SpringBoot 抵御XSS攻击

最新推荐文章于 2025-11-06 11:08:23 发布
原创 最新推荐文章于 2025-11-06 11:08:23 发布 · 914 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #xss #servlet

文章详细介绍了XSS攻击的危害,包括窃取Cookie和JWT令牌等敏感信息。为了防御XSS,文章提出了使用Hutool库进行数据转义,并定义了一个HttpServletRequestWrapper子类,覆盖参数和头信息的获取方法,确保数据在存储和展示前被过滤。此外,通过创建一个过滤器(XSSFilter),拦截所有请求并使用包装类处理,实现了全局的数据转义。最后,文章提到了测试方法和需要在主类上添加的注解以启用过滤器。

抵御XSS攻击

1、XSS攻击的危害

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

例如用户在发帖或者注册的时候,在文本框中输入<script>各种js代码</script>,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>标签的内容就会被执行。

通常情况下,我们登陆到某个网站。如果网站使用HttpSession保存登陆凭证,那么SessionId会以Cookie的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的JavaScript代码是用来获取Cookie内容的,并且把Cookie内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie信息就泄露了。黑客在自己的电脑上构建出Cookie,就可以冒充已经登陆的用户。

即便很多网站使用了JWT,登陆凭证(Token令牌)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token,黑客依然可以轻松的冒充已经登陆的用户。

所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。

2、抵御XSS的实现

因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。

1、导入Hutool的依赖库

<dependency>
	<groupId>cn.hutool</groupId>
	<artifactId>hutool-all</artifactId>
	<version>5.4.0</version>
</dependency>

2、定义请求包装类

package com.zhao.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: 
 * @Date: 
 * @Description: 对请求的数据进行转移,以达到抵御XSS攻击
 */
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {
   
   
    public XSSHttpServletRequestWrapper(HttpServletRequest request) {
   
   
        super(request);
    }

    @Override
    public String getParameter(String name) {
   
   
        String value = super.getParameter(name);
        if
最低0.47元/天 解锁文章
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1929
SpringBoot集成Hutool、mica防止XSS攻击实现
SpringBoot打造坚固防线:轻松实现XSS攻击防御
码上飞扬的博客
07-06 4095
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
Spring Boot应用中的XSS防御完整解决方案
最新发布
weixin_30923011的博客
11-06 656
虽然输入校验能有效阻止大部分非法数据,但在某些动态内容场景(如富文本编辑器、评论系统)中,需允许部分HTML标签存在。此时单纯依赖白名单校验不足以覆盖所有情况,必须引入请求级全局过滤机制,对所有传入参数进行统一清洗。Java Servlet规范提供的Filter接口非常适合此类任务。通过自定义XssFilter,可以在请求到达Controller之前完成参数脱敏,实现“透明化”防护。防护层级技术手段优点局限字符集归一化统一编码表示,防绕过。
Springboot 阻止XSS攻击
热门推荐
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
springboot整合XSS
03-20
springboot 整合预防xss攻击
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
【项目实战】Spring Boot项目抵御XSS攻击
apple_51673523的博客
11-22 4035
作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。XSS意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。
Springboot3巧妙运用拦截器阻断xss攻击
01-13
其中,反射型XSS攻击是通过修改URL来实现的,存储型XSS攻击则是将恶意脚本存储在服务器数据库中,而DOM型XSS攻击则是在客户端JavaScript代码中执行恶意脚本。在服务器端进行防御时,重点在于输入验证和输出编码,而...
springboot 解决xss漏洞
01-11
当数据在视图层用于渲染HTML页面时,经过转义处理的文字不会作为JavaScript被执行,从而可以抵御XSS攻击[^3]。 #### 导入必要的依赖库 为了增强应用程序的安全性,建议引入专门针对安全性的库来帮助预防潜在的威胁...
处理XSS攻击的调研和落地方案
11-17
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,主要针对Web应用程序。XSS攻击允许攻击者向受害者注入恶意脚本,从而控制...通过这些措施,我们可以显著增强SpringBoot应用的抵御XSS攻击的能力。
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.youkuaiyun.com/mdeditor/83617945#
SpringBootXss攻击
zhu1361的专栏
05-11 282
通过上述文章进行处理后,发现在Tomcat运行时已出现异常,排查后发现其XssFilter 需要补充实现init方法和destroy方法,不然tomcat运行war包会启动失败,记录下。
Spring Boot 防止XSS攻击
HAN_789的博客
03-28 868
恶意攻击者往web页面里插入恶意ScriptScript代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。防止XSS攻击简单的预防就是对Request请求中的一些参数去掉一些比较敏感的脚本命令。原本是打算通过SpringMVC的HandlerInterceptor机制来实现的,通过获取request然后对request中的参数进行修改,结果虽然值修改了,但在Controller中获取的数值还是没有修改的。包装request->创建过滤器->添加过滤器。
SpringBoot 防护XSS攻击
Wcybaonier
04-12 4250
利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。通过对XSS攻击的介绍,我们知道了XSS常从表单输入、URL请求、以及Cookie等方面进行攻击XSS攻击方式很多,这里只介绍一些常用的XSS攻击手段以及其目的,为提出Springboot项目防止XSS攻击解决方案做说明。利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。
【安全】Springboot实现防御XSS
m0_55928215的博客
09-03 3426
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的Web安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览和使用的正常网页中。当其他用户浏览这些网页时,恶意脚本就会在他们的浏览器上执行,从而可能导致信息泄露、会话劫持等严重后果。在使用springboot中,类似于普通的参数parameterattributeheader一类的,可以直接使用过滤器来过滤。而前端发送回来的json字符串就没那么方便过滤了。可以考虑用自定义json消息解析器来过滤前端传递的json。/**
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

loongloongz

相互鼓励,相互帮助,共同进步。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值