Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)

最新推荐文章于 2024-07-25 19:52:57 发布
原创 最新推荐文章于 2024-07-25 19:52:57 发布 · 1.9k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss

本文详细介绍了一种用于防御XSS跨站脚本攻击及SQL注入的安全过滤器实现。通过正则表达式检查请求参数,确保应用免受恶意攻击。

第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”)

@Component
@Slf4j
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
@Order(5)
public class XssFilter implements Filter {

    private static final String SCRIPT_LOW_REGEX = ".*((((\\%3C)|<)[^\\n]+((\\%3E)|>))|(((\\%22)|"|(\\%27)|')[(\\%20) ]*((\\%2B)|\\+|(\\%3B)|;))|(((\\%3D)|=)[(\\%20) ]*((\\%22)|"|(\\%27)|'))).*";
    private static final String SCRIPT_UPPER_REGEX = ".*((((\\%3C)|<)[^\\n]+((\\%3E)|>))|(((\\%22)|"|(\\%27)|')[(\\%20) ]*((\\%2B)|\\+|(\\%3B)|;))|(((\\%3D)|=)[(\\%20) ]*((\\%22)|"|(\\%27)|'))).*";
    private static final String SQL_REGEX = ".*((\\%27)|(\\')).*((\\-\\-)|(((\\%6F)|o|(\\%4F))((\\%72)|r|(\\%52)))|((\\%3B)|(;))).*";
    private static final String NOT_PROTECT = "/undefined$";

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }
@Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("*************执行过滤xssFilter******");
        HttpServletResponse res = (HttpServletResponse) servletResponse;
        res.setCharacterEncoding("UTF-8");
        res.setContentType("application/json; charset=utf-8");
        HttpServletRequest request ;
        if (servletRequest instanceof HttpServletRequest) {
            request = new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        } else {
            filterChain.doFilter(servletRequest, servletResponse);
            return;
        }

        //是否合法 :true 合法,false 不合法
        boolean isLegal = checkParams(request) ;
        String url = request.getRequestURI();
        log.info("-----------XssFilter ---- 接口{}是否合法:{}",url,isLegal);
        final Pattern notProject = Pattern.compile(NOT_PROTECT);
        if (!notProject.matcher(url).find()) {
            if (!isLegal) {
                PrintWriter writer = null;
                try {
                    writer = res.getWriter();
                    String resultVal = JSON.toJSONString(ApiRes.getInstance(ResultEnum.XSS_ERROR));
                    writer.write(resultVal);
                    writer.flush();
                    writer.close();
                } catch (Exception e) {
                    log.error("AuthPathFilter Error" + e.getMessage(), e);
                } finally {
                    if (null != writer) {
                        writer.close();
                    }
                }
                return;
            }
        }
        filterChain.doFilter(request, servletResponse);
        return;
    }

    @Override
    public void destroy() {

    }

    /**
     * 校验入参是否含有特殊字符
     * @param request
     * @return
     */
    private boolean checkParams(HttpServletRequest request) {
        Pattern scriptLowRegex = Pattern.compile(SCRIPT_LOW_REGEX);
        Pattern sqlRegex = Pattern.compile(SQL_REGEX);
        Pattern scriptUpperRegex = Pattern.compile(SCRIPT_UPPER_REGEX);

        try (BufferedReader streamReader = new BufferedReader(new InputStreamReader(request.getInputStream(), "UTF-8"))){
            StringBuilder responseStrBuilder = new StringBuilder();
            String inputStr;
            while ((inputStr = streamReader.readLine()) != null) {
                responseStrBuilder.append(inputStr);
            }
            String jString = responseStrBuilder.toString();
            //组装成数组
            if (jString.indexOf("[") ==  -1) {
                jString = "["+jString+"]";
            }
            if (StringUtils.isNotBlank(jString)) {
                boolean valid = isJSONValid(jString);
                if (valid) {
                    JSONArray jsonArray = JSONArray.parseArray(jString);
                    for (int i = 0; i < jsonArray.size() ; i++) {
                        JSONObject jsonObject = jsonArray.getJSONObject(i);
                        Iterator<Map.Entry<String, Object>> iterator = jsonObject.entrySet().iterator();
                        while (iterator.hasNext()) {
                            Map.Entry<String, Object> next = iterator.next();
                            if (!Objects.isNull(next.getValue())) {
                                String value = next.getValue().toString();
                                String paraValue = value.toUpperCase();
                                paraValue = replaceStr(paraValue);
                                if (scriptLowRegex.matcher(paraValue).matches()|| sqlRegex.matcher(paraValue).matches() || scriptUpperRegex.matcher(paraValue).matches()) {
                                    return false;
                                }
                            }
                        }
                    }
                }
            }

