2. 程式人生 > >SpringBoot防XSS攻擊

SpringBoot防XSS攻擊

阿新 發佈:2018-12-30

1 . pom中增加依賴

<!-- xss過濾元件 -->
<dependency>
  <groupId>org.jsoup</groupId>
  <artifactId>jsoup</artifactId>
  <version>1.9.2</version>
</dependency>
2 . 增加標籤處理類 
package com.xbz.utils;

import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

import java.io.IOException;

/**
 * xss非法標籤過濾工具類
 * 過濾html中的xss字元
 * @author xbz
 */
public class JsoupUtil {

	/**
	 * 使用自帶的basicWithImages 白名單
	 * 允許的便籤有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
	 * strike,strong,sub,sup,u,ul,img
	 * 以及a標籤的href,img標籤的src,align,alt,height,width,title屬性
	 */
	private static final Whitelist whitelist = Whitelist.basicWithImages();
	/** 配置過濾化引數,不對程式碼進行格式化 */
	private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
	static {
		// 富文字編輯時一些樣式是使用style來進行實現的
		// 比如紅色字型 style="color:red;"
		// 所以需要給所有標籤新增style屬性
		whitelist.addAttributes(":all", "style");
	}

	public static String clean(String content) {
	    if(StringUtils.isNotBlank(content)){
	        content = content.trim();
        }
        return Jsoup.clean(content, "", whitelist, outputSettings);
	}
	
	public static void main(String[] args) throws IOException {
		String text = "   <a href=\"http://www.baidu.com/a\" onclick=\"alert(1);\">sss</a><script>alert(0);</script>sss   ";
		System.out.println(clean(text));
	}
}

3 . 重寫請求引數處理函式

package com.xbz.web.common.filter;

import com.xbz.utils.JsoupUtil;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


/** 
 * <code>{@link XssHttpServletRequestWrapper}</code>
 * @author
 */  
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {  
    HttpServletRequest orgRequest = null;  
    private boolean isIncludeRichText = false;
  
    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {  
        super(request);  
        orgRequest = request;
        this.isIncludeRichText = isIncludeRichText;
    }  
  
    /** 
    * 覆蓋getParameter方法,將引數名和引數值都做xss過濾。<br/> 
    * 如果需要獲得原始的值,則通過super.getParameterValues(name)來獲取<br/> 
    * getParameterNames,getParameterValues和getParameterMap也可能需要覆蓋 
    */  
    @Override  
    public String getParameter(String name) {
        Boolean flag = ("content".equals(name) || name.endsWith("WithHtml"));
        if( flag && !isIncludeRichText){
            return super.getParameter(name);
        }
        name = JsoupUtil.clean(name);
        String value = super.getParameter(name);  
        if (StringUtils.isNotBlank(value)) {
            value = JsoupUtil.clean(value);
        }
        return value;  
    }  
    
    @Override
    public String[] getParameterValues(String name) {
    	String[] arr = super.getParameterValues(name);
    	if(arr != null){
    		for (int i=0;i<arr.length;i++) {
    			arr[i] = JsoupUtil.clean(arr[i]);
    		}
    	}
    	return arr;
    }
    
  
    /** 
    * 覆蓋getHeader方法,將引數名和引數值都做xss過濾。<br/> 
    * 如果需要獲得原始的值,則通過super.getHeaders(name)來獲取<br/> 
    * getHeaderNames 也可能需要覆蓋 
    */  
    @Override  
    public String getHeader(String name) {  
        name = JsoupUtil.clean(name);
        String value = super.getHeader(name);  
        if (StringUtils.isNotBlank(value)) {  
            value = JsoupUtil.clean(value); 
        }  
        return value;  
    }  
  
    /** 
    * 獲取最原始的request 
    * 
    * @return 
    */  
    public HttpServletRequest getOrgRequest() {  
        return orgRequest;  
    }  
  
    /** 
    * 獲取最原始的request的靜態方法 
    * 
    * @return 
    */  
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {  
        if (req instanceof XssHttpServletRequestWrapper) {  
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();  
        }  
  
        return req;  
    }  
  
}
4 . 編寫XSSFilter 
package com.xbz.web.common.filter;

import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;
import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
  
/** 
 * 攔截防止xss注入
 * 通過Jsoup過濾請求引數內的特定字元
 * @author yangwk 
 */  
public class XssFilter implements Filter {  
	private static final Logger logger = LogManager.getLogger();

	/**
	 * 是否過濾富文字內容
	 */
	private static boolean IS_INCLUDE_RICH_TEXT = false;
	
	public List<String> excludes = new ArrayList<>();
  
    @Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {
    	if(logger.isDebugEnabled()){
  			logger.debug("xss filter is open");
  		}
  		
  		HttpServletRequest req = (HttpServletRequest) request;
		HttpServletResponse resp = (HttpServletResponse) response;
  		if(handleExcludeURL(req, resp)){
  			filterChain.doFilter(request, response);
			return;
		}
  		
  		XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT);
  		filterChain.doFilter(xssRequest, response);
    }
    
    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {

		if (excludes == null || excludes.isEmpty()) {
			return false;
		}

		String url = request.getServletPath();
		for (String pattern : excludes) {
			Pattern p = Pattern.compile("^" + pattern);
			Matcher m = p.matcher(url);
			if (m.find()) {
				return true;
			}
		}

		return false;
	}

	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
		if(logger.isDebugEnabled()){
			logger.debug("xss filter init ====================");
		}
		String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
		if(StringUtils.isNotBlank(isIncludeRichText)){
			IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
		}
		
