Spring过滤json中的XSS

最新推荐文章于 2025-09-20 00:43:07 发布
原创 最新推荐文章于 2025-09-20 00:43:07 发布 · 6.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Spring MVC中使用自定义的XSSMappingJackson2HttpMessageConverter来处理JSON的XSS攻击,通过重写read()和writeInternal()方法,确保了请求和响应的数据安全。

spring处理json是通过MappingJackson2HttpMessageConverter实现的。

而MappingJackson2HttpMessageConverter中的read()和writeInternal()分别对应json的请求和响应。

也就是说我们的过滤工作就这两个方法中展开。

writeInternal首先创建一个类并继承MappingJackson2HttpMessageConverter,我创建的是XSSMappingJackson2HttpMessageConverter

在spring-mvc.xml中找到

<bean id="mappingJacksonHttpMessageConverter"
class="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter">

//中间省略

</bean>

将MappingJackson2HttpMessageConverter替换成XSSMappingJackson2HttpMessageConverter

打开XSSMappingJackson2HttpMessageConverter,重写read()

@Override
public Object read(Type type, Class<?> contextClass,
HttpInputMessage inputMessage) throws IOException,
HttpMessageNotReadableException {
JavaType javaType = getJavaType(type, contextClass);
Object obj = readJavaType(javaType, inputMessage);
String json = super.getObjectMapper().writeValueAsString(obj);
json = cleanXSS(json.toString());
Object obj1 = super.getObjectMapper().readValue(json, javaType);
return obj1;
}


// 这个就是父类的readJavaType方法,由于父类该方法是private的,所以我们copy一个用
private Object readJavaType(JavaType javaType, HttpInputMessage inputMessage) {
try {
return super.getObjectMapper().readValue(inputMessage.getBody(),
javaType);
} catch (IOException ex) {
throw new HttpMessageNotReadableException("Could not read JSON: "
+ ex.getMessage(), ex);
}
}


private String cleanXSS(String value) {
return Jsoup.clean(value.toString(), Whitelist.relaxed());
}

以上RequestBody的XSS过滤就完成,接下来是ResponseBody的过滤

// 重写writeInternal方法,在返回内容前首先进行加密
@Override
protected void writeInternal(Object object, HttpOutputMessage outputMessage)
throws IOException, HttpMessageNotWritableException {
// 使用Jackson的ObjectMapper将Java对象转换成Json String
String json = super.getObjectMapper().writeValueAsString(object);
String result = cleanXSS(json.toString());
// 输出
outputMessage.getBody().write(result.getBytes());
}

完整代码

package com.meadin.funding.filter;


import java.io.IOException;
import java.lang.reflect.Type;


import org.jsoup.Jsoup;
import org.jsoup.safety.Whitelist;
import org.springframework.http.HttpInputMessage;
import org.springframework.http.HttpOutputMessage;
import org.springframework.http.converter.HttpMessageNotReadableException;
import org.springframework.http.converter.HttpMessageNotWritableException;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;


import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.ObjectMapper;


public class XSSMappingJackson2HttpMessageConverter extends
MappingJackson2HttpMessageConverter {


@Override
public Object read(Type type, Class<?> contextClass,
HttpInputMessage inputMessage) throws IOException,
HttpMessageNotReadableException {
JavaType javaType = getJavaType(type, contextClass);
Object obj = readJavaType(javaType, inputMessage);
String json = super.getObjectMapper().writeValueAsString(obj);
String result = cleanXSS(json.toString());
Object resultObj = super.getObjectMapper().readValue(result, javaType);
return resultObj;
}


// 这个就是父类的readJavaType方法,由于父类该方法是private的,所以我们copy一个用
private Object readJavaType(JavaType javaType, HttpInputMessage inputMessage) {
try {
return super.getObjectMapper().readValue(inputMessage.getBody(),
javaType);
} catch (IOException ex) {
throw new HttpMessageNotReadableException("Could not read JSON: "
+ ex.getMessage(), ex);
}
}