        } catch (IOException io) {
            io.printStackTrace();
            log.error("参数解析错误", io);
        }
        return true;
    }

    /**
     * 判断字符串是否满足json格式
     * @param jsonInString
     * @return
     */
    private boolean isJSONValid(String jsonInString) {
        try {
            final ObjectMapper mapper = new ObjectMapper();
            mapper.readTree(jsonInString);
            return true;
        } catch (IOException e) {
            return false;
        }
    }

    /**
     * 转义字符
     * @param value
     * @return
     */
    private String replaceStr(String value) {
        value = value.replace("+", "%2B")
                //.replace("/", "%2F")
                .replace("?", "%3F")
                .replace("%", "%25")
                .replace("#", "%23")
                .replace("&", "%26")
                .replace("=", "%3D")
                .replace("@", "%40")
                .replace(":", "%3A")
                .replace(";", "%3B")
                .replace("<", "%3C")
                .replace(">", "%3E")
                .replace("\\", "%5C")
                .replace("|", "%7C")
                .replace("$", "%24")
                .replace("^", "%5E")
                .replace(",", "%2C")
                .replace("'", "%27")
                .replace("=", "%3D")
                .replace("[", "%5B")
                .replace("]", "%5D")
                .replace("{", "%7B")
                .replace("}", "%7D")
                .replace("\"", "%22");
        return value;
    }
}

第二部分代码:

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private final byte[] bytes;

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        // 读取输入流里的请求参数,并保存到bytes里
        bytes = IOUtils.toByteArray(request.getInputStream());

    }
    @Override
    public ServletInputStream getInputStream() throws IOException {
        return new BufferedServletInputStream(this.bytes);
    }

    class BufferedServletInputStream extends ServletInputStream {
        private ByteArrayInputStream inputStream;
        public BufferedServletInputStream(byte[] buffer) {
            //此处即赋能,可以详细查看ByteArrayInputStream的该构造函数;
            this.inputStream = new ByteArrayInputStream( buffer );
        }
        @Override
        public int available() throws IOException {
            return inputStream.available();
        }
        @Override
        public int read() throws IOException {
            return inputStream.read();
        }
        @Override
        public int read(byte[] b, int off, int len) throws IOException {
            return inputStream.read( b, off, len );
        }

        @Override
        public boolean isFinished() {
            return false;
        }

