Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数

最新推荐文章于 2025-03-11 15:05:44 发布
最新推荐文章于 2025-03-11 15:05:44 发布
阅读量5.6k 收藏 7
点赞数 2
原文链接:https://www.cnblogs.com/mrBeany/p/10649853.html,https://blog.youkuaiyun.com/qq_36521507/article/details/105770952
版权
本文详细介绍了如何通过表单(key-value)和JSON格式防止XSS攻击,包括使用Jsoup过滤器、自定义HttpMessageConverter及配置过滤规则。涵盖了XSS概念、攻击示例以及防止措施的实现步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本博文分为两部分

1.基于 表单key-value 传参方式防止XSS攻击

Content-Type传参方式接收方式
application/x-www-form-urlencoded表单key-valueHttpServletRequest Parameters 获取
multipart/form-data表单key-valueHttpServletRequest Parameters 获取
2.基于 json 传参方式防止XSS攻击
Content-Type传参方式接收方式
application/jsonjson格式文本HttpServletRequest IO流获取

一:什么是XSS

XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

你可以自己做个简单尝试: 
1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库; 
2. 在页面上一个div元素内直接展示第一步内存入的值,你会发现弹出框出现了;

以上两个示例仅仅算是恶作剧,恶意用户能做的更多,如获取用户信息,进行“网络钓鱼”攻击等。

应对XSS攻击的其中一个方式就是后端对输入内容进行过滤,输入内容里面的敏感信息直接过滤,如<script>标签等。

 

==========基于 表单key-value 传参方式防止XSS攻击==========

本部分博文摘录转载至:https://www.cnblogs.com/mrBeany/p/10649853.html

二:添加Jsoup依赖

Jsoup使用标签白名单的机制用来进行防止XSS攻击, 假设白名单中只允许p标签存在, 此时在一段HTML代码中, 只能存在p标签 , 其他标签将会被清除只保留被标签所包裹的内容,当然,Jsoup不仅仅可以用来过滤,还可以用来爬虫,这里先不做说明,后期会单写一篇文章进行讲解。

<dependency>
   <groupId>org.jsoup</groupId>
   <artifactId>jsoup</artifactId>
   <version>1.10.2</version>
</dependency>

三:创建过滤器

在core下创建filter文件夹

1、创建过滤规则

package com.example.demo.core.filter;

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 * @Description: xss非法标签过滤
 */
public class XssFilterUtil {

    /**
     * 使用自带的basicWithImages 白名单
     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
     * strike,strong,sub,sup,u,ul,img
     * 以及a标签的href,img标签的src,align,alt,height,width,title属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();

    /** 配置过滤化参数,不对代码进行格式化 */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文本编辑时一些样式是使用style来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加style属性
        whitelist.addAttributes(":all", "style");
    }

    public static String clean(String content) {
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }
}

2、重写请求参数处理函数,这是实现XSS过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对http请求内的参数进行了过滤。

package com.example.demo.core.filter;

import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

/**
 * 重写请求参数处理函数
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    HttpServletRequest orgRequest = null;

    private boolean isIncludeRichText = false;

    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
        super(request);
        orgRequest = request;
        this.isIncludeRichText = isIncludeRichText;
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤.
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        if (("content".equals(name) || name.endsWith("WithHtml")) && !isIncludeRichText) {
            return super.getParameter(name);
        }
        name = XssFilterUtil.clean(name);
        String value = super.getParameter(name);
        if (StringUtils.isNotBlank(value)) {
            value = XssFilterUtil.clean(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] arr = super.getParameterValues(name);
        if (arr != null) {
            for (int i = 0; i < arr.length; i++) {
                arr[i] = XssFilterUtil.clean(arr[i]);
            }
        }
        return arr;
    }


    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        name = XssFilterUtil.clean(name);
        String value = super.getHeader(name);
        if (StringUtils.isNotBlank(value)) {
            value = XssFilterUtil.clean(value);
        }
        return value;
    }

    /**
     * 获取最原始的request
     *
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     *
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }
        return req;
    }

}

3、添加过滤XSS请求的入口,在这里通过XssHttpServletRequestWrapper将HttpServletRequest进行了封装,filterChain.doFilter(xssRequest, response);保证了后续代码执行request.getParameter,request.getParameterValues,request.getHeader时调用的都是XssHttpServletRequestWrapper内重写的方法,获取到的参数是已经进行过标签过滤的内容,从而消除了敏感信息。

package com.example.demo.core.filter;


import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

/**
 * @Description: 拦截防止xss注入 通过Jsoup过滤请求参数内的特定字符
 */
public class XssFilter implements Filter {

