2. 程式人生 > >springboot xss 注入問題

springboot xss 注入問題

阿新 發佈:2018-11-22

思路

使用全域性過濾的方式來預防xss注入問題
當然thymeleaf 模板也可以用來預防xss注入
這裡採用Jsoup 來防止xss注入

步驟

一 匯入jar包

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.11.3</version>
</dependency>

相關程式碼 一共兩個檔案

過濾器程式碼

package com.***.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * xss 過濾器
 *
 * @author imsjw
 * Create Time: 2018/8/10
 */
@WebFilter
public class XssFilter implements Filter {

    /**
     * 白名單
     */
    public List<String> whiteList = new ArrayList<>();

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        /**
         * 示例
         */
        whiteList.add("/user/mgr");
        whiteList.add("白名單路徑");
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (isWhiteList(req, resp)) {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }

    private boolean isWhiteList(HttpServletRequest request, HttpServletResponse response) {
        for (int i = 0; i < whiteList.size(); i++) {
            String servletPath = request.getServletPath();
            if (whiteList.get(i).equals(servletPath)) {
                return true;
            }
        }
        return false;
    }

    @Override
    public void destroy() {

    }

}

過濾程式碼

package com.***.config.xss;

import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * XSS過濾處理
 *
 * @author ruoyi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    /**
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                // 防xss攻擊和過濾前後空格
                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
}

相關推薦

springboot xss 注入問題

思路 使用全域性過濾的方式來預防xss注入問題 當然thymeleaf 模板也可以用來預防xss注入 這裡採用Jsoup 來防止xss注入 步驟 一 匯入jar包 <dependency> <groupId>org.jsoup</groupId> &

redis結合springboot 無法注入redisTemplate問題

報錯: Caused by: org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying bean of type 'org.springframework.data.redis.core.RedisTempl

HttpServletRequestWrapper 實現xss注入

自定義一個wapper 實現 HttpServletRequestWrapper package cn.baozun.crm.task.filter; import javax.servlet.http.HttpServletRequest; import javax.servlet.http

java防止xss注入攻擊

後面附錄有三個.java文件 1.把文件拷進專案中(最好建立一個單獨的包存放),然後修改引入路徑,看到不報錯那麼第一步完成。 2.開啟web.xml配置檔案 <!--XSS注入攻擊--> <filter> <filter-name&

SpringBoot-流程注入操作

IDEA快捷鍵 Ctrl+h: 檢視介面實現類 Ctrl+Alt+<-:上一步 Ctrl+Alt+->:下一步 注入介面 SpringApplicationRunListener ApplicationContextInitializer A

基於get的xss注入

abc.php <?php $servername = "localhost"; $username = "root"; $password = "root"; $dbname = "test";   // 建立連線 $conn = new mysqli($servername

CTF/CTF練習平臺-XSSxss注入及js unicode編碼及innerHTML】

                原題內容:http://103.238.227.13:10089/Flag格式:Flag:xxxxxxxxxxxxxxxxxxxxxxxx題目有點坑啊,注入點都沒說明,去群裡問的,這題注入點為id(get方式),id的值會進行替換後進入s補充了這個,好了,繼續做題右鍵原始碼&l

Spring @Autowired註解在非Controller注入為null,Springboot @Reference注入為null解決方案

今天使用activiti的執行流程,使用dubbo想要去呼叫service,發現@Reference為null,研究了好久,嘗試直接連線dao層,注入的也為null。. 可能是我的這個不是controller裡面的 解決辦法 通過新增三個關鍵地方即可解決: 1、在cl

Spring boot 梳理 - SpringBoot注入ApplicationContext物件的三種方式

直接注入(Autowired) @Configuration public class OAConfig { @Autowired private ApplicationContext applicationContext; @B

[SpringMVC]通過Filter實現防止xss注入案例實戰

XSS : 跨站指令碼攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。惡意攻擊者往Web頁面裡插入惡意html程式碼,當用戶瀏覽該頁之時,嵌入其中Web裡面

SpringBoot bean 注入的問題

1.SpringBoot Bean 的掃描規則 1.預設從【Application啟動類】所在的包位置從上往下掃描 2.如果需要掃描的類不在啟動類所在包當前包或者啟動類所在包的子包中,那麼需要在啟動

使用SVG格式的xss注入

svg文件:https://www.w3.org/TR/SVG2/ https://svg.digi.ninja/svg此頁面中包含svg方式的xss注入場景。 原始碼:https://github.com/digininja/svg_xss 電子書:Mario_Heiderich_OWAS

springboot物件注入IOC容器的三種方式

Springboot會自動載入resources檔案下面的application.yml或者application.properties配置檔案,因為yml格式可以替代xml格式,功能properties更強大,所以一般都使用yml格式進行書寫。 1.對於yml中載入了的b

springboot @value注入static物件 與 application.properties 與 pom.xml 取值

1.在pom.xml檔案裡的properties定義一個引數 2.定義完了,在application.properties中獲取這個值 server.port=8090 #@pom.xml中的一

轉:xss注入方法及驗證方法

注:本文描述的是一般情況的xss注入方法及驗證方法,並無覆蓋所有xss情況, 步驟1:在任一輸入框中輸入以下注入字元 >"'><script>alert(XSS)</script> >"'><img src="j

SpringBoot Mybatis注入異常

    這幾天在研究Spring Boot框架,早Spring Boot和Mybaits結合的時候,我在Action層面住入Service的程式碼沒有報錯,但是在Service注入Mybatis的Mapper介面的時候,報瞭如下的錯誤。 java.lang.Object.

Springboot mapper注入失敗

今天寫畢設的時候,發現一個問題,就是dao層的介面bean注入失敗,經查詢發現:SpringBoot專案的Bean裝配預設規則是根據Application類所在的包位置從上往下掃描!“Application類”是指SpringBoot專案入口類。這個類的位置很關鍵,我是在持久

ASP防XSS注入函式技巧

'*************************************'防XSS注入函式 更新於2009-04-21 by evio'與checkstr()相比, checkxss更加安全'*************************************Fu

SpringBoot注入ApplicationContext物件的三種方式

在專案中,我們可能需要手動獲取spring中的bean物件,這時就需要通過 ApplicationContext 去操作一波了! 1、直接注入(Autowired) @Component public class User { @Aut

xss注入1.0

0X01綜述 這段時間一直著手兩樣東西,xss技巧與網站邏輯分析。 本文簡單就這兩部分對網站滲透測試進行簡單分析。 0X02XSS測試 先從xss技巧說起,xss來源就是網站沒有對使用者行為輸入過濾就直接顯示造成的任意js程式碼執行,也就是讓另一個使用者以他的許可權來執行你