SpringBoot+Xss过滤(@RequestBody参数过滤Xss)

最新推荐文章于 2025-06-05 09:31:37 发布
最新推荐文章于 2025-06-05 09:31:37 发布
阅读量3.4k 收藏 12
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 杂记 文章标签: 过滤器 servlet filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Answer0902/article/details/118546226
该博客介绍了如何在SpringBoot项目中使用XssFilter和XssHttpServletRequestWrapper来过滤XSS攻击。通过拦截请求,对@RequestBody注解的参数进行净化,避免SQL注入等恶意代码。依赖于Jsoup和Commons Lang3库,启动类需添加Servlet组件扫描。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

记一次SpringBoot+Xss过滤

XssFilter过滤器
import org.springframework.stereotype.Component;
import org.springframework.web.multipart.MultipartHttpServletRequest;
import org.springframework.web.multipart.commons.CommonsMultipartResolver;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import com.jfinal.kit.StrKit;

/**
 * @ProjectName: smt
 * @ClassName:
 * @Description:
 * @Author: yue zhenbin
 * @Date: 2021/7/7 9:16
 */
@Component
@WebFilter(urlPatterns = "/*", filterName = "xssFilter")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String contentType = request.getContentType();
        if (StrKit.notBlank(contentType) && contentType.contains("multipart/form-data")) {//对图片上传不进行xss过滤
            chain.doFilter(request, response);
        }else {
            XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
            chain.doFilter(xssRequest, response);
        }

    }
    @Override
    public void destroy() {}
}
XssHttpServletRequestWrapper过滤规则类

主要针对@RequestBody进行的参数过滤

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.Charset;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;


import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.nodes.Document.OutputSettings;
import org.jsoup.safety.Whitelist;
import org.springframework.util.StreamUtils;

import com.alibaba.fastjson.JSONObject;

/**
 * XSS过滤处理
 *
 * @author ruoyi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    //使用basic()
    private static final Whitelist whitelist = createWhitelist();

    private static final OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    private byte[] requestBody;
    private Charset charSet;

    private static Whitelist createWhitelist() {
        return Whitelist.basic();
    }

    private static String filter(String value) {
        if(value!=null) {
            value = Jsoup.clean(value, "", whitelist, outputSettings).trim();
        }
        return value;
    }

    /**
     *
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        //缓存请求body
        try {
            String requestBodyStr = getRequestPostStr(request);
            requestBodyStr=filterBadString(requestBodyStr);
            if (StringUtils.isNotBlank(requestBodyStr)) {
                requestBodyStr=filter(requestBodyStr);
                JSONObject resultJson = JSONObject.parseObject(requestBodyStr);
                requestBody = resultJson.toString().getBytes(charSet);
            } else {
                requestBody = new byte[0];
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    /**
     * 获取POST请求体中数据
     * @param request
     * @return
     * @throws IOException
     */
    public String getRequestPostStr(HttpServletRequest request)
            throws IOException {
        String charSetStr = request.getCharacterEncoding();
        if (charSetStr == null) {
            charSetStr = "UTF-8";
        }
        charSet = Charset.forName(charSetStr);

        return StreamUtils.copyToString(request.getInputStream(), charSet);
    }

    @Override
    public ServletInputStream getInputStream() {
        if (requestBody == null) {
            requestBody = new byte[0];
        }

        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return byteArrayInputStream.read();
            }
        };
    }

    /**
     * 特殊字符过滤
     *
     * @param value
     * @return
     */
    private  static String filterBadString(String value) {

        String REP_TIPS = "BadParamter";

        value = value.replaceAll("select", REP_TIPS);

        value = value.replaceAll("SELECT", REP_TIPS);

        value = value.replaceAll("insert", REP_TIPS);

        value = value.replaceAll("INSERT", REP_TIPS);

        value = value.replaceAll("delete", REP_TIPS);

        value = value.replaceAll("DELETE", REP_TIPS);

        value = value.replaceAll("update", REP_TIPS);

        value = value.replaceAll("UPDATE", REP_TIPS);

        value = value.replaceAll("script", REP_TIPS);

        value = value.replaceAll(">", REP_TIPS);

        value = value.replaceAll("<", REP_TIPS);

        value = value.replaceAll("=", REP_TIPS);

        value = value.replaceAll("@", REP_TIPS);
        return value;
    }
}

启动类需添加Servlet扫描:@ServletComponentScan(“com.xxx.smt.config.XssFilter”)