    //是否过滤富文本内容
    private static boolean IS_INCLUDE_RICH_TEXT = true;

    public List<String> excludes = new ArrayList<>();

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        if (handleExcludeURL(req, resp)) {
            filterChain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request, IS_INCLUDE_RICH_TEXT);
        filterChain.doFilter(xssRequest, response);
    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
        if (excludes == null || excludes.isEmpty()) {
            return false;
        }
        String url = request.getServletPath();
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find()) {
                return true;
            }
        }
        return false;
    }

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
        if (StringUtils.isNotBlank(isIncludeRichText)) {
            IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
        }
        String temp = filterConfig.getInitParameter("excludes");
        if (temp != null) {
            String[] url = temp.split(",");
            for (int i = 0; url != null && i < url.length; i++) {
                excludes.add(url[i]);
            }
        }
    }

    @Override
    public void destroy() {
    }

}

四:注册过滤器

创建core→configurer→XssFilterConfigurer

package com.example.demo.core.configurer;

import com.example.demo.core.filter.XssFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.HashMap;
import java.util.Map;

/**
 * @Description:xss过滤拦截器配置文件
 */
@Configuration
public class XssFilterConfigurer {

    /**
     * xss过滤拦截器
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistrationBean() {
        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
        filterRegistrationBean.setFilter(new XssFilter());
        filterRegistrationBean.setOrder(Integer.MAX_VALUE-1);
        filterRegistrationBean.setEnabled(true);
        filterRegistrationBean.addUrlPatterns("/*");
        Map<String, String> initParameters = new HashMap();
        //excludes用于配置不需要参数过滤的请求url
        initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
        //isIncludeRichText主要用于设置富文本内容是否需要过滤
        initParameters.put("isIncludeRichText", "true");
        filterRegistrationBean.setInitParameters(initParameters);
        return filterRegistrationBean;
    }
}

 

==========基于 json 传参方式防止XSS攻击==========

本部分博文摘录转载至:https://blog.youkuaiyun.com/qq_36521507/article/details/105770952

 

重写extendMessageConverters,此方法注释说就是让来修改已经配置好的转化器列表呢,我们只需要遍历列表,找到MappingJackson2HttpMessageConverter,我们可以根据类型来判断哪个是 MappingJackson2HttpMessageConverter ,然后移除(注意遍历移除一定要用迭代器),把自定义的添加进去就好了,我们写在 WebMvcConfig 里

注:后台方法接收参数,需要以@RequestBody Object object (对象)形式 , @RequestBody String json 此格式无效

package cn.sits.rjb.config.xss;

import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.apache.commons.lang3.StringEscapeUtils;
import org.codehaus.jackson.JsonProcessingException;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.ListIterator;

@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("swagger-ui.html")
                .addResourceLocations("classpath:/META-INF/resources/");

        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("classpath:/META-INF/resources/webjars/");
    }


    @Override
    protected void extendMessageConverters(List<HttpMessageConverter<?>> messageConverters) {
        /**
         * 替换默认的MappingJackson2HttpMessageConverter,过滤(json请求参数)xss
         */
        ListIterator<HttpMessageConverter<?>> listIterator = messageConverters.listIterator();
        while(listIterator.hasNext()) {
            HttpMessageConverter<?> next = listIterator.next();
            if(next instanceof MappingJackson2HttpMessageConverter) {
                listIterator.remove();
                break;
            }
        }
        messageConverters.add(getMappingJackson2HttpMessageConverter());

    }

    public MappingJackson2HttpMessageConverter getMappingJackson2HttpMessageConverter() {
        // 创建自定义ObjectMapper
        SimpleModule module = new SimpleModule();
        module.addDeserializer(String.class, new JsonHtmlXssDeserializer(String.class));
        ObjectMapper objectMapper = Jackson2ObjectMapperBuilder.json().applicationContext(this.getApplicationContext()).build();
        objectMapper.registerModule(module);
        // 创建自定义消息转换器
        MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
        mappingJackson2HttpMessageConverter.setObjectMapper(objectMapper);
        //设置中文编码格式
        List<MediaType> list = new ArrayList<>();
        list.add(MediaType.APPLICATION_JSON_UTF8);
        mappingJackson2HttpMessageConverter.setSupportedMediaTypes(list);
        return mappingJackson2HttpMessageConverter;
    }

}

/**
 * 对入参的json进行转义
 */
class JsonHtmlXssDeserializer extends JsonDeserializer<String> {

    public JsonHtmlXssDeserializer(Class<String> string) {
        super();
    }

    @Override
    public Class<String> handledType() {
        return String.class;
    }

