springboot-防止sql注入,xss攻击,cros恶意访问

最新推荐文章于 2025-03-24 19:09:23 发布
最新推荐文章于 2025-03-24 19:09:23 发布
阅读量4.7w 收藏 131
点赞数 18
CC 4.0 BY-SA版权
分类专栏: springboot 文章标签: sprinboot-sql注入 springboot-xss攻击 springboot-cros跨域 springboot-csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yhhyhhyhhyhh/article/details/84504487

springboot-防止sql注入,xss攻击,cros恶意访问

文章目录

完整代码下载链接:

https://github.com/2010yhh/springBoot-demos.git

环境

idea2018,jdk1.8,

springboot版本:springboot1.5.9.RELEASE

1.sql注入

sql注入:

把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

解决方法:

1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串。

2)后台过滤检测:使用正则表达式过滤传入的参数**;**.字符串过滤

3)前端检测sql常见关键字,如or and drop之类的

测试:

1.sql直接拼接,访问:http://localhost:8180/webapp2/testSql1?userName=1&passWord=1 or 1=1


实际执行sql:sql1:select user_name,pass_word from cas_user where user_name= '1' and pass_word=1 INVALID 1=1

结果:输入错误信息也能查询
在这里插入图片描述

2.sql预编译(其他mybais组件类似),访问:http://localhost:8180/webapp2/testSql2?userName=1&passWord=1 or 1=1

实际执行sql:sql2:select user_name,pass_word from cas_user where user_name= '1' and pass_word= '1 INVALID 1=1'

结果:
在这里插入图片描述

2种不同的sql写法:
在这里插入图片描述

3.代码中增加了过滤器检测表单输入后,sql关键字段会被过滤掉;访问:http://localhost:8180/webapp2/testSql2?userName=1&passWord=1 or 1=1

结果:非法输入被过滤器过滤掉了(或者替换了)