        @Override
        public boolean isReady() {
            return false;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }
    }
}
Springboot配置XSS过滤器XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.youkuaiyun.com/u011974797/article/details/121792680
JSP spring boot / cloud 使用filter防止XSS
10-19
需要特别注意的是,实施了XSS攻击防范措施后,还需要定期进行安全测试和代码审查,确保过滤器的有效性和应用的安全性。此外,随着Web安全技术的发展,XSS攻击的手段也在不断进化,因此对开发人员而言,关注最新的...
spring boot 添加自定义拦截器过滤器 Content-Type=application/json 格式数请求方式处理
热门推荐
weikzhao0521的博客
09-04 3万+
 Content-Type=application/json 格式数请求方式处理 用postman测试 后台处理步骤: 一、 添加过滤器: Content-Type=application/json 格式数数据接收是通过流的形式接收的。流读取一次就没有了,如果只用拦截器里直接获取数流统一验证后,再转到control层数肯定就没了。所以这个需要先把流读取出来再放进去。 ...
Spring过滤json中的XSS
学医救不了中国人
10-24 6680
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式
Cjx_Flying的博客
12-15 6035
本博文分为两部分 1.基于 表单key-value 传方式防止XSS攻击 Content-Type 传方式 接收方式 application/x-www-form-urlencoded 表单key-value HttpServletRequest Parameters 获取 multipart/form-data 表单key-value HttpServletRequest Parameters 获取 2.基于 json方式防止XSS攻击 .
Springboot过滤xss
Time_Point的博客
04-26 3810
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
Java Web Spring Boot中的Filter过滤器详解
xycxycooo的博客
07-25 983
首先,我们需要定义一个过滤器类,实现接口,并重写其所有方法。System . out . println("init 初始化方法执行了");System . out . println("Demo 拦截到了请求...放行前逻辑");// 放行 chain . doFilter(request , response);System . out . println("destroy 销毁方法执行了");} }
spring boot实现过滤器和拦截器demo
08-31
Spring Boot中,我们可以通过实现`javax.servlet.Filter`接口来创建自定义过滤器。以下是一个简单的`ActionFilter`示例: ```java public class ActionFilter implements Filter { @Override public void init...
spring boot 拦截器拦截/Filter 过滤session案例
06-28
在本文中,我们将深探讨如何在Spring Boot应用中使用拦截器(Interceptor)和过滤器(Filter)来处理用户的登录session。这两个组件都是Spring框架的重要部分,它们在处理HTTP请求和响应时发挥着关键作用。 首先...
Spring Boot(23):记录接口日志再也不难!用AOP和自定义注解给Spring Boot加上日志拦截器!
**My Coding Family**
09-01 4401
基于AOP实现自定义注解拦截接口日志并库,一文教会你。
【快学SpringBoot过滤XSS脚本攻击(包括json格式)
weixin_33845881的博客
06-17 1894
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 如何避免XSS攻击 ...
xssfilter 导致后端没有获取josn中的字段内容
01-31 339
因为xss 把body请求体重含有script的字符串替换为空串,导致请求体中description字段被替换为deion,实体类属性匹配不是,所以获取不到。改为以下正则,^排除以A到z开头和结尾的字符串,以外的都吧script换回空串,但保留script前后的非字母(小括号内).如 ":"script"," 换位 ":"","
JAVA----过滤器XssFilter,实现:防XSS,去掉数左右空格
Damys
05-06 945
XssFilter 过滤器 public class XssFilter implements Filter { public boolean enabled = false; // 过滤开关 public List<String> excludes = new ArrayList<>(); // 排除url @Override public void init(FilterConfig filterCon
spring cloud 框架中添加过滤器,对json格式的请求数据进行过滤进行防sql注(只对一层json有效)
weixin_38853916的博客
12-19 1858
请求数据json只能是一层,多层嵌套的json数据不支持,有大牛知道怎么解决的可以提出来,谢谢 import com.netflix.zuul.ZuulFilter; import com.netflix.zuul.context.RequestContext; import com.netflix.zuul.http.ServletInputStreamWrapper; import l...
XSS过滤器Filter实现全过程
qq_38118138的博客
06-21 1万+
XSS过滤器Filter实现全过程 需求: 对用户输的内容进行过滤,转义特殊字符,防止部分XSS攻击 项目基础: 前端采用form+ajax提交数据,后端采用SpringMVC框架,@RequestMapping注解的方法接收前端数。其中还有用到multipart/form-data传输文件。 实现步骤: 一、实现XSSFilter类 二、实现XssHttpServletRequestWraper类 三、在web.xml注册过滤器 一、实现XssFilter public class XssFilter
如何在springboot项目中进行XSS过滤
b1356039的博客
03-25 830
简单介绍 XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插恶意html代码,当用户浏览该页之时,嵌其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 过滤方式:主要通过对html标签进行转义的方式达到过...
Springboot配置XSS过滤器XssFilter
涛哥是个大帅比
12-08 1万+
简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插恶意html代码,当用户浏览该页之时,嵌其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注:所谓SQL注,就是通过把SQL命令插到Web表单提交或输域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用
XSS攻击解决方案之一(过滤器
willie_chen的专栏
08-23 4775
