2. 程式人生 > >springboot 防禦XSS 攻擊的簡單實現

springboot 防禦XSS 攻擊的簡單實現

阿新 發佈:2018-12-19 
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * xss過濾器
 */
@WebFilter(filterName="xssFilter",urlPatterns="/*")
public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        //對請求進行攔截,防xss處理
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
        this.filterConfig = null;
    }
}

import com.juphoon.iron.nbntax.common.utils.FilterUtil;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.regex.Pattern;

import static java.util.regex.Pattern.*;

/**
 * xss請求介面卡
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * 對陣列引數進行特殊字元過濾
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 對引數中特殊字元進行過濾
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 獲取attribute,特殊字元過濾
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value != null && value instanceof String) {
            cleanXSS((String) value);
        }
        return value;
    }

    /**
     * 對請求頭部進行特殊字元過濾
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return cleanXSS(value);
    }

    /**
     * 轉義字元,使用該方法存在一定的弊端
     * 
     * @param value
     * @return
     */
    private String cleanXSS2(String value) {
        // 移除特殊標籤
        value = value.replaceAll("<", "&lt;").replaceAll(">", "&gt;");
        value = value.replaceAll("\\(", "&#40;").replaceAll("\\)", "&#41;");
        value = value.replaceAll("'", "&#39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

    private String cleanXSS(String value) {
        return FilterUtil.cleanXSS(value);
    }
}

最後在啟動類上添加註解

@ServletComponentScan

相關推薦

springboot 防禦XSS 攻擊簡單實現

import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOExceptio

springboot整合shiro的簡單實現

springboot整合shiro的簡單實現 注意: 1.shiro需要自行在doGetAuthenticationInfo方法中進行賬號密碼的校驗 2.ip+埠形式訪問頁面會被shiro攔截,如果沒有登入會被重定向到login頁面,如果登入會被重定向到index

SpringBootXSS攻擊

1 . pom中增加依賴 <!-- xss過濾元件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifact

Java中使用AntiSamy開源專案防禦XSS攻擊

背景:     之前公司有接了一個國土的專案,雖然是內部小專案,但是可能是zhengfu專案竟然找軟體測試公司大概測了一下。。。然後出現了以下三種問題:sql注入,XSS攻擊,介面訪問頻率。下面是解決XSS攻擊。 研究:     一開始的想法是,弄個過濾器把那些關鍵字過

防禦XSS攻擊:基於白名單的富文字XSS後端過濾(jsoup)

簡介: 跨站指令碼攻擊(Cross Site Scripting),為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。  攻擊原

WEB網站防禦XSS攻擊思路和XSS實踐

本文將會著重介紹防禦XSS攻擊的一些原則,需要讀者對於XSS有所瞭解,至少知道XSS漏洞的基本原理,如果您對此不是特別清楚,請參考這兩篇文章:《Stored and Reflected XSS Attack》《DOM Based XSS》 攻擊者可以利用XSS漏洞向用戶傳送攻擊指令碼,而使用者的瀏

利用HttpOnly來防禦xss攻擊

xss的概念就不用多說了,它的危害是極大的,這就意味著一旦你的網站出現xss漏洞,就可以執行任意的js程式碼,最可怕的是攻擊者利用js獲取cookie或者session劫持,如果這裡麵包含了大量敏感資訊(身份資訊,管理員資訊)等,那完了。。。 如下js獲取cookie資訊:

springboot 、springmvc 預防xss 攻擊 自定義WebBindingInitializer 實現

import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework

springboot 實現防止xss攻擊和sql注入

一、xss攻擊和sql注入(可以使用IBM安全漏洞掃描工具) (1)XSS(Cross Site Scripting),即跨站指令碼攻擊,是一種常見於web application中的電腦保安漏洞。XSS通過在使用者端注入惡意的可執行指令碼,若伺服器端對使用者輸入不進行處理,直接將使用者輸入

防範xss攻擊-springboot程式碼實現

【現象】:form 提交可執行的HTML 標籤或JS 程式碼成功。比如:"/><script>alert('啦啦啦啦啦啦')</script><!-   或者 <img src='1.jpg' onload=alert(1)>

xss攻擊防禦

font 引號 span java 額外 有意義 tab 有意 script 除了在引號中分割單詞和強制結束語句外,額外的空格沒有意義。 >>>>>>java script : alert 同理 換行符/tab

史上最簡單springboot國際化多語言切換實現方案

messages conf main del span 語言 rop target 每天 每天學習一點點 編程PDF電子書、視頻教程免費下載:http://www.shitanlife.com/code 前提: 在resources目錄下建立 messages_en

如何發起、防禦和測試XSS攻擊,我們用DVWA來學習(下)

上一篇我們瞭解了XSS攻擊的原理,並且利用DVWA嘗試了簡單的XSS攻擊,這一篇我們來實現更復雜的攻擊,然後探討防禦機制和測試理念。   前面我們通過指令碼注入讓網頁彈出了使用者cookie資訊,可以光彈窗是沒有什麼用的,接下來我們想辦法把這些資訊傳送出去。   2.1 使用反射型

Springboot + ActiveMq 簡單實現

linux下搭建activeMq 參考 1 引入依賴包 pom.xml 新增以下內容 <dependency> <groupId>org.springframework.boot</groupId>

Nginx簡單防禦CC攻擊的兩種方法

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Springboot整合Thymeleaf、layui實現簡單的增刪改查

Springboot整合Thymeleaf、layui實現簡單的增刪改查 主頁面列表分頁顯示 搜尋功能 新增使用者 編輯使用者 Mapper對映 Controller層 list.html初始化載入表格資料 搜尋過載表

Web 攻擊XSS 攻擊防禦策略

XSS 攻擊 介紹 XSS 攻擊,從最初 netscap 推出 javascript 時,就已經察覺到了危險。 我們常常需要面臨跨域的解決方案,其實同源策略是保護我們的網站。糟糕的跨域會帶來危險,雖然我們做了訪問控制,但是網站仍然面臨著嚴峻的 XSS 攻擊考驗。 攻擊定義: Cross-Site

SpringBoot簡單實現

定義: Spring Boot是由Pivotal團隊提供的全新框架,其設計目的是用來簡化新Spring應用的初始搭建以及開發過程。該框架使用了特定的方式來進行配置,從而使開發人員不再需要定義樣板化的配置。通過這種方式,Spring Boot致力於在蓬勃發展的快速應用開發領域(rapid

CSRF,XSS攻擊防禦

 CSRF概念:CSRF跨站點請求偽造(Cross—Site Request Forgery),跟XSS攻擊一樣,存在巨大的危害性,你可以這樣來理解:        攻擊者盜用了你的身份,以你的名義傳送惡意請求,對伺服器來說這個請求是完全合法的,

springboot+websocket的簡單實現,解決websocket failed: Error during WebSocket handshake: Unexpected response

編輯器:idea。tomcat是springboot內建的tomcat,一開始出現 websocket failed: Error during WebSocket handshake: Unexpected response 這個問題的原因是,我一開始在專案中沒有在注入ServerEndp