开源项目——实现XSS过滤Cookie过滤拦截器(二)

最新推荐文章于 2024-11-08 16:35:07 发布
原创 最新推荐文章于 2024-11-08 16:35:07 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
https://creativecommons.org/licenses/by-nc/4.0/
文章标签:

#java #过滤器 #slf4j #servlet #spring

本文介绍了如何在SpringBoot项目中实现XSS过滤器,保护Cookie安全,通过创建FilterCoreUtil工具类、XssFilter拦截器和CookieFilter,确保接口请求的安全性。使用Lombok简化代码并配合Gradle进行依赖管理。

开源项目——实现XSS过滤Cookie过滤拦截器(二)

背景

日常我们开发人员在开发一些常用的平台时都会用到各种各样的接口,而对于这些接口的有效管理都会成为我们的一些麻烦事,一些常见的接口管理平台我们使用起来又不是很顺手,因此我想进行编写一个自己的API接口平台,用于我们日常的一些接口快速开发和管理共享使用。
里面会涉及到各类开发的知识,每项知识我们都会进行同步发布相应的学习记录文章,以便于想要学习某类知识的小伙伴能一起来成长。
该项目将每周进行更新2-4篇,该类别下同类延伸出来的文章均会以知识共享——XXXX命名。欢迎大家在我的主页下进行搜索阅读。

简介

本节为API管理平台增加基础功能-防XSS攻击-Cookie过滤,该功能主要为了确保我们接受到的请求具有一定的安全性,因此作为基础功能,我们优先纳入进来

参见文章

之前编写的技术学习文档系列之七、在拦截器中进行XSS与SQL注入拦截

开发环境

  • 系统:windows10
  • JDK:openjdk11
  • 开发工具:IDEA 教育版
  • 框架:SpringBoot
  • 包管理:Gradle
    后续涉及技术逐渐补充。

内容

本次涉及代码如图所示

image.png

1、在build.gradle中加入我们需要使用的软件包

implementation 'org.springframework.boot:spring-boot-starter-aop'
// https://mvnrepository.com/artifact/org.projectlombok/lombok
    implementation 'org.projectlombok:lombok:1.18.20'

    // https://mvnrepository.com/artifact/org.apache.commons/commons-lang3
    implementation 'org.apache.commons:commons-lang3:3.12.0'
    // https://mvnrepository.com/artifact/org.jsoup/jsoup
    implementation 'org.jsoup:jsoup:1.14.2'

2、创建我们需要使用到的工具类

package com.cnhuashao.apimanagement.base.util;

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Safelist;
import org.jsoup.safety.Whitelist;

/**
 * 类 {@code FilterCoreUtil} 用于Xss非法标签过滤工具类 <br> 过滤html中的xss字符.
 *
 * 本软件仅对本次教程负责,版权所有 <a href="http://www.CN華少.com">中国,華少</a><br>
 *
 * @author CN華少
 * <a href="mailto:lz2392504@gmail.com
 * <p>
 * ">CN華少</a>
 */
@Slf4j
public class FilterCoreUtil {

    /**
     * 使用自带的basicWithImages 白名单
     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
     * strike,strong,sub,sup,u,ul,img
     * 以及a标签的href,img标签的src,align,alt,height,width,title属性
     */
    private static final Safelist WHITE_LIST = Safelist.basicWithImages();
    /** 配置过滤化参数,不对代码进行格式化 */
    private static final Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文本编辑时一些样式是使用style来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加style属性
        WHITE_LIST.addAttributes(":all", "style");
    }

    /**
     * 过滤主方法入口
     * @param content 需要过滤的字符串
     * @return 过滤后的字符串
     */
    public static String clean(String content) {
        if(StringUtils.isNotBlank(content)){
            content = content.trim();
        }
        return Jsoup.clean(content, "", WHITE_LIST, OUTPUT_SETTINGS);
    }
}

3、创建我们需要使用的拦截器

package com.cnhuashao.apimanagement.base.filter;