所需要的依赖:
<dependency>
            <groupId>org.jsoup</groupId>
            <artifactId>jsoup</artifactId>
            <version>1.10.2</version>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>
        <!-- jfinal 核心包 -->
        <dependency>
            <groupId>com.jfinal</groupId>
            <artifactId>jfinal</artifactId>
            <version>2.2</version>
        </dependency>
        <dependency>
	       <groupId>com.jfinal</groupId>
	       <artifactId>cos</artifactId>
	       <version>26Dec2008</version>
        </dependency>
Spring Boot 3 一行代码解决通过 @RequestBody 接收 JSON 格式请求数据的 XSS 攻击
x201206030的博客
05-21 502
最近在做一个 Spring Boot 3 + Vue 3 前后端分离的开源项目。对于 POST 和 PUT 类型的请求方法,后端基本都是通过 @RequestBody 注解接收 application/json 格式的请求数据,所以以前通过过滤器 + 装饰器 HttpServletRequestWrapper 来解决 XSS 攻击的方式并不适用。
Springboot@RequestBody参数过滤Xss
qq_36798836的博客
09-16 5150
在使用@RequestBody情况SpringBoot 参数并不是封装在parameter里面,所以重写getParameterValues和getParameterValue并不能解决问题,@RequestBody是流的形式,所以写Xss过滤如下: import java.io.ByteArrayInputStream; import java.io.IOException; import ja...
SpringBoot注入XSS和SQL非法参数过滤器
davidhhs的博客
07-16 1242
直接将自定义请求包装器XssAndSqlHttpServletRequestWrapper.java和自定义过滤器 XssAndSqlFilter.java 引入到项目中配置到可以扫描的路径下。拦截所有请求,校验参数中包含XSS和SQL的非法参数。 package com.lw.filter; import lombok.extern.slf4j.Slf4j; import org.springframework.util.StreamUtils; import javax.servlet.Re..
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!
最新发布
Python84310366的博客
06-05 940
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilterServlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入.zip
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.youkuaiyun.com/u011974797/article/details/121792680
Springboot配置XSS过滤器XssFilter
qq_44691484的博客
04-02 4644
Springboot配置XSS过滤器XssFilter
Springboot过滤xss
Time_Point的博客
04-26 3643
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
Springboot 阻止XSS攻击
热门推荐
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
xss-filter-spring-boot-starter:springboot自动xss
05-17
xss-filter-spring-boot-starter springboot自动xss 使用方法在项目的pom.xml中加入依赖即口 <dependency> <groupId>com.djk</groupId> <artifactId>xss-filter-spring-boot-starter</artifactId> <version>0.0.1</version> </dependency> 目前支持3种入参数xss过滤 @RequestMapping("/test1") public String test1(String name) { log.error("name:{}", name); return name; } @RequestMapping("/test2/{name}/{age}/{tes
SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入
阿啄debugIT
02-09 2301
前言 SpringBoot整合XssFilter,Jsoup等实现请求参数过滤,处理Xss攻击及sql注入,以下是涉及的主要类: 原理过程 Springboot中会使用FilterRegistrationBean来注册FilterFilterServlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2955
springboot增加xss过滤器,防止xss攻击
Springboot实现XSS漏洞过滤
qq_39914899的博客
01-19 2146
前言 唉,开始变懒了,一开始计划的每次学习到新东西就要写博客记录一下,然后写了一篇文章后,就没动静了~没动静了~动静了~了~ 背景 前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ...
SpringBoot防御Xss攻击 Filter方式实现
hk1909的博客
05-07 1418
导入依赖 <!-- xss --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.4</version> </dependency>
XSS攻击
weixin_46015266的博客
10-16 319
XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 为了和 CSS 区分,这里把攻击的第一个字母改成了 X,于是叫做 XSS。 一、XSS注入的方法: 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字
SpringBoot】使用过滤器进行XSS防御
morris
11-15 9904
在Spring Boot中,我们可以使用注解的方式来进行XSS防御。注解是一种轻量级的防御手段,它可以在方法或字段级别对输入进行校验,从而防止XSS攻击。 而想对全局的请求都进行XSS防御可以使用servlet中的过滤器或者spring mvc中的拦截器,这里使用servlet中的过滤器进行演示。
unity带滑块环形进度条
02-27
### 如何在 Unity 中实现带滑块交互的圆形进度条 为了实现在 Unity 中创建带有滑块交互的环形进度条,可以利用 `Slider` 组件以及特定的填充方法来达成目标。对于 UI 的设计部分,Unity 提供了灵活的方式来定制化各种类型的视觉反馈。 #### 创建基础UI结构 首先,在 Unity 编辑器中的 Hierarchy 窗口中右键点击并选择 **UI -> Slider** 来添加一个新的滑动条对象到场景里。这会自动建立一个 Canvas 及其子物体 Slider[^2]。 #### 设置圆形象征性的 Image 组件 为了让进度条呈现为圆形外观,需找到刚创建出来的 Slider 下面名为 `Fill Area/Fill` 的 GameObject,并将其上的 Image 组件属性里的 Source Image 更改为适合做背景的一个圆形 Sprite 图片资源;接着把 Fill Method 设定成 Radial 360 度模式以形成完整的圈状显示效果[^3]。 #### 脚本控制逻辑编写 下面是一个简单的 C# 脚本来绑定滑块值的变化与环形进度条之间的同步更新: ```csharp using UnityEngine; using UnityEngine.UI; public class CircularProgressBar : MonoBehaviour { public Slider slider; // 关联至 Inspector 中对应的 Slider 控件 void Update() { float progressValue = slider.value / slider.maxValue; RectTransform rectTransform = GetComponent<RectTransform>(); rectTransform.Rotate(Vector3.forward, (progressValue * 360f - rectTransform.eulerAngles.z)); } } ``` 此脚本的作用在于每当用户拖拽滑块改变数值时,都会实时计算当前百分比并将之应用于旋转角度上从而达到动态展示的效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Dream答案

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值