2. 程式人生 > >Spring 中處理XSS

Spring 中處理XSS

阿新 發佈:2019-01-05

有2種方式

一:在BaseController中定義方法

  1. /** 
  2.  * 初始化資料繫結 
  3.  * 1. 將所有傳遞進來的String進行HTML編碼,防止XSS攻擊 
  4.  *  
  5.  */
  6. @InitBinder
  7. protectedvoid initBinder(WebDataBinder binder) {  
  8.     // String型別轉換,將所有傳遞進來的String進行HTML編碼,防止XSS攻擊
  9.     binder.registerCustomEditor(String.classnew PropertyEditorSupport() {  
  10.         @Override
  11.         publicvoid setAsText(String text) {  
  12.             setValue(text == null ? null : StringEscapeUtils.escapeHtml4(text.trim()));  
  13.         }  
  14.         @Override
  15.         public String getAsText() {  
  16.             Object value = getValue();  
  17.             return value != null ? value.toString() : 
    "";  
  18.         }  
  19.     });  
  20. }  
其他Controller繼續該抽象類即可。

二種:定義自己的編輯器

  1. publicclass StringEscapeEditor extends PropertyEditorSupport {  
  2.     public StringEscapeEditor() {  
  3.         super();  
  4.     }  
  5.     publicvoid setAsText(String text) {  
  6.         if (text == null) {  
  7.             setValue(null);  
  8.         } else {  
  9.             String value = text;  
  10.             value = StringEscapeUtils.escapeHtml4(value);  
  11. //          value = StringEscapeUtils.escapeJavaScript(value);
  12. //          value = StringEscapeUtils.escapeSql(value);
  13.             setValue(value);  
  14.         }  
  15.     }  
  16.     public String getAsText() {  
  17.         Object value = getValue();  
  18.         return value != null ? value.toString() : "";  
  19.     }  
  20.     publicstaticvoid main(String[] args) {  
  21.         String xx="'><script>alert(document.cookie)</script>";  
  22.         System.out.println(StringEscapeUtils.escapeHtml4(xx));  
  23.     }  
  24. }  

  1. publicclass MyBindingInitializer implements WebBindingInitializer {  
  2.     @Override
  3.     publicvoid initBinder(WebDataBinder binder, WebRequest request) {  
  4.         // 註冊自定義的屬性編輯器。這裡可以註冊多個屬性編輯器
  5.         binder.registerCustomEditor(String.classnew StringEscapeEditor());  
  6.     }  
  7. }  

配置檔案裡註冊下

  1. <bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter">  
  2. <property name="webBindingInitializer">    
  3.         <bean class="com.bypay.forpay.web.common.MyBindingInitializer"/>    
  4.     </property>    
  5. </bean>  


其他注意事項:

  1. 在Oracle中,如果SQL中有like查詢,若輸入條件為:'><script>alert(document.cookie)</script>  
  1. sql的寫法:  
  1. 推薦:<if test="dbName == 'oracle'">'%'||#{name}||'%'</if>   
  1. 不推薦:<if test="dbName == 'oracle'">and name like '%${merId}%'</if>這種寫法會導致SQL注入問題  

另外網上很多的那種XSSfilter,我自己測試只有URL的那種get請求有效,spring mvc引數直接繫結到物件的方式是不會走這個filter,也就無法防止XSS的。不知道其他人是不是也這樣。

相關推薦

Spring 處理XSS

有2種方式 一:在BaseController中定義方法 /**   * 初始化資料繫結   * 1. 將所有傳遞進來的String進行HTML編碼,防止XSS攻擊   *    */ @InitBinder protectedvoid initBinder(We

spring處理中文亂碼的一個過濾器配置

 <filter>    <filter-name>Spring character encoding filter</filter-name>    <filter-class>org.springframework.web.

Spring的統一異常處理

trac pub 發現 相關 out erro del ipa 行為 在具體的SSM項目開發中,由於Controller層為處於請求處理的最頂層,再往上就是框架代碼的。因此,肯定需要在Controller捕獲所有異常,並且做適當處理,返回給前端一個友好的錯誤碼。 不過,Co

spring實戰-SpringFilter以及處理Exception方式

第七篇:spring實戰-Spring中Filter以及處理Exception方式 Filter對於Web應用程式是至關重要的,如果web請求的字元轉換,XSS攻擊攔截等等 在SpringMVC中新增Filter也是非常方便的,可以通過重寫AbstractAnnotationConfig

spring 事務處理,同一個類:A方法(無事務)調B方法(有事務),事務不生效問題

public class MyEntry implements IBaseService{ public String A(String jsonStr) throws Exception{ UserInfo user = null; UserDetail userDetail = nul