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.uti
最低0.47元/天 解锁文章
Java代码审计——WebGoat XSS
m0_61506558的博客
11-18 779
我们需要对其进行控制。也就是说,想要触发该 XSS 漏洞,首先得将包含 XSS 有效载荷的数据插入数据库中。到此漏洞的整个执行流程我们已分析完成,接下来便是找到对应的入口进行触发,而触发该漏洞一个最大的问题是:数据来源于。我们先updatecert一下,发现红框中的数据直接输出了所以我们直接进行xss即可。因为程序没有对输入进行任何校验,所以只需找到添加数据的路由后插入对应的有效载荷。下面两种形式的写法实现的效果是相同的,都是将变量输出到网页中。中的调用可以跟踪到调用类,在类中可以发现,程序首先对“
知识梳理:请求转发与重定向&JSP&EL表达式&JSTL&基于Servlet3.0 的文件上传和下载&XSS过滤&过滤器&监听器
weixin_47255857的博客
08-30 624
目录:请求转发与重定向&JSP&EL表达式&JSTL&XSS过滤&基于Servlet3.0 的文件上传和下载&过滤器&监听器 请求转发与重定向 请求转发(forward) 请求转发是由HttpServletReqeust发起的跳转,跳转的同时可以将请求范围之内的信息传递到下一个Servlet中,请求转发是服务端跳转,请求转发对于客户端来说只发送了一次请求,并且地址栏只会显示第一次请求的地址。 request.setAttribute(key,value
.Net Core 项目中添加统一的XSS攻击防御过滤器
weixin_30555515的博客
08-12 1374
一、前言 最近公司内部在对系统的安全进行培训,刚好目前手里的一个.net core 项目中需要增加预防xss的攻击,本文将大概介绍下何为XSS攻击以及在项目中如何统一的预防XSS攻击. XSS简介 XSS 攻击全称为跨站脚本攻击( Cross-site Scripting ),XSS 是一种常见的 web 安全漏洞,它允许攻击者将恶意代码植入到提供给其他用户使用的页面中。XSS 一定...
渗透Tips之XSS过滤括号等号情况下cookie的获取
weixin_30408165的博客
08-12 2633
别人的一个安全面试题,简单记录一下。 参数name直接已经放在了<script>标签里面: 那么直接alert(document.cookie)试一下: 可以看到括号已经做了处理,虽然可以使用反引号绕过括号过滤,但是反引号中的内容是处理字符串,并不能得到想要的结果,比如: 通过FUZZ,如下: TIPS: setTimeout`alert\u00...
对富文本xss检查过滤比较好的开源项目的使用:htmlpurify,在codeigniter的应用
12-25 304
直接贴代码,能够更好的说明使用: 1,把下载包放到third_party中。 2,在library中创建适合ci使用的类库,代码如下: require APPPATH.'third_party/htmlpurifier/HTMLPurifier.auto.php';//引入放到third_party中的类库文件 class Htmlfilter extends HTMLPurifier
Cookie过滤器,监听器
Yiky的博客
06-09 424
文章目录Cookie过滤器,监听器1.Cookie1.1 会话的介绍1.2 会话的使用1.3 会话的分类1.4 Cookie的简介1.5 Cookie的属性1.6 Cookie的案例2.过滤器2.1 过滤器简介和作用2.2 过滤器的入门程序2.3 过滤器的生命周期2.4 配置多个过滤器2.5使用拦截器实现URL权限2.6 使用过滤器解决中文乱码2.7 统计页面的访问次数3.监听器 Cookie过滤器,监听器 1.Cookie 1.1 会话的介绍 web应用中的会话指的是web开发中一次通话过程。..
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 3171
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
Java过滤器防止SQL注入与XSS攻击
通过使用Java中的Filter(过滤器)机制,可以在请求到达业务逻辑层之前对用户输入的数据进行统一拦截与处理,从而有效防止非法数据进入系统核心流程,提升整体安全性。 首先,理解SQL注入的基本原理是掌握防护机制...
防止XSS攻击的Java开源组件所需依赖包
结合描述“防止XSS攻击的开源Java组件”,可以推断出这是一个专门针对Web应用程序安全设计的Java类库,其主要功能是拦截、过滤或转义用户输入中的恶意脚本代码,从而有效防御XSS漏洞带来的安全威胁。在当前互联网...
防止XSS攻击过滤工具类
Elementary Conference
04-26 1868
public static String XSSHtmlFilt(String msg) { StringBuffer buffer = new StringBuffer(msg.length()); for (int i = 0; i < msg.length(); i++) { char c = msg.charAt(i); switch (c)
xss 检查工具类
08-08
NULL 博文链接:https://lspgdut.iteye.com/blog/2145092
.net core xss攻击防御的方法
10-18
主要介绍了.net core xss攻击防御的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
过滤器实现cookie认证)
anjing9345的博客
10-29 476
cookie用来做身份认证,非常好用,只需要设置Authentication和Authorization就行了。 但是 ,如果cookie不能用了,怎么办? 不要紧,我们也可以用过滤器进行身份认证。 using System;using System.Collections.Generic;using System.Linq;using System.Web;using...
XSS攻击过滤器实现
EvanDeveloper的专栏
07-12 1934
一、XSS简介 百度百科的解释: XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实现对用户游览器的控制,获取用户的一些信息。 XSS分类 xss攻击可以分成两种类型: 非持久型攻击 持久型攻
java小白的第42课——cookie&Filter(过滤器)
BrysonMa的博客
07-07 1440
文章目录cookie数据传递的方式cookie的定义及简单操作面试题:session和cookie的区别和应用Filter(过滤器)怎么控制多个Filter的顺序 cookie 数据传递的方式 JSP中数据传递的方向 视图层 → 控制层(请求) 表单提交数据 url链接请求并携带数据 ajax 控制层 → 视图层(响应) 四大内置对象的setAttribute方法 request.setAttribute(key , value) session.setAttribute(key , value
Springboot配置XSS过滤器XssFilter
热门推荐
涛哥是个大帅比
12-08 1万+
简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。 sql注入:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用
xssJava编写filter实现防止XSS攻击
qq_37634156的博客
04-08 5728
前言 名词解释 XSS攻击全称跨站脚本攻击(Cross Site Scripting),为了与重叠样式表CSS区分,换了另一个缩写XSSXSS攻击的核心是将可执行的前端脚本代码(一般为JavaScript)植入到网页中,听起来比较拗口,用大白话说就是攻击者想让你的浏览器执行他写的JS代码。 一般XSS分为两种: 反射型 实现方式: 1、攻击者将JS代码作为请求参数放置URL中,诱导用户点击,比如: http://localhost:8080/test?name=<script
.net core xss攻击防御
weixin_33975951的博客
07-11 652
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 比如我们在表单提交的时候插入脚本代码 如果不进行处理,那么就是这种效果,我这里只是演示一个简单的弹窗 下面给大家分享一下我的解决...
XSS过滤器Filter实现
最新发布
开发随笔-猫咪酱
11-08 3284
针对xxs攻击实现XssFilter实战,后端全代码解析。其中包括过滤器实现代码和配置类以及ApplicationContextUtils、multipartResolver配置
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CN華少

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值