.trim();
    }

    /**
     * @Description: 傳入jsonObject 去除當中的空格
     * @param jsonObject
     * @return
     */
    public static JSONObject jsonObjectTrim(JSONObject jsonOQYAdAcFRLLbject){
        // 取出 jsonObject 中的欄位的值的空格
        Set<Map.Entry<String,Object>> entrySets = jsonObject.entrySet();
        entrySets.forEach(entry -> {
            Object value = entry.getValue();
            if (value == null){
                return;
            }
            if (value instanceof String) {
                String resultValue = (String) value;
                if (StringUtils.isNotBlank(resultValue)){
                    resultValue = resultValue.trim();
                    resultValue = JsoupUtil.clean(resultValue);
                    jsonObject.put(entry.getKey(),resultValue);
                }
                return;
            }
            if (value instanceof JSONObject){
                jsonObject.put(entry.getKey(),jsonObjectTrim((JSONObject) value));
                return;
            }
            if (value instanceof JSONArray){
                jsonObject.put(entry.getKey(),jsonArrayTrim((JSONArray) value));
                return;
            }
        });
        return jsonObject;
    }

    /**
     * @Description: 將 jsonarry 的jsonObjwww.cppcns.comect 中的value值去處前後空格
     * @param arr
     * @return
     */
    public static JSONArray jsonArrayTrim(JSONArray arr){
        if( arr != null && arr.size() > 0){
            Object tempObject = null;
            for (int i = 0; i < arr.size(); i++) {
                tempObject = arr.get(i);
                if (tempObject instanceof String){
                    arr.set(i,tempObject );
                    continue;
                }
                JSONObject jsoQYAdAcFRLLnObject = (JSONObject) arr.get(i);
                // 取出 jsonObject 中的欄位的值的空格
                jsonObject = jsonObjectTrim(jsonObject);
                arr.set(i,jsonObject );
            }
        }
        return arr;
    }
}

測試一下:

import gc.cnnvd.framework.common.api.ApiResult;
import gc.cnnvd.framework.log.annotation.OperationLogIgnore;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import io.swagger.annotations.ApiOperation;
import lombok.Data;
import lombok.experimental.Accessors;
import lombok.extern.slf4j.Slf4j;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.validation.constraints.NotBlank;
import java.io.Serializable;


/**
 * @Auther linmengmeng
 * @Date 2021-03-30 16:24
 */
@Slf4j
@RestController
@RequestMapping("/tourist")
@Api(value = "測試遊客頁面xss",tags = {"遊客頁面xss"})
public class TouristTestXssController {

    @PostMapping("/testXssForm")
    @OperationLogIgnore
    @ApiOperation(value = "測試放開遊客頁面介面xssForm",notes = "測試放開遊客頁面介面xssForm",response = String.class)
    public ApiResult<String> testXss(TestXssFormParam testXssFormParam) {
        log.info("form param testStr:[{}]",testXssFormParam.getTestStr());
        // from 不好使
        return ApiResult.ok(testXssFormParam.getTestStr());
    }

    @PostMapping("/testXssJson")
    @OperationLogIgnore
    @ApiOperation(value = "測試放開遊客頁面介面xssJson",notes = "測試放開遊客頁面介面xssJson",response = String.class)
    public ApiResult<String> testXssJson(@Validated @RequestBody TestXssFormParam testXssFormParam) {
        log.info("json param testStr:[{}]",testXssFormParam.getTestStr());
        return ApiResult.ok(testXssFormParam.getTestStr());
    }

    @Data
    @Accessors(chain = true)
    @ApiModel(value = "testXss引數")
    public static class TestXssFormParam implements Serializable {

        private static final long serialVersionUID = 1L;

        @NotBlank(message = "testStr不能為空")
        @ApiModelProperty("testStr")
        private String testStr;
    }

}

上面接口裡面的ApiResult為自定義封裝的返回資料格式,可以直接修改介面返回型別改為String,就是為了看下後臺處理後,返回前臺是什麼樣的。

form傳參,過濾成功。

SpringBoot去除引數前後空格和XSS過濾

JSON傳參,也沒毛病。

SpringBoot去除引數前後空格和XSS過濾

到此這篇關於SpringBoot去除引數前後空格和XSS過濾的文章就介紹到這了,更多相關SpringBoot去除引數前後空格和XSS過濾內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們!