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
过滤器防止xss攻击
yizhousai0662的博客
09-01 1614
数中有关xss攻击的非法字符全部处理掉。
spring boot xss全局过滤
最新发布
07-19
<think>我们正在讨论Spring Boot中配置全局XSS过滤器的问题。根据用户的问题,他想要一个全局的XSS过滤配置方案。在Spring Boot中,我们可以通过创建一个过滤器(Filter)来对请求数进行过滤,防止XSS攻击。 解决方案通常包括: 1. 编写一个XSS过滤器的类,实现javax.servlet.Filter接口。 2. 在过滤器中,对请求进行包装,重写getParameterValues, getParameter等方法,对数值进行清理。 3. 将过滤器注册为Spring Bean,并配置过滤的URL模式。 另外,我们也可以考虑使用Spring Security的XSS保护机制,但用户要求的是全局过滤器,所以我们重点放在自定义过滤器上。 注意:我们也可以Spring Security的XSS保护,但这里用户要求的是全局过滤器配置,所以我们主要演示自定义过滤器。 步骤: 1. 创建XSS过滤器类,使用HttpServletRequestWrapper来包装请求,重写获取数的方法,对数进行转义或清理。 2. 注册该过滤器,使其对所有的请求都生效。 同时,我们需要注意,在Spring Boot中注册过滤器有两种方式: a. 使用@Bean和FilterRegistrationBean b. 使用@WebFilter和@ServletComponentScan 这里我们使用第一种方式,因为更灵活,可以设置过滤顺序、URL模式等。 下面是一个示例: 首先,创建一个XSS过滤器类,它将对请求中的数进行清理(例如使用Apache Commons Text的StringEscapeUtils来转义HTML): 注意:需要添加依赖(如果使用Apache Commons Text) 在pom.xml中添加: <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.9</version> </dependency> 但是,请注意,转义可能会在某些场景下导致问题(比如富文本输),因此在实际应用中,可能需要更复杂的策略,例如使用白名单过滤(如使用OWASP Java HTML Sanitizer)或者只对特定字段进行过滤。这里我们演示一个简单的转义。 然而,考虑到用户可能不想引额外的依赖,我们也可以使用Java自带的转义方法,但Java标准库中没有提供直接的HTML转义方法。因此,我们可以自己写一个简单的转义,或者使用Spring的HtmlUtils。但是,过滤器是在Servlet层面,不依赖Spring Web,所以我们可以使用自己写的转义函数或者使用Apache Commons Text。 为了简单,我们假设使用Apache Commons Text的StringEscapeUtils.escapeHtml4()方法。 但是,如果用户不想添加依赖,我们可以自己写一个简单的转义函数,例如: public static String escapeHtml(String input) { if (input == null) { return null; } return input.replaceAll("&", "&") .replaceAll("<", "<") .replaceAll(">", ">") .replaceAll("\"", """) .replaceAll("'", "'"); } 不过,这种方式可能不够高效,而且可能不够全面。因此,我们根据用户的选择来决定。 这里为了演示,我们使用自己写的简单转义方法。 另外,我们还需要注意,对于POST请求,如果请求体是表单数据(application/x-www-form-urlencoded),我们可以通过重写getParameter等方法进行过滤。但是,如果是JSON请求(application/json),则需要在过滤器中读取请求体,过滤后再重新设置。但是,这样做会影响性能,而且需要谨慎处理,因为请求体只能读取一次。因此,我们可以使用ContentCachingRequestWrapper,但这里为了简化,我们先处理表单数据。 对于JSON数据,通常建议在反序列化之前进行过滤,或者使用AOP在Controller方法数上进行处理。全局过滤器处理JSON请求体比较复杂,这里我们只处理表单数据。 如果用户需要处理JSON请求体,可以考虑使用@ControllerAdvice和@InitBinder或者使用AOP,或者使用自定义的MessageConverter。但用户要求全局过滤器,我们可以尝试在过滤器中处理,但要注意性能。 由于时间关系,我们这里只处理表单数据(即传统的数)。对于JSON请求体,我们可以留作后续扩展。 因此,我们创建一个XSS请求包装器: 类名:XSSRequestWrapper 然后,在过滤器中,我们将请求替换为这个包装器。 下面给出代码示例: 1. 创建XSSRequestWrapper类,继承HttpServletRequestWrapper,并重写相关方法。 2. 创建XSSFilter类,实现Filter接口,在doFilter方法中将请求替换为XSSRequestWrapper。 然后,注册这个过滤器。 具体步骤: 步骤1:创建XSSRequestWrapper ``` import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import java.util.Collections; import java.util.Enumeration; import java.util.Map; import java.util.HashMap; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); return escapeHtml(value); } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) { return null; } int length = values.length; String[] escapedValues = new String[length]; for (int i = 0; i < length; i++) { escapedValues[i] = escapeHtml(values[i]); } return escapedValues; } @Override public Map<String, String[]> getParameterMap() { Map<String, String[]> parameterMap = super.getParameterMap(); Map<String, String[]> escapedMap = new HashMap<>(); for (Map.Entry<String, String[]> entry : parameterMap.entrySet()) { String[] escapedValues = new String[entry.getValue().length]; for (int i = 0; i < entry.getValue().length; i++) { escapedValues[i] = escapeHtml(entry.getValue()[i]); } escapedMap.put(entry.getKey(), escapedValues); } return escapedMap; } @Override public String getHeader(String name) { String value = super.getHeader(name); return escapeHtml(value); } private static String escapeHtml(String input) { if (input == null) { return null; } return