    @Override
    public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
        String value = jsonParser.getValueAsString();
        if (value != null) {
            return StringEscapeUtils.escapeHtml4(value.toString());
        }
        return value;
    }
}

 

初—
关注
Spring Boot 3 一行代码解决通过 @RequestBody 接收 JSON 格式请求数据的 XSS 攻击
x201206030的博客
05-21 480
最近在做一个 Spring Boot 3 + Vue 3 前后端分离的开源项目。对于 POST 和 PUT 类型的请求方法,后端基本都是通过 @RequestBody 注解接收 application/json 格式的请求数据,所以以前通过过滤器 + 装饰器 HttpServletRequestWrapper 来解决 XSS 攻击的方式并不适用。
SpringBoot+Xss过滤(@RequestBody参数过滤Xss
Answer0902的博客
07-07 3204
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
XSS 漏洞深度解析:攻防对抗与高阶利用
最新发布
2401_85280228的博客
03-11 475
XSS 的防御是一场持续的动态博弈。攻击者不断发掘新的绕过技巧,而开发者需通过分层防御、安全编码和实时监控构建全方位护盾。理解漏洞原理、熟悉攻击手法、掌握防御框架,是每一位 Web 安全从业者的必修课## 最后从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 3939
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
SpringBoot使用Jsoup处理Xss攻击,包括RequestBody处理 (包括Jsoup的坑)
zzzgd_666的博客
09-27 1万+
一 Jsoup 在处理xss攻击的时候,以前都是自己将特殊字符和敏感属性进行转义或替换,代码十分繁杂,这几天在网上找到了一个比较好的框架:Jsoup, 它可以让java能对Html标签做各种各样的处理,其中就有处理非法标签和属性的api. Jsoup官网介绍如下: jsoup实现WHATWG HTML5规范,并将HTML解析为与现代浏览器相同的DOM。 从URL,文件或字符串中刮取和解析 HTM...
Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)
新鲜雾霾的博客
12-30 1906
第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”) @Component @Slf4j @WebFilter(filterName = "xssFilter", urlPatterns = "/*") @Order(5) public class XssFilter implements Filter { private static final Strin...
Spring过滤json中的XSS
学医救不了中国人
10-24 6627
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
SpringBootXss攻击
zhu1361的专栏
05-11 241
通过上述文章进行处理后,发现在Tomcat运行时已出现异常,排查后发现其XssFilter 需要补充实现init方法和destroy方法,不然tomcat运行war包会启动失败,记录下。
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
springboot防止 XSS 攻击
Fightevery的博客
07-05 1578
1. 什么是XSS攻击XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。也就是作恶的用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 2. 如何防范? 有两种方式,一种是一些特殊字符转义,另一种是去除一些危险html元素。本文通过JSOUP库实现第二种方式。 2.1 什么时候注入请求参数 常见的控制器方法有下面几种,分别是通过GET获取请求参数,POST获取json或者form
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
SpringBoot打造坚固防线:轻松实现XSS攻击防御
码上飞扬的博客
07-06 3554
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
Springboot过滤xss
Time_Point的博客
04-26 3592
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
Springboot前后端使用json交互数据(@RequestBody注解的理解)
热门推荐
Sacredness的博客
11-07 1万+
控制器
JSON XSS
mingyqf的博客
05-09 1023
JSON XSS 本文由Bypass整理发布, 文章目录[JSON XSS](https://www.cnblogs.com/xiaozi/p/9929704.html) 漏洞实例一: 1、在更新用户信息,修改联系电话,抓包绕过前端20个字符限制,Payload为 111<img src=1 onerror=alert(1)> 2、更新后,访问json 3、已隐去相关信息,json形式大约是这样子: {"birthday":"1991-12-09 00:00:00","org": {
JSON XSS
11-08 145
漏洞实例一: 1、在更新用户信息,修改联系电话,抓包绕过前端20个字符限制,Payload为111<img src=1 onerror=alert(1)> 2、更新后,访问json 3、已隐去相关信息,json形式大约是这样子: {"birthday":"1991-12-09 00:00:00","org": {"parent":"ae5ef...
SpringBoot使用Jsoup处理Xss攻击,包括RequestBody处理
weixin_34232617的博客
05-15 1305
2019独角兽企业重金招聘Python工程师标准>>> ...
Springboot配置XSS攻击&Sql注入(完整版)
Zhangmaoyang的博客
07-05 7661
Springboot配置防XSS攻击&Sql注入(含Post请求、跳过文件上传、跳过自定义路径)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值