【快学SpringBoot】过滤XSS脚本攻击(包括json格式)

最新推荐文章于 2024-07-06 22:22:11 发布
原创 最新推荐文章于 2024-07-06 22:22:11 发布 · 1.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了XSS攻击的概念及其危害,并展示了如何在SpringBoot应用中有效防止XSS攻击。通过创建XssAndSqlHttpServletRequestWrapper、XssFilter和XssStringJsonSerializer,分别处理querystring和JSON类型的请求参数,确保前端接收到的数据已进行转义,避免浏览器执行恶意脚本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS攻击是什么

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。

如何避免XSS攻击

解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。

代码实现

对于过滤XSS脚本的代码,通过搜索引擎可以搜索到很多,但似乎都不是那么全面。基本上都是只能过滤querystring(表单类型)类型的入参,而不能过滤json类型的入参。其实,在现在的开发中,更多的是使用json类型做数据交互。下面就直接贴代码了:

新建XssAndSqlHttpServletRequestWrapper.java

import org.apache.commons.lang3.StringUtils;
import org.apache.commons.text.StringEscapeUtils;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
 * @author Happy
 * 防止XSS攻击
 */
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
   
   
 private HttpServletRequest request;
 public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
   
   
 super(request);
 this.request = request;
 }
 @Override
 public String getParameter(String name) {
   
   
 String value = request.getParameter(name);
 if (!StringUtils.isEmpty(value)) {
   
   
 value = StringEscapeUtils.escapeHtml4(value);
 }
 return value;
 }
 @Override
 public String[] getParameterValues(String name) {
   
