SpringMvc防御XSS实践

最新推荐文章于 2025-05-24 11:37:01 发布
置顶 最新推荐文章于 2025-05-24 11:37:01 发布
阅读量980 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: java spring springmvc xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/a120717/article/details/80745640
本文介绍了一种在SpringMVC应用中防御XSS攻击的方法。通过自定义序列化和反序列化类,并配置HttpMessageConverter,实现了对JSON请求的安全过滤。同时,利用@InitBinder注解对form表单提交的数据进行过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

SpringMvc防御XSS实践

项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。
历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。

方案目标:

  • 只配置一次,与业务接口无关
  • 过滤两种请求的参数:Content-Type为form表单(application/x-www-form-urlencoded)和 json(application/json)

application/json

对于json请求,spring mvc默认使用MappingJackson2HttpMessageConverter转换器,
而它是使用jackson来序列化对象的,如果我们能 将jackson的序列化和反序列化过程修改,加入过滤xss代码,并将其注册到MappingJackson2HttpMessageConverter中,那么就能解决json请求的xss问题,而且我相信jackson肯定有这种接口。

具体实现:

StdSerializer

自定义序列化类

/**
 *  序列化
 * @date: 2017-12-15.
 */
public class DefaultJsonSerializer extends StdSerializer<String> {


  public DefaultJsonSerializer() {
    this(null);
  }


  public DefaultJsonSerializer(Class<String> t) {
    super(t);
  }


  @Override
  public void serialize(String value, JsonGenerator gen, SerializerProvider serializers)
      throws IOException {
    // xss策略在此执行
    String safe = HtmlUtils.htmlEscape(value, "utf-8");
    gen.writeString(safe);
  }
}
StdDeserializer

自定义反序列化类

/**
 *  反序列化
 * @date: 2017-12-15.
 */
public class DefaultJsonDeserializer extends StdDeserializer<String> {


  public DefaultJsonDeserializer() {
    this(null);
  }


  public DefaultJsonDeserializer(Class<String> t) {
    super(t);
  }


  @Override
  public String deserialize(JsonParser p, DeserializationContext ctxt)
      throws IOException {
    String value = p.getValueAsString();
    if (StringUtils.isEmpty(value)) {
      return value;
    } else {
      value = HtmlUtils.htmlEscape(value.toString(), "utf-8");
      return value;
    }
  }
}
配置HttpMessageConverter

java config配置

// WebMvcConfigurerAdapter子类中添加如下代码:
@Override
public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
  SimpleModule module = new SimpleModule();
  module.addDeserializer(String.class, new DefaultJsonDeserializer());
  module.addSerializer(String.class, new DefaultJsonSerializer());
  ObjectMapper mapper = Jackson2ObjectMapperBuilder.json().build();
  //注册自定义的序列化和反序列化器
  mapper.registerModule(module);
  MappingJackson2HttpMessageConverter converter = new MappingJackson2HttpMessageConverter(mapper);
  converters.add(converter);
}


// configureMessageConverters会覆盖spring默认的转换器,如果想额外添加一个自定义的转换器
重写extendMessageConverters方法
@Override
public void extendMessageConverters(List<HttpMessageConverter<?>> converters) {
  //...额外添加转换器....
}

xml配置

<mvc:annotation-driven>
<mvc:message-converters register-defaults="true">
<bean  ref="jsonConverter"/>
</mvc:message-converters>
</mvc:annotation-driven>
<!--
 配置MappingJackson2HttpMessageConverter
记得给它注入添加了DefaultJsonDeserializer、DefaultJsonSerializer的ObjectMapper
-->

application/x-www-form-urlencoded

使用@InitBinder,控制器中添加如下代码
@InitBinder
public void initBinder(WebDataBinder binder) {
    // 注意CustomStringEditor为非线程安全类,故这里需构建对象,不能直接
    // 注入bean
    binder.registerCustomEditor(String.class, new CustomStringEditor());
}
自定义类型转换器 继承PropertyEditorSupport
public class CustomStringEditor extends PropertyEditorSupport {


  @Override
  public void setAsText(String text) throws IllegalArgumentException {
    if (text == null || text.equals("")) {
      text = "";
    }
    // xss过滤,表单提交时封装参数,String类型会经过此处
    text = HtmlUtils.htmlEscape(text, "utf-8");
    setValue(text);
  }