// 重写writeInternal方法,在返回内容前首先进行加密
@Override
protected void writeInternal(Object object, HttpOutputMessage outputMessage)
throws IOException, HttpMessageNotWritableException {
// 使用Jackson的ObjectMapper将Java对象转换成Json String
String json = super.getObjectMapper().writeValueAsString(object);
String result = cleanXSS(json.toString());
// 输出
outputMessage.getBody().write(result.getBytes());
}


private String cleanXSS(String value) {
return Jsoup.clean(value.toString(), Whitelist.relaxed());
}
}

<!--避免IE执行AJAX时,返回JSON出现下载文件 -->
<bean id="mappingJacksonHttpMessageConverter"
class="com.meadin.funding.filter.XSSMappingJackson2HttpMessageConverter">
<property name="supportedMediaTypes">
<list>
<value>text/html;charset=UTF-8</value>
<!-- 要返回json格式正常必须设置为application/json;charset=UTF-8 -->
<value>application/json;charset=UTF-8</value>
</list>
</property>
<property name="objectMapper">
<bean class="com.fasterxml.jackson.databind.ObjectMapper">
<!-- 属性值为null时隐藏 -->
<property name="serializationInclusion">
<value type="com.fasterxml.jackson.annotation.JsonInclude.Include">NON_NULL</value>
</property>
<!-- 处理responseBody 里面日期类型 -->
<property name="dateFormat">
<bean class="java.text.SimpleDateFormat">
<constructor-arg type="java.lang.String" value="yyyy-MM-dd HH:mm:ss" />
</bean>
</property>
</bean>
</property>
</bean>
<!-- 配合在实体类中的注解,将string类型自动转换成date类型存储 -->
<mvc:annotation-driven>
<mvc:message-converters>
<ref bean="mappingJacksonHttpMessageConverter" />
</mvc:message-converters>
</mvc:annotation-driven>

有关资料:

http://www.scienjus.com/custom-http-message-converter/

http://www.scienjus.com/spring-mvc-use-skill/#disqus_thread

http://ju.outofmemory.cn/entry/63726

http://blog.youkuaiyun.com/cdnight/article/details/24415275

SpringBoot2.x系列教程(十七)自定义HttpMessageConverter实战
程序新视界
01-07 2461
在上篇文章中我们了解了HttpMessageConverter的基本使用,这篇文章带大家自定义特殊业务场景的HttpMessageConverter。 业务场景如下,对项目中返回的Json字符串进行Base64处理。当然,我们可以直接实现HttpMessageConverter接口的方法来完成该功能。同时既然是基于Json,我们也可以直接实现MappingJackson2HttpMessageCo...
深入了解后端 Spring Security 的 XSS 防护策略
架构师的AI之路,分享AI应用开发架构的学习与实践。
04-14 1075
本文旨在系统讲解 Spring Security 框架下的 XSS 攻击防护技术体系,覆盖攻击原理分析、防护策略设计、核心代码实现和实际项目部署方案。XSS 攻击分类及危害评估Spring Security 的安全过滤器链内容安全策略(CSP)深度配置输入输出验证的工程实践全文采用"理论-机制-实践"三层递进结构,首先建立 XSS 攻击的数学模型,然后解析 Spring Security 防护原理,最终通过企业级项目案例演示完整防护方案。XSS(跨站脚本攻击)
SpringMVC返回不带引号的字符串方案汇总
Hello World
04-25 1362
问题 项目使用springboot开发的,大部分出参为json,使用的fastJson。 现在有的接口需要返回一个success字符串,发现返回结果为“success”,多带了双引号。这是因为fastJson对出参做了处理。 方案一:修改springMVC配置文件 网上通用的办法是在springMVC配置文件spring-servlet.xml中加入如下配置项: <mvc:annotation-driven> <mvc:message-converters.
XSStrike高级用法:POST数据与JSON请求的XSS检测技巧
最新发布
gitblog_00993的博客
09-20 684
你是否在使用常规XSS扫描工具时遇到过这些困境? - 提交表单后Payload消失无踪 - JSON接口返回200却检测不到注入点 - 辛辛苦苦构造的Payload在POST数据中被转义 作为最先进的XSS扫描器(Most advanced XSS scanner),XSStrike提供了完整的解决方案。本文将深入剖析POST数据与JSON请求场景下的XSS检测技术,通过12个实...
Oauth2 - FastJson对Oauth2结果序列化问题的处理过程记录
qq_38800175的博客
04-15 1576
问题的暴露 起因: 在工作中,授权框架从 Spring Security 更换为 Oauth2,授权获取 token 的时候,发现登录后,使用 FastJson 和采用默认的Jackson2 颁发 token 返回结果格式完全不同,按照 Oauth2 官网提供的示例中的返回结果,对比使用 FastJson 返回结果完全不同,于是在这个情况下,决定先探一下 Jackson2 为什么会返回正确格式,而 FastJson 却存在问题。 FastJson 错误格式 { "additionalInform
【快学SpringBoot】过滤XSS脚本攻击(包括json格式)
weixin_33845881的博客
06-17 1894
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。 如何避免XSS攻击 ...
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9505
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
JSP spring boot / cloud 使用filter防止XSS
10-19
需要特别注意的是,实施了XSS攻击防范措施后,还需要定期进行安全测试和代码审查,确保过滤器的有效性和应用的安全性。此外,随着Web安全技术的发展,XSS攻击的手段也在不断进化,因此对开发人员而言,关注最新的...
spring利用filter进行xss过滤(包含post请求)以及请求入参日志输出
六年级的叔叔
04-20 5344
背景:过滤xss攻击,同时将过滤后的日志输出到指定文件。(指定文件输出请看上篇博文) 前景:利用filter进行xss攻击过滤,需要应对不同请求做不同的过滤处理,若是post请求的json格式数据,需要重写getinputstream方法(因为流读取一次后,下层controller无法再次进行读取。原理可自行百度) 因此需要重写两个wrapper(继承HttpServletRequestWra...
Spring Boot 3 一行代码解决通过 @RequestBody 接收 JSON 格式请求数据的 XSS 攻击
x201206030的博客
05-21 574
最近在做一个 Spring Boot 3 + Vue 3 前后端分离的开源项目。对于 POST 和 PUT 类型的请求方法,后端基本都是通过 @RequestBody 注解接收 application/json 格式的请求数据,所以以前通过过滤器 + 装饰器 HttpServletRequestWrapper 来解决 XSS 攻击的方式并不适用。
防范json xss的方法 - 黑白网络
05-01
防范json xss的方法 - 黑白网络 防范json xss的方法 - 黑白网络
JSON XSS
mingyqf的博客
05-09 1122
JSON XSS 本文由Bypass整理发布, 文章目录[JSON XSS](https://www.cnblogs.com/xiaozi/p/9929704.html) 漏洞实例一: 1、在更新用户信息,修改联系电话,抓包绕过前端20个字符限制,Payload为 111<img src=1 onerror=alert(1)> 2、更新后,访问json 3、已隐去相关信息,json形式大约是这样子: {"birthday":"1991-12-09 00:00:00","org": {
Spring 中的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 3209
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.youkuaiyun.com/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring
Json XSS (只是一个小窥)
byteway的专栏
04-16 8837
大家都清楚json 类似于字典的样子吧,这里就不再赘述了,XSS直接上代码: json = new JSONObject(); json.put("code", 200); json.put("info", "{'replace':function(){alert(/xss/);}}"); json.put("msg", "success"); System.out.println(json
Spring boot 添加 XssFilter过滤器(接口必须是Json入参格式)
新鲜雾霾的博客
12-30 1991
第一步部分代码: XSS_ERROR(90006, “入参含有非法字符”) @Component @Slf4j @WebFilter(filterName = "xssFilter", urlPatterns = "/*") @Order(5) public class XssFilter implements Filter { private static final Strin...
json xss_基于JSONXSS
weixin_26722031的博客
07-30 2507
json xssBasically Cross-Site scripting is injecting the malicious code into the websites on the client-side. This vulnerability normally allows an attacker to masquerade as a victim user, to carry out...
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
Cjx_Flying的博客
12-15 6061
本博文分为两部分 1.基于 表单key-value 传参方式防止XSS攻击 Content-Type 传参方式 接收方式 application/x-www-form-urlencoded 表单key-value HttpServletRequest Parameters 获取 multipart/form-data 表单key-value HttpServletRequest Parameters 获取 2.基于 json 传参方式防止XSS攻击 .
spring mvc jackson 防止XSS 注入方法
我的博客
11-01 1358
最近在做系统防止XSS攻击功能,从网络上找到了很多方式,大多都是通过增加过滤器,对request的参数进行过滤,在通常的情况下是有效的,但是在spring mvc中却无效。 下文方法有效,但只是对输出的时候有效 ------------------------------------------------------------------------------------------...
xss json过滤
07-22
<think>我们正在讨论的是在Java Web应用中如何对JSON数据进行XSS过滤。根据引用内容,有两种主要方法: 1. 通过修改SpringMVCjson序列化器(如Jackson)来在序列化过程中过滤XSS(引用[1]提到)。 2. 通过过滤器(Filter)在请求进入时对参数进行过滤(引用[3]提到)。 但是,对于JSON数据,由于通常是通过请求体(@RequestBody)传递的,在过滤器中直接读取请求体会导致Controller无法再次读取(因为输入流只能读一次)。因此,我们需要结合之前解决请求体重复读取的方法(使用请求包装器)和XSS过滤。 具体步骤: 1. 创建一个可缓存请求体的HttpServletRequestWrapper(如前所述)。 2. 在过滤器中,使用这个包装器,然后从缓存的请求体中获取JSON字符串。 3. 对JSON字符串进行XSS过滤(可以使用像org.apache.commons.text.StringEscapeUtils这样的库,或者自定义过滤规则)。 4. 将过滤后的字符串重新设置到请求包装器中(或者创建一个新的包装器,包含过滤后的字节数组)。 5. 将包装后的请求传递给后续处理。 然而,需要注意的是,直接修改JSON字符串可能会破坏JSON结构(例如,转义了引号等)。因此,更推荐的方式是解析JSON树,然后对字符串类型的节点进行过滤。 另一种方法(如引用[1]所述)是在Jackson的序列化/反序列化过程中进行过滤,这通常更安全,因为它是在解析为对象树后进行的,不会破坏结构。 下面我将分别介绍这两种方法。 方法一:使用过滤器(结合请求包装器和JSON解析) 步骤: 1. 创建可缓存请求体的请求包装器(CachedBodyHttpServletRequest,如前所述)。 2. 在过滤器中,读取缓存的请求体(JSON字符串),然后解析为JSON树(如使用Jackson的ObjectMapper)。 3. 遍历JSON树,对所有字符串值进行XSS过滤(例如,转义HTML特殊字符)。 4. 将过滤后的JSON树写回为字符串,并更新请求包装器中的缓存体。 5. 将包装后的请求传递下去。 方法二:使用Jackson的JsonDeserializer(在反序列化时过滤) 1. 自定义一个JsonDeserializer,用于在反序列化字符串时进行XSS过滤。 2. 将这个反序列化器注册到ObjectMapper中,可以全局注册或者通过注解在特定字段上使用。 考虑到方法一在过滤器中处理所有请求,可能会影响性能(因为要解析和重构整个JSON),而且如果请求体不是JSON,则不需要处理。方法二则更精确,只在反序列化时处理字符串字段。 下面分别给出两种方法的实现示例。 方法一:过滤器方式(适用于所有请求,但注意性能) 首先,我们扩展之前的CachedBodyHttpServletRequest,使其可以重新设置缓存体(用于过滤后更新)。 修改CachedBodyHttpServletRequest: 增加一个setCachedBody方法,用于更新缓存体。 然后,在过滤器中: 1. 包装请求。 2. 检查请求的Content-Type是否为application/json(避免处理非JSON请求)。 3. 读取缓存体,解析为JSON(使用Jackson的JsonNode)。 4. 遍历JsonNode,对所有文本节点进行过滤。 5. 将过滤后的JsonNode写回字符串,并设置回请求包装器。 6. 传递包装后的请求。 方法二:使用Jackson反序列化器(推荐,因为更轻量且精确) 步骤: 1. 自定义一个XSS过滤的反序列化器。 2. 注册这个反序列化器到ObjectMapper(可以全局注册,也可以针对特定字段使用注解)。 下面分别给出两种方法的代码示例。 方法一:过滤器方式 注意:这种方法需要处理整个请求体,可能会对性能有影响,特别是大JSON。 步骤1:修改CachedBodyHttpServletRequest,增加setCachedBody方法(可选,也可以重新创建字节数组) 实际上,我们可以通过重新设置cachedBody并重新生成输入流和reader。