   
 String[] parameterValues = super.getParameterValues(name
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java防止Xss注入json_前端进阶,你必须要了解的安全问题之XSS攻击
weixin_39621379的博客
11-20 645
前端安全一直是一个老生常谈的话题,但是在实际的工作过程中,我发现大部分的前端同对此了解不多,或者说知道一些但从没有在意识层面真正重视过。今天我们就来扒一扒前端到底有哪些安全问题,我们到底该以什么样的态度怎么去看待它。在深入分析之前我们还是按照惯例先大概介绍下什么是XSS攻击XSS-跨站脚本攻击跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击...
Java防止Xss注入json_XSS的两种攻击方式及五种防御方式
weixin_39639518的博客
11-20 1738
XSS介绍跨站脚本攻击指的是自己的网站运行了别的网站里面的代码攻击原理是原本需要接受数据但是一段脚本放置在了数据中:该攻击方式能做什么?获取页面数据获取Cookies劫持前端逻辑发送请求到攻击者自己的网站实现资料的盗取偷取网站任意数据偷取用户密码和登陆状态改变按钮的逻辑XSS攻击类型其实XSS的种类非常的多尤其是变种的特别多,大致可以分为两种反射型:是通过URL参数直接注入,一般是使用alert来...
Spring过滤json中的XSS
学医救不了中国人
10-24 6661
spring处理json是通过MappingJackson2HttpMessageConverter实现的。 而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。 也就是说我们的过滤工作就这两个方法中展开。 writeInternal首先创建一个类并继承MappingJackson2HttpMessa...
防范json xss的方法 - 黑白网络
05-01
防范json xss的方法 - 黑白网络 防范json xss的方法 - 黑白网络
Springboot实现XSS漏洞过滤
qq_39914899的博客
01-19 2153
前言 唉,开始变懒了,一开始计划的每次习到新东西就要写博客记录一下,然后写了一篇文章后,就没动静了~没动静了~动静了~了~ 背景 前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ...
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
SpringBoot打造坚固防线:轻松实现XSS攻击防御
码上飞扬的博客
07-06 3792
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见且危险的Web安全漏洞。在XSS攻击中,攻击者通过在网页中注入恶意脚本代码,使这些代码在其他用户的浏览器中执行,从而达到窃取用户信息、劫持用户会话、欺骗用户等目的。XSS攻击通常分为三种类型:存储型(Stored XSS)、反射型(Reflected XSS)和基于DOM的XSS(DOM-based XSS)。在SpringBoot中,我们可以创建自定义注解,结合AOP(面向切面编程)实现XSS防御。
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在网络安全领域,XSS(Cross-Site Scripting)攻击是一种常见的威胁,它允许攻击者通过注入恶意脚本到网页上,来劫持用户会话、窃取敏感信息或执行其他恶意操作。SpringBoot是一个流行的Java框架,用于速开发高效...
xss攻击测试以及sprigboot防止xss攻击
wangscaler的博客
02-23 1156
title: Xss date: 2021-02-23 sidebar: ‘auto’ tags: Xss Springboot categories: 后端 Xss 漏洞测试 整理16个常见的属性标签和脚本script带来的漏洞。参考地址常见几种跨站脚本漏洞安全测试,测试的html,可以参考如下 <!DOCTYPE html> <html> <head> <title>动态网页请求后台数据</title> </head&gt.
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
spring boot项目实战之工具篇(json)
思与学的博客
10-07 3381
对象转jsonjson转对象是我们开发过程中经常遇到的,提取一套高效、易用的工具类会让开发过程舒爽不少,下面提供一个基于jackson包的常用json工具方法。1、添加maven依赖<dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId>
XSS过滤
spum_的博客
08-27 401
【代码】XSS过滤器。
SpringBootXss攻击
zhu1361的专栏
05-11 266
通过上述文章进行处理后,发现在Tomcat运行时已出现异常,排查后发现其XssFilter 需要补充实现init方法和destroy方法,不然tomcat运行war包会启动失败,记录下。
SpringBoot 抵御XSS攻击
小青龙,创造,变强
02-27 865
SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击 SpringBoot 抵御XSS攻击
SpringBoot使用mica-xss防止Xss攻击
lixianhe的博客
08-29 1万+
SpringBoot使用mica-xss防止Xss攻击
Spring Boot中解析JSON数据的三种方案
热门推荐
huangjhai的博客
01-30 1万+
文章目录JSON简介一、Spring Boot默认的JSON解析(1)使用示例(2)修改特定数据的全局JSON格式1.自定义MappingJackson2HttpMessageConverter2.自定义ObjectMapper二、使用Gson处理JSON(1)使用示例(2)修改特定数据的全局JSON格式1.自定义GsonHttpMessageConverter2.自定义Gson对象三、使用Fas...
springboot处理XSS攻击
最新发布
12-31
### Spring Boot XSS防护措施及实现方式 #### 使用OWASP ESAPI库增强安全性 为了有效防范跨站脚本攻击(XSS),可以在项目中引入`OWASP ESAPI`库。通过添加如下依赖到项目的`pom.xml`文件,可以获取必要的工具类用于输入验证和编码[^3]。 ```xml <dependency> <groupId>org.owasp.esapi</groupId> <artifactId>esapi</artifactId> <version>2.2.0.0</version> </dependency> ``` #### 实现自定义Filter拦截请求参数 创建一个继承于`OncePerRequestFilter`的过滤器,在其中调用ESAPI提供的方法对HTTP请求中的数据进行清理。这样能够确保所有传入的数据都经过了适当处理后再传递给控制器层[^1]。 ```java import org.owasp.esapi.ESAPI; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class XssFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper(request); super.doFilter(xssRequest, response, filterChain); } } ``` 对于上述代码片段中的`XssHttpServletRequestWrapper`类,则是对原始`HttpServletRequest`对象进行了封装,从而允许开发者重写某些方法以便执行额外的操作——比如在这里就是去除潜在危险字符。 #### 配置全局异常处理器捕获并响应错误情况 除了设置专门针对XSS的安全机制外,还应该考虑当检测到恶意尝试时如何优雅地通知客户端发生了什么问题。这可以通过配置全局异常处理器来完成,它会监听特定类型的异常并将它们转换成友好的JSON格式返回给前端应用程序[^2]。 ```java @ControllerAdvice public class GlobalExceptionHandler { private static final Logger logger = LoggerFactory.getLogger(GlobalExceptionHandler.class); @ExceptionHandler(value = {EncoderException.class}) public ResponseEntity<Object> handleEncodingError(EncoderException ex){ String errorMessage = "Invalid input detected."; logger.error(errorMessage,ex); ApiError apiError = new ApiError(HttpStatus.BAD_REQUEST.value(),errorMessage,"Please check your inputs."); return new ResponseEntity<>(apiError,HttpStatus.BAD_REQUEST); } } ``` 以上就是在Spring Boot框架下实施有效的XSS保护的一些常见做法和技术细节说明。这些措施结合起来可以帮助开发人员建立更加健壮的应用程序架构,减少遭受此类网络威胁的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值