最低0.47元/天 解锁文章

新学期VIP享超值加赠
SpringBoot中如何防止XSS攻击sql注入
2302_77596945的博客
05-23 1992
***自定义过滤注解*/⑤自定义拦截器配置类@Override最后最后!!!一定要在启动类添加扫描@ServletComponentScan(basePackages ="全限定名")以上仅供参考。
教你完美搞定 Spring Boot 反爬虫、防止接口盗刷
xuanwo007的博客
07-06 1555
kk-anti-reptile 是适用于基于 spring-boot 开发的分布式系统的反爬虫组件。 系统要求 基于 spring-boot 开发(spring-boot1.x, spring-boot2.x均可) 需要使用 redis 工作流程 kk-anti-reptile 使用基于 Servlet 规范的的 Filter 对请求进行过滤,在其内部通过 spring-boot 的扩展点机制,实例化一个 Filter,并注入到 Spring 容器 FilterRegistrationBean 中,
SpringBoot——防止sql注入xss攻击
Blackcat_Hellcat的博客
11-22 1392
SpringBoot——防止sql注入xss攻击 sql注入:把SQL命令插入到Web表单递交或输入名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 解决方法: (1)无论是直接使用数据库还是使用如mybatis组件,使用sql的预编译,不要用拼接字符串; (2)后台过滤检测:使用正则表达式过滤入的参数**;**.字符串过滤; (4)前端检测sql常见关键字,如or and drop之类的。 xss攻击:其原理是攻击者向有XSS漏洞的网站中输入(入)恶意的HTML代码,当其它用户浏
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击sql注入.zip
Springboot集成防sql注入设置
hao_kkkkk的专栏
10-21 3515
sql注入 安全开发 springboot
预防XSS攻击SQL注入XssFilter
05-19
攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于站脚本攻击,黑客界共识是:站脚本攻击是...
Web安全攻防关键技术详解 - SQL注入XSS攻击实战指南
11-07
内容概要:本文详细介绍了Web安全攻防的关键技术,主要包括SQL注入XSS攻击和CSR攻击的原理、绕过手段及防范措施。首先,讲解了SQL注入的基本原理、分类及常见的注入手法,接着介绍了如何使用SQLMap工具进行自动化...
springboot使用cors解决问题
zzybbh的博客
06-25 369
springboot使用cors解决问题 首先我们了解一下问题是如何产生的。 由于同源策略(Same Orgin Policy)是一种约定,它是浏览器核心也最基本的安全功能,它会阻止一个的js脚本和另外一个的内容进行交互,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。。所谓同源(即在同一个)就是两个页面具有相同的协议(protocol)、主机(host)和端口号(port)。 非同源会出现的限制 无法读取非同源网页的cookie、localstorage等 无法接触非同源网页的D
springboot基于CORS处理问题
足迹人生的博客
01-07 472
springboot基于CORS处理问题
修复Cors漏洞
压力是什么?
09-24 4671
修复Cors漏洞
【安全漏洞】SpringBoot + SpringSecurity CORS资源共享配置
weixin_42925623的博客
09-05 2916
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
Spring Framework CVE-2020-5408 CORS 配置漏洞
日拱一卒无有尽,功不唐捐终入海
08-27 1087
背景: 一直零散的使用着Spring Boot 的各种组件和特性,从未系统性的学习和总结,本次借着这个机会搞一波。共同学习,一起进步。哈哈CVE-2020-5408 是一个在Spring Framework中的站请求伪造(Cross-Site Request Forgery, CSRF)漏洞。该漏洞主要是由于Spring Framework在处理站资源共享(Cross-Origin Resource Sharing, CORS)时的错误配置。
Spring Boot项目中处理(CORS)问题
易之阴阳,量子纠缠,道之一体,缘起性空
03-19 457
在Spring Boot项目中处理问题,主要通过配置CORS(Cross-Origin Resource Sharing,源资源共享)策略来实现。以下是两种常见的处理方式:
解决CORS错误(Spring Boot)
墨辰JC的博客
02-07 9036
Cross-Origin)是指在Web开发中,当一个Web应用试图从一个源(名、协议、端口组合)获取资源时,该请求的目标与当前页面的源不同。具体来说,当一个页面的JavaScript代码尝试向不同名、协议或端口的服务器发送请求时,就会发生请求。请求是由浏览器实施的同源策略(Same-Origin Policy)限制导致的。同源策略是浏览器的一项安全机制,旨在保护用户的隐私和安全。同源策略要求Web页面只能从相同源加载资源,不同源的页面不能访问彼此的数据,以防止恶意网站获取用户的敏感信息。
Springboot是怎么解决问题的?
凡夫编程
03-16 2272
访问问题的出现,起因于浏览器的同源策略,然而事情的事相是请求可以发出去,服务器端也可以收到请求并返回正常的结果,只是最终的响应结果被浏览器拦截了。如今是什么形形势了?前后端分离,分布式部署、微服务等如雨后春笋般出现了,都有访问的需要,同源策略限制,似乎有点不合时宜。那么解决这个问题的思路是什么呢? 其实理解了什么是同源策略以及问题出现的原因,解决思路也就再明显不过了。既然是前端发起请求后,后端收到请求也处理了请求并响应了结果,只是浏览器把结果给拦截了,那么最直接的想法就是在前端绕过同源策略限
攻防演练:Spring Boot 中的 CORS 和 CSRF,别让你的应用裸奔!
最新发布
Innocence_0的博客
03-24 708
CORS:浏览器端的安全策略,用于限制请求。配置灵活,可以全局配置,也可以针对特定接口配置。CSRF防止站请求伪造的安全机制,Spring Security 默认开启。对于无状态 API,可以考虑禁用。记住,网络安全无小事,CORS 和 CSRF 都是保护你的 Spring Boot 应用的重要防线。搞懂它们,用好它们,才能让你的应用在互联网的“枪林弹雨”中屹立不倒!
搭建大型分布式服务(二十)SpringBoot 如何防止SQL注入
hanyi_的专栏
06-22 1425
系列文章目录 文章目录系列文章目录前言一、本文要点二、开发环境三、创建项目四、自定义校验五、测试一下六、小结 前言 群里有个小伙伴提问,SpringBoot项目怎样做参数校验,防止SQL注入?改动尽量少,高灵活,因为并不是每个参数有需要校验的。 一、本文要点 接前文,我们介绍了如何做spring拓展,轻松面对面试官的提问了。本文介绍如何自定义参数校验,保护我们的系统,避免各种参数问题。系列文章完整目录 springboot 自定义校验参数 springboot 自定义校验规则 spri
springboot经验之sql注入xss注入拦截(POST)
lipeng的博客
02-08 4248
简介 sql注入xss注入、cors攻击的简介以及解决方案,可以参考下面链接: https://blog.youkuaiyun.com/yhhyhhyhhyhh/article/details/84504487 这里我就不做的的介绍了,解决sql注入根本方案在于使用预编译而不是拼接sql, 而通常拦截参数都只有针对GET方法,下面介绍下POST方法 POST防注入方案 1、增加httprequest包装类 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值