我们在之前的类中增加一个setCachedBody方法: ```java public void setCachedBody(byte[] body) { this.cachedBody = body; } ``` 步骤2:编写XSS过滤工具类(简单示例,使用StringEscapeUtils) 添加依赖(如果使用Apache Commons Text): ```xml <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.9</version> </dependency> ``` 步骤3:编写过滤器,对JSON请求体进行过滤 ```java import com.fasterxml.jackson.databind.JsonNode; import com.fasterxml.jackson.databind.ObjectMapper; import org.apache.commons.text.StringEscapeUtils; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssJsonFilter implements Filter { private ObjectMapper objectMapper = new ObjectMapper(); @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; // 检查是否为JSON请求 if (isJsonRequest(httpRequest)) { // 使用我们之前定义的包装器 CachedBodyHttpServletRequest wrappedRequest = new CachedBodyHttpServletRequest(httpRequest); // 读取缓存体 byte[] bodyBytes = wrappedRequest.getCachedBody(); String bodyStr = new String(bodyBytes, httpRequest.getCharacterEncoding()); // 解析JSON JsonNode rootNode = objectMapper.readTree(bodyStr); // 遍历JSON树并过滤字符串值 filterJsonNode(rootNode); // 将过滤后的JSON转回字符串 String filteredBody = objectMapper.writeValueAsString(rootNode); // 重新设置缓存体 wrappedRequest.setCachedBody(filteredBody.getBytes(httpRequest.getCharacterEncoding())); // 继续传递包装后的请求 chain.doFilter(wrappedRequest, response); } else { chain.doFilter(request, response); } } private boolean isJsonRequest(HttpServletRequest request) { String contentType = request.getContentType(); return contentType != null && contentType.contains("application/json"); } // 递归遍历JsonNode,对字符串值进行过滤 private void filterJsonNode(JsonNode node) { if (node.isObject()) { node.fields().forEachRemaining(entry -> { JsonNode value = entry.getValue(); if (value.isTextual()) { // 对字符串进行XSS过滤 String filtered = StringEscapeUtils.escapeHtml4(value.asText()); ((ObjectNode) node).put(entry.getKey(), filtered); } else { filterJsonNode(value); // 递归处理 } }); } else if (node.isArray()) { for (JsonNode item : node) { filterJsonNode(item); } } // 其他类型无需处理 } } ``` 注意:上面的递归过滤中,我们只处理了对象和数组。对于基本类型,只处理字符串。 方法二:使用Jackson反序列化器(推荐) 步骤1:创建自定义反序列化器 ```java import com.fasterxml.jackson.core.JsonParser; import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.DeserializationContext; import com.fasterxml.jackson.databind.JsonDeserializer; import org.apache.commons.text.StringEscapeUtils; import java.io.IOException; public class XssStringJsonDeserializer extends JsonDeserializer<String> { @Override public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException, JsonProcessingException { String value = p.getValueAsString(); if (value == null) { return null; } // 进行XSS过滤 return StringEscapeUtils.escapeHtml4(value); } } ``` 步骤2:注册这个反序列化器 有两种方式: 方式一:全局注册(所有String类型字段都应用) ```java import com.fasterxml.jackson.databind.ObjectMapper; import com.fasterxml.jackson.databind.module.SimpleModule; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder; @Configuration public class JacksonConfig { @Bean public ObjectMapper objectMapper(Jackson2ObjectMapperBuilder builder) { ObjectMapper objectMapper = builder.createXmlMapper(false).build(); SimpleModule module = new SimpleModule(); module.addDeserializer(String.class, new XssStringJsonDeserializer()); objectMapper.registerModule(module); return objectMapper; } } ``` 方式二:在特定字段上使用注解 ```java public class User { @JsonDeserialize(using = XssStringJsonDeserializer.class) private String name; // 其他字段... } ``` 方法二的好处: - 只在反序列化时处理,不影响其他请求。 - 只针对字符串字段,不会误处理数字等。 - 更符合单一职责原则。 但是,方法二需要确保所有需要过滤的字段都应用了该反序列化器(如果是全局注册则所有字符串字段都会被过滤,可能有些字段不需要过滤,比如密码字段通常不需要转义HTML,但需要防止存储型XSS,这取决于上下文)。 因此,建议使用方法二,并考虑在不需要过滤的字段上使用其他注解(如@JsonRawValue)或通过自定义注解来排除。 总结: - 如果希望集中处理所有请求的JSON数据,可以使用过滤器方法(方法一),但要注意性能。 - 如果使用Spring Boot,推荐使用方法二(自定义Jackson反序列化器),因为它更精确,且不会破坏JSON结构,同时只在需要的地方过滤。 根据引用[1]中提到的,他们使用了修改json序列化的方式(即类似方法二),所以方法二也是被验证可行的。 注意:XSS过滤的规则可以根据需要调整,比如使用更严格的策略(如白名单)或使用专门的库(如OWASP Java Encoder)。 使用OWASP Java Encoder的例子: ```java import org.owasp.encoder.Encode; // 在反序列化器中 return Encode.forHtmlContent(value); // 根据上下文选择编码方法 ``` 相关问题: 1. 如何选择XSS过滤的编码方式(HTML内容、HTML属性、JavaScript等)? 2. 在Spring Boot中如何排除某些字段不进行XSS过滤? 3. 如何防止GET请求中的XSS攻击(URL参数)?</think>### Java Web应用中JSON数据的XSS过滤方法 在Java Web应用中防止JSON数据的XSS攻击,主要有两种核心方案:**过滤器层过滤**和**JSON序列化层过滤**。以下是具体实现方法: --- #### 方案1:过滤器层过滤(推荐) 在请求到达Controller前进行XSS过滤,兼容性强且不依赖特定框架。 ##### 实现步骤: 1. **创建XSS过滤工具类**: ```java import org.apache.commons.text.StringEscapeUtils; public class XssUtils { // 使用ESAPI或Apache Commons Text进行XSS过滤 public static String cleanXss(String value) { if (value == null) return null; return StringEscapeUtils.escapeHtml4(value); // 转义HTML特殊字符 // 或使用:ESAPI.encoder().encodeForHTML(value) // 需ESAPI依赖 } } ``` 2. **创建可缓存请求的包装器**(解决请求体多次读取问题): ```java import javax.servlet.*; import javax.servlet.http.*; import java.io.*; import java.nio.charset.StandardCharsets; public class XssRequestWrapper extends HttpServletRequestWrapper { private byte[] cachedBody; public XssRequestWrapper(HttpServletRequest request) throws IOException { super(request); // 读取并缓存请求体 ByteArrayOutputStream baos = new ByteArrayOutputStream(); InputStream is = request.getInputStream(); byte[] buffer = new byte[1024]; int len; while ((len = is.read(buffer)) > -1) { baos.write(buffer, 0, len); } cachedBody = baos.toByteArray(); } @Override public ServletInputStream getInputStream() { return new CachedServletInputStream(cachedBody); } // 获取过滤后的JSON字符串 public String getFilteredJson() { String json = new String(cachedBody, StandardCharsets.UTF_8); return XssUtils.cleanXss(json); // 应用XSS过滤 } } ``` 3. **创建XSS过滤器**: ```java import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; public class XssFilter implements Filter { @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpReq = (HttpServletRequest) req; // 只处理JSON请求 if ("application/json".equalsIgnoreCase(httpReq.getContentType())) { XssRequestWrapper wrappedRequest = new XssRequestWrapper(httpReq); // 获取过滤后的JSON String filteredJson = wrappedRequest.getFilteredJson(); // 将过滤后的JSON重新放入请求属性(Controller层可获取) wrappedRequest.setAttribute("filteredBody", filteredJson); chain.doFilter(wrappedRequest, res); } else { chain.doFilter(req, res); // 非JSON请求直接放行 } } } ``` 4. **在Controller中获取过滤后的数据**: ```java @PostMapping("/submit") public ResponseEntity<?