input.replaceAll("&", "&") .replaceAll("<", "<") .replaceAll(">", ">") .replaceAll("\"", """) .replaceAll("'", "'"); } } ``` 步骤2:创建XSSFilter ``` import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 将请求包装 chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } @Override public void destroy() { // 销毁 } } ``` 步骤3:注册过滤器Spring Boot的配置类中(比如主类或者一个专门的配置类)注册这个过滤器: ``` import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<XSSFilter> xssFilterRegistration() { FilterRegistrationBean<XSSFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new XSSFilter()); registration.addUrlPatterns("/*"); // 过滤所有请求 registration.setName("xssFilter"); registration.setOrder(1); // 设置过滤器顺序 return registration; } } ``` 这样,我们就完成了一个简单的XSS全局过滤器。 但是,请注意: 1. 这个过滤器只对表单提交的数和头信息进行了转义,对于JSON请求体无效。 2. 转义可能会对富文本内容造成影响,因此在实际应用中,可能需要对某些路径或某些数进行排除,或者使用白名单策略。 另外,我们也可以使用Spring Security的XSS保护,它通过设置HTTP头来启用浏览器的XSS保护机制。例如: ``` @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // ... .headers() .xssProtection() .block(false); // 启用XSS保护,但设置为不阻止,而是过滤(根据需求设置) } } ``` 但是,这种方式主要是设置HTTP响应头,如`X-XSS-Protection`,它依赖于浏览器的XSS保护机制,并不能完全替代服务器端的过滤。 因此,我们通常建议结合使用:服务器端过滤和设置安全响应头。 根据用户需求,他要求的是全局过滤器配置,所以我们提供了自定义过滤器的方案。 相关问题: 1. 如何使XSS过滤器只对特定的URL生效? 2. 如何处理JSON请求体中的XSS攻击? 3. 在Spring Boot中,过滤器的执行顺序是如何控制的? 注意:上面的转义函数只是一个简单示例,实际生产环境中可能需要更健壮的转义库,比如使用OWASP Java Encoder或者commons-text等。 另外,如果用户不想添加依赖,我们可以自己写一个更完整的转义函数,或者使用Spring Web提供的HtmlUtils(但需要引Spring Web,并且过滤器不依赖Spring上下文)。在我们的过滤器中,由于是独立的,所以没有使用HtmlUtils。 如果用户已经在项目中使用了Spring Web,也可以考虑在过滤器中引HtmlUtils,但这样会耦合。因此,我们这里选择了自己写一个简单的转义函数。 用户可以根据实际需求调整转义的逻辑。 引用: 在Spring Security中配置XSS保护头,如引用[1]所示,可以通过.headers().xssProtection()来配置。但请注意,引用[1]中的配置是用于设置HTTP响应头的,而我们的自定义过滤器是用于请求数的过滤。两者可以同时使用。 因此,我们可以同时配置自定义过滤器Spring Security的XSS保护头,以提供双重保护。 最后,我们生成相关问题:</think>### Spring Boot全局XSS过滤器配置指南 在Spring Boot中实现全局XSS防护,推荐通过自定义过滤器拦截请求数进行过滤。以下是完整解决方案: #### 1. 创建XSS过滤器类 ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XSSFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 包装原始请求进行XSS过滤 chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response); } } ``` #### 2. 创建请求包装器 ```java import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.text.StringEscapeUtils; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { return escapeXSS(super.getParameter(name)); } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) return null; return Arrays.stream(values) .map(this::escapeXSS) .toArray(String[]::new); } private String escapeXSS(String value) { if (value == null) return null; // 使用Apache Commons Text进行HTML转义 return StringEscapeUtils.escapeHtml4(value); } } ``` #### 3. 注册全局过滤器 ```java import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<XSSFilter> xssFilter() { FilterRegistrationBean<XSSFilter> registration = new FilterRegistrationBean<>(); registration.setFilter(new XSSFilter()); registration.addUrlPatterns("/*"); // 过滤所有URL registration.setOrder(1); // 设置最高优先级 registration.setName("xssFilter"); return registration; } } ``` #### 4. 添加依赖 (pom.xml) ```xml <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.9</version> </dependency> ``` #### 关键说明: 1. **过滤范围**:覆盖所有请求数(`getParameter`和`getParameterValues`) 2. **转义规则**: - `<` → `<` - `>` → `>` - `&` → `&` - `"` → `"` 3. **执行顺序**:通过`setOrder(1)`确保最先执行 4. **安全增强**:建议同时启用Spring Security的CSP保护[^1]: ```java .headers() .contentSecurityPolicy("script-src 'self'") ``` #### 注意事项: - 富文本内容需特殊处理(使用白名单过滤库如JSoup) - 对JSON请求需在消息转换器层额外处理 - 结合日志监控过滤操作,避免过度转义 - 推荐使用OWASP Java Encoder库增强防护 > 示例过滤效果: > 输:`<script>alert(1)</script>` > 输出:`<script>alert(1)</script>`
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值