		String temp = filterConfig.getInitParameter("excludes");
		if (temp != null) {
			String[] url = temp.split(",");
			for (int i = 0; url != null && i < url.length; i++) {
				excludes.add(url[i]);
			}
		}
	}

	@Override
	public void destroy() {}  
  
}



5 .  增加XSS配置

package com.xbz.web.common.config;

import com.xbz.web.common.filter.XssFilter;
import com.google.common.collect.Maps;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.Map;

@Configuration
public class XssConfig{

	/**
	 * xss過濾攔截器
	 */
	@Bean
	public FilterRegistrationBean xssFilterRegistrationBean() {
		FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
		filterRegistrationBean.setFilter(new XssFilter());
		filterRegistrationBean.setOrder(1);
		filterRegistrationBean.setEnabled(true);
		filterRegistrationBean.addUrlPatterns("/*");
		Map<String, String> initParameters = Maps.newHashMap();
		initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
		initParameters.put("isIncludeRichText", "true");
		filterRegistrationBean.setInitParameters(initParameters);
		return filterRegistrationBean;
	}
}

大功告成, 另外SpringMVC版本的XSS防範請參考另一篇文章SpringMVC防止XSS攻擊

相關推薦

SpringBootXSS攻擊

1 . pom中增加依賴 <!-- xss過濾元件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifact

XSS攻擊

after while menu time IT upd RM one rac remove_xss function remove_xss($val) { // remove all non-printable characters. CR(0a) and LF(

【前端安全】JavaScriptXSS攻擊

什麼是XSS XSS(Cross Site Scripting),跨站指令碼攻擊,是一種允許攻擊者在另外一個使用者的瀏覽器中執行惡意程式碼指令碼的指令碼注入式攻擊。本來縮小應該是CSS,但為了和層疊樣式(Cascading Style Sheet,CSS)有所區分,故稱XS

springboot 防禦XSS 攻擊的簡單實現

import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOExceptio

ASP.NET(C#)後臺安全登陸程式碼(XSS攻擊\萬能密碼漏洞)

string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.T

PHP中XSS攻擊sql注入

SQL注入如何防? TP中的底層已經做了防SQL注入的操作,只要我們操作資料庫時使用TP提供給我們的方法就不會有問題,如新增商品時我們呼叫了add方法。唯一要注意的就是如果我們自己拼SQL執行時就要自己來過濾了。 總結:如果要自己拼SQL語句,一定要自己再過濾一下【add

js 前端xss攻擊——百度UEditor解決方案

  xss跨站指令碼攻擊(Cross Site Scripting),是一種經常出現在web應用中的電腦保安漏洞,指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的。比如

js html程式碼轉譯xss攻擊

function safeHtml(a){//轉譯html程式碼 var s=""; for(var i=0;i<a.length;i++){ var arg=S

關於在線文本編輯器XSS註入攻擊問題

使用 行處理 som 註入攻擊 .get str 代碼 自動 這樣的 跨站腳本攻擊,又稱XSS代碼攻擊,也是一種常見的腳本註入攻擊。例如在下面的界面上,很多輸入框是可以隨意輸入內容的,特別是一些文本編輯框裏面,可以輸入例如<script>alert(‘這是一個頁

php對前臺提交的表單資料做安全處理(SQL注入和XSS攻擊等)

/** * 防sql注入字串轉義 * @param $content 要轉義內容 * @return array|string */ public static function escapeString($content) { $pa

springboot 、springmvc 預防xss 攻擊 自定義WebBindingInitializer 實現類

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework

安全防禦之xss、SQL注入、與CSRF攻擊

XSS攻擊 個人理解,專案中最普通的就是通過輸入框表單,提交js程式碼,進行攻擊例如在輸入框中提交 <script>alert("我是xss攻擊");</script>,如果沒有防御措施的話,就會在表單提交之後,彈出彈窗 防禦措施,目前我主要是用一個過濾器,將特殊字元進行轉

springboot 實現防止xss攻擊和sql注入

一、xss攻擊和sql注入(可以使用IBM安全漏洞掃描工具) (1)XSS(Cross Site Scripting),即跨站指令碼攻擊,是一種常見於web application中的電腦保安漏洞。XSS通過在使用者端注入惡意的可執行指令碼,若伺服器端對使用者輸入不進行處理,直接將使用者輸入

JAVA WEB中處理SQL注入|XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

防範xss攻擊-springboot程式碼實現

【現象】:form 提交可執行的HTML 標籤或JS 程式碼成功。比如:"/><script>alert('啦啦啦啦啦啦')</script><!-   或者 <img src='1.jpg' onload=alert(1)>

springboot-防止sql注入,xss攻擊,cros惡意訪問

springboot-防止sql注入,xss攻擊,cros惡意訪問 文章目錄 springboot-防止sql注入,xss攻擊,cros惡意訪問 1.sql注入 2.xss攻擊 3.csrf/cros 完

一、Springboot安全之CSRF攻擊

(一)簡要介紹   跨站請求偽造(Cross-site request fogery),也被稱為one-click attack或者session riding,通常縮寫為CSRF或者XSRF,是一種挾制使用者在當前已登入的WEB應用程式上執行非本意的操作的攻擊

關於xss攻擊

訪問者 登錄 pan 文章 數據 參數 innerhtml 興趣 成功 關於xss攻擊 網上相關的介紹很多,一搜索也是一大堆,這裏我就對自己感興趣的一些內容做個總結。 成因:xss是將惡意代碼(多是JavaScript)插入html代碼中。 分類: 1、 反射型 2

xss攻擊與防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

XSS攻擊

aid splay post including itl ati lease one doc XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往web頁面裏插入惡意的html代碼,當用戶瀏覽該頁之時,嵌入其中web裏面的html