Spring 的統一異常處理

在具體的SSM專案開發中,由於Controller層為處於請求處理的最頂層,再往上就是框架程式碼的。因此,肯定需要在Controller捕獲所有異常,並且做適當處理,返回給前端一個友好的錯誤碼。 不過,Controller一多,我們發現每個Controller裡都有大量重複的、冗餘的異常處理程式碼,很是囉嗦

Spring事務控制--Spring的事務處理

事務回顧 1)什麼是事務? 事務是邏輯上的一組操作,組成這組操作的各個邏輯單元,要麼一起成功,要麼一起失敗。 2)事務的特性(ACID) 原子性(Atomicity):事務是一個原子操作,由一系列動作組成。事務的原子性確保動作要麼全部完成,要麼完全不起作用。

spring的 @RequestBody json 請求資料做 XSS過濾

關於xss過濾,網上大都是是對 param的,這個很多文章了 定義過濾器。XSSFilter 不說了, 還有就是對所有@ResponseBody 返回內容做XSS過濾的方案: MappingJackson2HttpMessageConverter 的objectMap

分享知識-快樂自己:Spring的(三種)異常處理機制

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSch

Spring 全域性異常處理 @ExceptionHandler

最近在專案中整理了一些關於 Springboot 和 Spring 的 Exception 處理, 記錄下來也分享給其他需要的人. 學習全域性異常處理之前, 首先我們來了解兩個註解. @ControllerAdvice 和 @ExceptionHandler @Con

Spring在web.xml新增,處理頁面顯示亂碼問題 模板

<filter> <filter-name>encodingFilter</filter-name> <filter-class>org.springframework.web.filter.CharacterEncod

Spring異常的統一的處理方式

在具體的SSM專案開發中,由於Controller層為處於請求處理的最頂層,再往上就是框架程式碼的。 因此,肯定需要在Controller捕獲所有異常,並且做適當處理,返回給前端一個友好的錯誤碼。 不過,Controller一多,我們發現每個Controller裡都有大量重複的、冗餘的異常處

spring"Closing non transactional SqlSession"的處理

    在我們沒有開啟事務的時候,如果使用mybatis,我們會在日誌中看到如下的內容:"Closing non transactional SqlSession",這種情況說明沒有開啟Spring的

JAVA WEB處理防SQL注入|防XSS跨站指令碼攻擊(咋個辦呢 zgbn)

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

spring使用@Async註解進行非同步處理

引言: 在Java應用中,絕大多數情況下都是通過同步的方式來實現互動處理的;但是在處理與第三方系統互動的時候,容易造成響應遲緩的情況,之前大部分都是使用多執行緒來完成此類任務,其實,在spring 3.x之後,就已經內建了@Async來完美解決這個問題,本文將完成介紹@A

springIOC容器建立物件,物件依賴關係處理

SpringIOC容器 1) 建立物件 SpringIOC容器,是spring核心內容。 作用: 建立物件 & 處理物件的依賴關係 IOC容器建立物件: 建立物件, 有幾種方式: 1) 呼叫無引數構造器 2) 帶引數構造器 3) 工廠建立物件 工廠類,靜態方法建立

spring註解處理框架解析----原始碼實現

@Autowired和@Resource的區別: 在Java中使用@Autowired和@Resource註解進行裝配,這兩個註解分別是: 1、@Autowired按照預設型別(類名稱)裝配依賴物件,預設情況下它要求依賴物件必須存在,如果允許為null,可以設定它的r

spring boot專案處理Schedule定時任務

預設,springboot已經支援了定時任務Schedule模組,所以一般情況已經完全能夠滿足我們的實際需求,一般來說,沒有必要在加入其他類似於:quartz另外,在這裡提一個實際專案中,關於定時任務的架構上的一些考慮:一般來說,實際專案中,為了提高服務的響應能力,我們一般會通過負載均衡的方式,或者反向代理多

Spring 異常處理方法的總結

前言 在程式設計過程中,我們總是會遇到各種各樣的一樣,受檢異常和非受檢異常,也可以對這些異常進行重寫或者擴充套件,總而言之,這就涉及到一個處理異常的問題。 好的異常處理方式既容易配置又可以保持使用端的友好互動,更為重要的是在出現問題的時候快速的幫助我們定位問題。 事實上

Hibernate 事務處理spring配置事務

原文連結:http://blog.csdn.net/sd0902/article/details/8393700 1.非整合spring事務管理 事務是指由一個或者多個SQL語句組成的工作單元,這個單元中SQL語句只要有一個SQL語句執行失敗,就會撤銷整個工作單元