相關推薦

SpringBoot去除引數前後空格XSS過濾

去除XSS字串需要藉助工具類 oup ,這裡jsoup有一點需要注意的是,jsoup的功能可能有點太強大了,能把xss攻擊的內容直接過濾掉了不說,也會對英文尖括號<>轉義,到接口裡面拿到的引數就變成了&lt;&gt;,

技術收藏之Shell中去除字串前後空格的方法

技術標籤:LINUX學習筆記技術收藏 今天小編就為大家分享一篇關於Shell中去除字串前後空格的方法,小編覺得內容挺不錯的,現在分享給大家,具有很好的參考價值,需要的朋友一起跟隨小編來看看吧

SpringBoot+Xss過濾(@RequestBody引數過濾Xss

記一次SpringBoot+Xss過濾 XssFilter過濾器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest;

若依管理系統前後端分離版基於ElementUISpringBoot怎樣實現Excel匯入匯出

場景 使用若依前後端分離版實現Excel的匯入匯出。 前端:Vue+ElementUI 後端:SpringBoot+POI+Mysql

java Split 實現去除一個空格多個空格

用Split函式可以去除輸入一個字串中的空格,並且一般都是將它儲存在一個字串陣列之中

C# 實現Trim方法去除字串前後的所有空格

在C#語言程式開發過程中,很多時候需要對字串物件的前後空格進行去除,此時就需要使用到Trim()方法來實現這個功能,Trim()方法可以快速去除字串前端後端的所有空格

js利用正則表示式去除字串前後空格

技術標籤:前端基礎js方法正則表示式javascript 去除字串前後空格 1.示例 2.方法

MySQL去除表裡資料回車符,換行符,空格水平製表符

最近在做web專案時,在讀取MySQL資料庫裡的資料時,發現讀取到的字串前面有製表符Tab("\\t"),這樣就導致了我獲取資料失敗,特別是在md5加密的時候,資料庫裡面的密碼不能匹配,導致密碼錯誤。 錯誤示例:

詳解SpringBoot時間引數處理完整解決方案

在JavaWeb程式的開發過程中,介面是前後端對接的主要視窗,而介面引數的接收有時候是一個令人頭疼的事情,這其中最困擾程式猿的,應該是時間引數的接收。

python函式裝飾器之帶引數的函式引數的裝飾器用法示例

本文例項講述了python函式裝飾器之帶引數的函式引數的裝飾器用法。分享給大家供大家參考,具體如下:

SpringBoot請求引數接收方式

application/json接收 /** * 引數不可為空,可為{} * userDto中的屬性 非必填 */ @RequestMapping(\"/hello5\")

詳解Springboot整合ActiveMQ(QueueTopic兩種模式)

寫在前面: 從2018年底開始學習SpringBoot,也用SpringBoot寫過一些專案。這裡對學習Springboot的一些知識總結記錄一下。如果你也在學習SpringBoot,可以關注我,一起學習,一起進步。

js String.prototype.trim字元去前後空格的擴充套件

最近學習js的時候發現的這個函式,這樣很方便地去除前後空格,用正則實現,簡單方便。下面我們小編就為大家分享一下幾種實現方式。

SpringBoot配置嵌入式Servlet容器使用外接Servlet容器的教程圖解

配置嵌入式Servlet容器 SpringBoot預設使用Tomcat作為嵌入式的Servlet容器; 問題? 1)、如何定製修改Servlet容器的相關配置;

SpringBoot系列之前後端介面安全技術JWT

@ 目錄 1. 什麼是JWT? 2. JWT令牌結構怎麼樣? 2.1 標頭(Header) 2.2 有效載荷(Playload) 2.3 簽名(Signature)

Java去除字串中空格的方法詳解

1、方法 str.trim(); //去掉首尾空格 str.replace(\" \",\"\"); //去除所有空格,包括首尾、中間

python 命令列引數sys.grgvgetopt模組

在執行程式時,可能需要根據不同的條件,輸入不同的命令列選項來實現不同的功能。

寫一個function 清除字串前後空格,要支援所有瀏覽器

1 window.onload = function(){ 2if(!String.prototype.trim){ 3String.prototype.trim = function(){ 4return this.replace(/^\\s+/,\"\").replace(/\\s+$/,\"\");

springboot-ssm框架前後端訪問網易雲音樂,後端部署專案原理案例,完成資料庫瀏覽器訪問接收資料

建立專案 建立並配置application.yml檔案 spring: datasource: driver-class-name: com.mysql.cj.jdbc.Driver

springBoot swing 介面實現配置日誌列印

廢話少說,直接貼程式碼, 程式碼全在一個包下面不需要展示目錄結構了。 ConfigFrame