  @Override
  public String getAsText() {
    return getValue().toString();
  }
}

接下来,启动测试即可。

目前代码已经存放到github上,欢迎star 和 fork,指出问题,一起学习交流

github地址:SpringMvc防御XSS实践

源码地址:spring mvc xss防御

yangc91
关注
SpringBoot开发——如何防御XSS攻击
bjzhang75的博客
09-06 1099
XSS,跨站脚本)攻击发生时,攻击者通过在目标网站上注入恶意的HTML或JavaScript代码,当其他用户浏览该网站时执行这些恶意脚本。这些脚本能够访问cookies、会话令牌或其他敏感信息,甚至可以重写HTML内容。存储型XSS:恶意脚本被存储在服务器上(如数据库、访问日志等),当用户请求含有恶意脚本的数据时执行。反射型XSS:恶意脚本在用户的请求中直接反射并执行,常见于通过URL传递数据的场景。:攻击脚本由客户端代码(如JavaScript)生成,并在DOM中动态执行。
Spring MVC防御CSRF、XSS和SQL注入攻击
CHIKA2333的博客
07-30 951
本文说一下SpringMVC如何防御(Cross-site request forgery跨站请求伪造)和(Cross site script跨站脚本攻击)。
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
Spring MVC防御CSRF和XSS
sauzny的博客
10-18 352
本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。 说说CSRF 对CSRF来说,其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉及POST的地方添加Token(包括FORM表单和AJAX POST等),似乎是一个tag的事...
Spring MVC 框架解决XSS漏洞
最新发布
weixin_42638728的博客
05-24 451
/该方法会在Web应用启动时注册一个名为xssFilter的过滤器(XSSFilter),用于防止XSS攻击,拦截所有请求(/*)。-- 拦截所有请求 -->3.注册XSS过滤器拦截所有请求()必须的,类似于在web.xml里面设置。//使用标准HTML包装器,处理普通表单请求。//使用JSON包装器,处理JSON请求。1.创建 XSS 请求包装器,重写请求方法实现参数值转义。* 判断是请求是否为JSON请求。// 静态资源直接放行。
SpringMVC防止XSS攻击
ywb201314的专栏
03-20 952
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防). 1 . 在web.xml中添加Filter <filter> <filter-name>XssFilter&l...
Spring MVC 防止XSS注入
Mr_Wanter
06-14 4030
方法一:摘自https://www.cnblogs.com/yuanchaoyong/p/7243492.htmlFilter拦截 包装request->创建过滤器->添加过滤器 通过扩展HttpServletRequestWrapper,对HttpServletRequest进行二次包装,覆盖其publicString[]getParameterValues(String...
Spring MVC通过拦截器处理sql注入、跨站XSS攻击风险
weixin_30933531的博客
05-10 747
sql注入就是通过url或者post提交数据时候,字符串类型的参数会被别人利用传入sql语句,最终破坏数据库或者达到一些见不得人的目的。 有时候因为业务需要url中会带一些参数,比如 ?type=xxx 一些人就会把type写成sql语句 比如:?type=’ or 1=1– 最终拼接成的sql语句就变成了:select * from table where disabled=0 an...
SpringMVC4配置XSS防御及SQL注入解决策略
防止XSS攻击需要开发者在多个层面上进行防御,包括但不限于:使用过滤器对请求参数进行清理,使用安全的编程实践,以及启用服务器和应用的安全配置。Spring MVC提供了一套强大的工具和机制,使得开发者可以方便地...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
本文介绍了两种在 Spring MVC 应用中防御 XSS 和 SQL 注入攻击的方法:数据入库前非法字符转义显示时非法字符转义,并提供了相应的示例代码。此外,还提到了利用框架内置工具来简化这一过程的可能性。这些方法不仅...
JAVA如何防御XSS和SQL 注入攻击
p13993233504的博客
04-06 1067
4. **设置HTTP标头**:通过设置合适的HTTP标头,如`Content-Security-Policy`(CSP),可以限制浏览器加载和执行外部资源,从而减少XSS攻击的风险。对于不符合规则的输入,应予以拒绝或进行适当的处理。11. **使用安全的API**:在开发过程中,使用提供内置防护的API,例如使用DOM方法而不是直接操作字符串来处理HTML内容。10. **实施内容安全策略**:定义并实施内容安全策略(CSP),这是一种指定有效来源的技术,可以防止加载来自不可信源的资源。
xss防御的最好方式_详解SpringMVC框架中常见漏洞的防御
weixin_39890332的博客
12-06 446
下面我们就用利用SpringMVC自带的数据库操作类jdbcTemplate举例。比如下面Dao中有如下的两个函数。函数save使用的是绑定变量的形式很好的防止了sql注入,而queryForInt_函数接收id参数直接对sql语句进行了拼接,测试时出现sql注入。public static void save(String username,String password) { ...
SpringMVC防御CSRF及XSS攻击(写的非常好)
qq_31457665的博客
08-02 1万+
本文转自:https://www.cnblogs.com/lupeng2010/p/6518053.html 最近在研究关于web网络安全的知识,本来正在整理相关的资料准备些些关于crsf及xss攻击的东西,结果搜到了这篇文章。。。。。讲的非常的好,从基本原理,到问题场景举例,再到问题解决详尽且严密。果断转了,以下是作者原文,未做改动。 本文说一下SpringMVC如...
如何预防SQL注入,XSS漏洞(spring,java)
dianxu8537的博客
11-28 216
SQL注入简介 SQL注入是由于程序员对用户输入的参数没有做好校验,让不法分子钻了SQL的空子, 比如:我们一个登录界面,要求用户输入用户名和密码: 用户名: ' or 1=1-- 密码: 点击登录之后,如果后台只有一条简单的待条件的sql语句,没有做特殊处理的话: 如: String sql="select * from users where username='"+userName...
springMVC通过Filter实现防止xss注入
严老板的技术梦想博客
10-24 2255
XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输...
SpringMVC中使用过滤器(Filter)过滤容易引发XSS的危险字符
lawliet的博客
02-17 5442
一 简介 如题所示,如果不在服务端对用户的输入信息进行过滤,然后该参数又直接在前台页面中展示,毫无疑问将会容易引发XSS攻击(跨站脚本攻击),比如说这样: form表单中有这么一个字段: 1 <input type="text" id="author" name="author" placeholder="昵称" />
防止SpringMVC注解方式的XSS攻击的方法
热门推荐
Angevin的博客
01-03 1万+
本最近项目遇到了一个问题,就是XSS攻击问题,搜索了很多资料。最终实现了符合当前项目的方式: 环境概述 由于,本项目中全部采用的是注入方式,就是没有web.xml的方式,所以和网上找到的在web.xml中配置过滤器方式对我现在的项目并不适用。并且,项目是前后端分离的,也就是前端和后端是完全分开部署的。项目特征是前端传递json类型数据到后端接口,后端接口以 publi
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 2317
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name参数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值