> handleJson(@RequestBody String rawJson, HttpServletRequest request) { // 从请求属性获取已过滤JSON String safeJson = (String) request.getAttribute("filteredBody"); // 使用safeJson继续处理... return ResponseEntity.ok("Processed safely"); } ``` 5. **配置过滤器**(web.xml): ```xml <filter> <filter-name>XssFilter</filter-name> <filter-class>com.example.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>XssFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` --- #### 方案2:JSON序列化层过滤Spring Boot专用) 通过自定义Jackson反序列化器在JSON解析时过滤XSS,更精准但依赖Spring框架。 ##### 实现步骤: 1. **创建XSS反序列化器**: ```java import com.fasterxml.jackson.core.JsonParser; import com.fasterxml.jackson.databind.DeserializationContext; import com.fasterxml.jackson.databind.JsonDeserializer; import org.apache.commons.text.StringEscapeUtils; import java.io.IOException; public class XssStringDeserializer extends JsonDeserializer<String> { @Override public String deserialize(JsonParser p, DeserializationContext ctx) throws IOException { String value = p.getValueAsString(); return value != null ? StringEscapeUtils.escapeHtml4(value) : null; } } ``` 2. **注册全局反序列化器**: ```java import com.fasterxml.jackson.databind.Module; import com.fasterxml.jackson.databind.module.SimpleModule; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class JacksonConfig { @Bean public Module xssModule() { SimpleModule module = new SimpleModule(); // 所有String类型字段都应用XSS过滤 module.addDeserializer(String.class, new XssStringDeserializer()); return module; } } ``` 3. **选择性过滤**(使用注解): ```java public class UserDto { @JsonDeserialize(using = XssStringDeserializer.class) // 仅过滤特定字段 private String bio; private Integer age; // 非字符串字段不受影响 } ``` --- ### 两种方案对比 | **方案** | **优势** | **适用场景** | |---------------------|----------------------------------|------------------------------| | 过滤器层过滤 | 框架无关、支持非JSON请求 | 多框架项目、需要统一安全管控 | | JSON序列化层过滤 | 精准到字段、无需处理请求流问题 | Spring Boot项目、精确控制 | --- ### 关键注意事项 1. **性能优化**: - 对于大JSON,使用流式解析(如Jackson的`JsonParser`) - 添加缓存大小限制:`if(cachedBody.length > 10_000_000) throw new PayloadTooLargeException()` 2. **上下文感知过滤**: ```java // 根据内容位置选择不同编码方式 String sanitized = switch(context) { case HTML -> Encode.forHtml(input); case JS -> Encode.forJavaScript(input); default -> input; }; ``` 3. **依赖库推荐**: ```xml <!-- Apache Commons Text --> <dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.10.0</version> </dependency> <!-- OWASP Java Encoder(更专业) --> <dependency> <groupId>org.owasp.encoder</groupId> <artifactId>encoder</artifactId> <version>1.2.3</version> </dependency> ``` 4. **测试用例**: ```java @Test void testXssFilter() { String malicious = "<script>alert(1)</script>"; String safe = XssUtils.cleanXss(malicious); assertEquals("<script>alert(1)</script>", safe); } ``` > 实际项目中建议结合两种方案: > - 用过滤器处理所有请求的通用XSS防护 > - 用JSON反序列化器对敏感字段额外加固[^1][^3] --- ### 总结 在Java Web应用中防护JSON数据的XSS攻击,**过滤器方案**提供基础防护并解决请求流复用问题,**JSON序列化方案**实现精准字段级过滤。关键点是: 1. 通过`HttpServletRequestWrapper`缓存请求体 2. 使用`StringEscapeUtils`或OWASP Encoder转义危险字符 3. 在过滤器或Jackson反序列化器中植入清洗逻辑 4. 对HTML/JS/URL上下文采用差异化编码策略[^2] 对于新项目推荐使用JSON序列化层方案,遗留系统建议采用过滤器方案逐步迁移[^1][^3]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值