2. 程式人生 > 其它 >SpringBoot+Xss過濾(@RequestBody引數過濾Xss)

SpringBoot+Xss過濾(@RequestBody引數過濾Xss)

阿新 發佈:2021-12-14

記一次SpringBoot+Xss過濾

XssFilter過濾器
import org.springframework.stereotype.Component;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import com.jfinal.kit.StrKit;

/**
 * @ProjectName: smt
 * @ClassName:
 * @Description:
 * @Author: yue zhenbin
 * @Date: 2021/7/7 9:16
 */
@Component
@WebFilter(urlPatterns = "/*", filterName = "xssFilter")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String contentType = request.getContentType();
        if (StrKit.notBlank(contentType) && contentType.contains("multipart/form-data")) {//對圖片上傳不進行xss過濾
            chain.doFilter(request, response);
        }else {
            XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
            chain.doFilter(xssRequest, response);
        }

    }
    @Override
    public void destroy() {}
}
XssHttpServletRequestWrapper過濾規則類

主要針對@RequestBody進行的引數過濾

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.Charset;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.nodes.Document.OutputSettings;
import org.jsoup.safety.Whitelist;
import org.springframework.util.StreamUtils;

import com.alibaba.fastjson.JSONObject;

/**
 * XSS過濾處理
 *
 * @author ruoyi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    //使用basic()
    private static final Whitelist whitelist = createWhitelist();

    private static final OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    private byte[] requestBody;
    private Charset charSet;

    private static Whitelist createWhitelist() {
        return Whitelist.basic();
    }

    private static String filter(String value) {
        if(value!=null) {
            value = Jsoup.clean(value, "", whitelist, outputSettings).trim();
        }
        return value;
    }

    /**
     *
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        //快取請求body
        try {
            String requestBodyStr = getRequestPostStr(request);
            requestBodyStr=filterBadString(requestBodyStr);
            if (StringUtils.isNotBlank(requestBodyStr)) {
                requestBodyStr=filter(requestBodyStr);
                JSONObject resultJson = JSONObject.parseObject(requestBodyStr);
                requestBody = resultJson.toString().getBytes(charSet);
            } else {
                requestBody = new byte[0];
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    /**
     * 獲取POST請求體中資料
     * @param request
     * @return
     * @throws IOException
     */
    public String getRequestPostStr(HttpServletRequest request)
            throws IOException {
        String charSetStr = request.getCharacterEncoding();
        if (charSetStr == null) {
            charSetStr = "UTF-8";
        }
        charSet = Charset.forName(charSetStr);

        return StreamUtils.copyToString(request.getInputStream(), charSet);
    }

    @Override
    public ServletInputStream getInputStream() {
        if (requestBody == null) {
            requestBody = new byte[0];
        }

        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return byteArrayInputStream.read();
            }
        };
    }

    /**
     * 特殊字元過濾
     *
     * @param value
     * @return
     */
    private  static String filterBadString(String value) {

        String REP_TIPS = "BadParamter";

        value = value.replaceAll("select", REP_TIPS);

        value = value.replaceAll("SELECT", REP_TIPS);

        value = value.replaceAll("insert", REP_TIPS);

        value = value.replaceAll("INSERT", REP_TIPS);

        value = value.replaceAll("delete", REP_TIPS);

        value = value.replaceAll("DELETE", REP_TIPS);

        value = value.replaceAll("update", REP_TIPS);

        value = value.replaceAll("UPDATE", REP_TIPS);

        value = value.replaceAll("script", REP_TIPS);

        value = value.replaceAll(">", REP_TIPS);

        value = value.replaceAll("<", REP_TIPS);

        value = value.replaceAll("=", REP_TIPS);

        value = value.replaceAll("@", REP_TIPS);
        return value;
    }
}

啟動類需新增Servlet掃描:@ServletComponentScan("com.xxx.smt.config.XssFilter")

所需要的依賴:
<dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.10.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>
        <!-- jfinal 核心包 -->
        <dependency>
            <groupId>com.jfinal</groupId>
            <artifactId>jfinal</artifactId>
            <version>2.2</version>
        </dependency>
        <dependency>
	       <groupId>com.jfinal</groupId>
	       <artifactId>cos</artifactId>
	       <version>26Dec2008</version>
        </dependency>

