2. 程式人生 > 其它 >springboot 防xss攻擊過濾器

springboot 防xss攻擊過濾器

阿新 發佈:2021-12-15

maven依賴

點選檢視程式碼 
<!-- 防xss攻擊 -->
<dependency>
	<groupId>cn.hutool</groupId>
	<artifactId>hutool-all</artifactId>
	<version>5.7.2</version>
</dependency>

配置過濾器生效地址

點選檢視程式碼 
@Configuration
public class FilterConfig {
    @Bean
    public FilterRegistrationBean XssFilter() {
        FilterRegistrationBean registration = new FilterRegistrationBean(new XssFilter());
        registration.addUrlPatterns("/*");
        return registration;
    }
}

XSS過濾器

點選檢視程式碼 
/**
 * @Description: 攔截防止注入漏洞(即防止XSS的跨站指令碼攻擊)
 */
public class XssFilter implements Filter {
    private FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        filterChain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest), servletResponse);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

包裝類

點選檢視程式碼 
/**
 * @Description: 使用HttpServletRequestWrapper重新封裝request引數
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        Map<String, String[]> map = new LinkedHashMap<>();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap(map.size());
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(val.toString()));
            } else {
                resultMap.put(key, val);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }
        };
    }
}

相關推薦

springboot xss攻擊過濾器

maven依賴 點選檢視程式碼 <!-- xss攻擊 --> <dependency> <groupId>cn.hutool</groupId>

XSS攻擊過濾器

/// <summary> /// XSS攻擊 /// date:2020-07-28 /// </summary> public class XssFilter : ActionFilterAttribute

springboot2.x使用JsoupXSS攻擊的實現

後端應用經常接收各種資訊引數,例如評論,回覆等文字內容。除了一些場景下面,可以特定接受的富文字標籤和屬性之外(如:b,ul,li,h1,h2,h3...),需要過濾掉危險的字元和標籤,防止xss攻擊

Springboot框架新增防止XSS攻擊功能

一:什麼是XSS XSS攻擊全稱跨站指令碼攻擊,是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。

springboot專案 防止xss攻擊

原文地址:https://www.cnblogs.com/gu-bin/p/12354913.html 一:什麼是XSS XSS攻擊全稱跨站指令碼攻擊,是一種在web應用中的電腦保安漏洞,它允許惡意web使用者將程式碼植入到提供給其它使用者使用的頁面中。

【專案】 Java 過濾器 解決儲存型xss攻擊問題

技術標籤:專案Javaxss攻擊JavafilterrequestinputStream XSS攻擊場景 攻擊者可以通過構造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站指令碼漏洞欺騙使用者,收集Cookie等相關資料並冒

說說如何防禦 DOM Based 型別的 XSS 攻擊

普通的 XSS,是通過服務端(比如模板技術)將資料輸出到 HTML 中。而 DOM Based 型別 的 XSS,是通過 JS 將資料輸出到 HTML 中。

Java防止xss攻擊附相關檔案下載

跨站指令碼(英語:Cross-site scripting,通常簡稱為:XSS)是一種網站應用程式的安全漏洞攻擊,是程式碼注入的一種。它允許惡意使用者將程式碼注入到網頁上,其他使用者在觀看網頁時就會受到影響。這類攻擊通常包含

SpringSecurity的Csrf攻擊實現程式碼解析

CSRF(Cross-site request forgery)跨站請求偽造,也被稱為One Click Attack或者Session Riding,通常縮寫為CSRF或XSRF,是一種對網站的惡意利用。儘管聽起來像跨站指令碼(XSS),但它與XSS非常不同,XSS利用站點內

簡訊介面惡意攻擊策略

如下是使用者頁面互動。輸入手機號,即可獲取驗證碼。使用者體驗方面已經超級簡單了。

.net阻止XSS攻擊方法

public static string FilterXSS(this string html) { if (string.IsNullOrEmpty(html)) return string.Empty;

Spring Boot 利用Filter 實現防止XSS攻擊+設定Cookie HttpOnly

Spring Boot 利用Filter 實現防止XSS攻擊+設定Cookie HttpOnly 介紹 跨站指令碼攻擊XSS),是目前最普遍的Web應用安全漏洞。這類漏洞能夠使得攻擊者嵌入惡意指令碼程式碼到正常使用者會訪問到的頁面中,當正常使用

XSS攻擊

介紹 跨站指令碼(cross site script)為了避免與樣式css混淆,所以簡稱為XSSXSS是一種經常出現在web應用中的電腦保安漏洞,也是web中最主流的攻擊方式。那麼什麼是XSS呢?

淺談XSS攻擊原理與解決方法

一、概述   XSS攻擊是Web攻擊中最常見的攻擊方法之一,它是通過對網頁注入可執行程式碼且成功地被瀏覽器 執行,達到攻擊的目的,形成了一次有效XSS攻擊。一旦攻擊成功,它可以獲取使用者的聯絡人列表,然後向聯絡

CSRF攻擊&XSS攻擊&SQL注入

概述 ​在 HTML 中,<a>, <form>, <img>, <script>, <iframe>, <link> 等標籤以及 Ajax 都可以指向一個資源地址,而所謂的跨域請求就是指:當前發起請求的域與該請求指向的資源

springboot 配置和使用過濾器

首先在Application檔案中添加註解@ServletComponentScan自動掃描當前類的同包以及子包,這樣才能將filter裝入bean

Django如何實現防止XSS攻擊

一、什麼是XSS攻擊 xss攻擊:----->web注入   xss跨站指令碼攻擊(Cross site script,簡稱xss)是一種“HTML注入”,由於攻擊的指令碼多數時候是跨域的,所以稱之為“跨域指令碼”。

XSS攻擊概述

1.概念   跨站指令碼攻擊(Cross-Site Scripting,XSS)出現在上世紀 90年代中,由於跨站指令碼的縮寫和層疊樣式表(Cascading Style Sheets,CSS)的縮寫一樣,為了防止混淆,故縮寫成XSSXSS攻擊是由於Web應用程

xss攻擊 防治辦法

防止sql注入與xss攻擊 HTMLFilter package cn.galaiot.common.xss; import java.util.*; import java.util.concurrent.ConcurrentHashMap;

Spring Boot XSS 攻擊過濾外掛使用

XSS 是什麼 XSS(Cross Site Scripting)攻擊全稱跨站指令碼攻擊,為了不與 CSS(Cascading Style Sheets)名詞混淆,故將跨站指令碼攻擊簡稱為 XSSXSS 是一種常見 web 安全漏洞,它允許惡意程式碼植入到提供給其它使