相關推薦

SpringBoot+Xss過濾@RequestBody引數過濾Xss

記一次SpringBoot+Xss過濾 XssFilter過濾器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest;

springboot全域性異常處理傳入引數校驗

1.匯入依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-validation</artifactId>

Springbootspringboot整合Shiro檔案中獲取資料

1、準備 1新建一個SpringBoot專案 2匯入基礎依賴 <dependency> <groupId>org.springframework.boot</groupId>

SpringBoot入門二java程式碼方式配置

java程式碼方式配置讀取配置檔案中的變數 一 . 先了解幾個相關注解 java配置主要靠java類和一些註解,比較常用的註解有:

SpringBoot整合WebServicesApache CXF JAX-WS身份認證

技術標籤:SpringBootspringwebService 一、簡介 在使用WebService時我們經常會考慮WebService的安全問題,可以通過一組使用者名稱與密碼來防止非法使用者的呼叫 。

學習SpringBoot第一天構建RESTful Web 服務

第一步構建springboot專案 第二步建立實體類 public class Greeting { private final long id;

python之宣告函式時指定傳入引數的資料型別函式引數的註釋

python之宣告函式時指定傳入引數的資料型別實際上是函式引數的註釋 當你寫的函式方法,要被其他人呼叫時, 你想讓對方知道傳入引數的資料型別, 可以這樣定義:

SpringBoot基礎學習番外9.1Spring MVC或Spring Boot配置預設訪問頁面不生效?

1、tomcat配置預設訪問頁面進入 tomcat 的 conf 目錄,編輯 web.xml 檔案。在 <web-app></web-app> 新增預設訪問頁面。<welcome-file-list>

Windows的命令列執行jmeter指令碼引數化配置

背景:在準備除錯完測試指令碼後,在命令列執行指令碼 準備工作:切換到jmeter/bin 目錄下我這裡未配置jmeter的環境變數、將指令碼檔案test.jmx 存放在bin目錄

Java:http的post請求引數json格式示例程式碼

Java:http的post請求引數json格式示例程式碼: import cn.hutool.core.collection.CollectionUtil;import cn.hutool.core.util.StrUtil;import cn.hutool.http.HttpRequest;import cn.hutool.http.HttpResp

SpringBoot - 實現靜態資源的訪問附:修改過濾規則、靜態資源位置

一、預設靜態資源訪問策略 1當我們使用IntelliJ IDEA建立Spring Boot專案,會預設建立classpath:/static/目錄,我們直接把靜態資源放在這個目錄下即可。

SpringBoot Mock測試RequestBody引數幷包含其他引數介面

當介面的引數用@RequestBody修飾,同時還有另外的引數的情況 測試介面的時候,如果專案中請求經過閘道器,轉發到服務時,中間會將請求頭資料轉換成引數物件Subject。

XSS挑戰賽1

以前囫圇吞棗做過一遍,現在從頭再來 第一關網址為:http://127.0.0.1/xss-labs-master/level1.php?name=test

XSS挑戰賽2

進入第六關 簡單判斷過濾情況 <>script\"\'/ 檢視原始碼 可以看到第二個紅框部分跟之前類似,閉合雙引號嘗試進行彈窗

XSS挑戰賽3

檢視關鍵程式碼: <?php ini_set(\"display_errors\", 0); $str = $_GET[\"keyword\"]; $str00 = $_GET[\"t_sort\"];

XSS挑戰賽4

16-20關 第十六關 關鍵程式碼為: <?php ini_set(\"display_errors\", 0); $str = strtolower($_GET[\"keyword\"]);

Mapper檔案package目錄中,執行方法不能匹配錯誤maven打包過濾src下的xml

Mybatis 中Mapper使用package方式配置報錯org.apache.ibatis.binding.BindingException: Invalid bound statement (not found):

Spring Aop—給Advice傳遞引數Springboot在用aop時怎麼傳參

給Advice傳遞引數 Advice除了可以接收JoinPoint非Around Advice或ProceedingJoinPointAround Advice)引數外,還可以直接接收與切入點方法執行有關的物件,比如切入點方法引數、切入點目標物件target、切入

xss-labsless1-10

less-1 less-2 less-3 less-4 less-5 less-6 less-7 less-8 less-9 less-10 less-1 Less-1 反射型xss payload:<script>alert(‘test’)</script>

聊兩句XSS跨站指令碼攻擊

XSS跨站指令碼攻擊,聊兩句,五毛的。 XSS的危害: 竊取Cookie,盜用使用者身份資訊