2. 程式人生 > >SpringMVC 跨站指令碼攻擊防護(防止XSS攻擊)

SpringMVC 跨站指令碼攻擊防護(防止XSS攻擊)

阿新 發佈:2019-01-11

SpringMVC 跨站指令碼攻擊防護(防止XSS攻擊)

  1. 定義一個基礎controller
import org.springframework.beans.propertyeditors.StringTrimmerEditor;
import org.springframework.web.bind.WebDataBinder;
import org.springframework.web.bind.annotation.InitBinder;
import org.springframework.web.multipart.MultipartFile;

/**
* Controller - 基類
*/
 

public class BaseController {
   @InitBinder
   protected void initBinder(WebDataBinder binder) {
       binder.registerCustomEditor(MultipartFile.class, new StringTrimmerEditor(true));
       binder.registerCustomEditor(String.class, new HtmEscapeEditor(true));
   }
}

HtmEscapeEditor

import org.
 
apache.commons.lang3.StringUtils;
import org.springframework.beans.propertyeditors.StringTrimmerEditor;
import org.springframework.web.util.HtmlUtils;

/**
* HTML轉義(防止XSS攻擊)
*/
public class HtmEscapeEditor extends StringTrimmerEditor {

  public HtmEscapeEditor(boolean emptyAsNull) {
      super(emptyAsNull)
 
;
  }

  @Override
  public void setAsText(String text) {
      super.setAsText(text);
      String value = (String) getValue();
      if (StringUtils.isNotEmpty(value)) {
          setValue(HtmlUtils.htmlEscape(value));
      }
  }

}

2.讓所有的controller類都繼承BaseController.
3.所有的controller所提交的資訊首先要進入BaseController.initBinder方法將輸入資訊進行轉義。
4.使用HtmlUtils.htmlUnescape()方法可以進行解碼

相關推薦

SpringMVC 指令碼攻擊防護防止XSS攻擊

SpringMVC 跨站指令碼攻擊防護(防止XSS攻擊) 定義一個基礎controller import org.springframework.beans.propertyeditors.StringTrimmerEditor; import org.springfr

指令碼,基於DOM的XSS攻擊

問題:    應用程式的客戶端程式碼從docum ent.lo cation、docum ent.U RL、docum ent.referrer或 其 他 任 何攻擊者可以修改的瀏覽器物件獲取資料,如

指令碼攻擊Cross-site scripting,通常簡稱為XSS阿里雲防護

漏洞描述:        跨站指令碼攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意程式碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的程式碼放到伺服器上作為一個網頁內容, 使得其他網站使用

SSM框架搭建網站防止指令碼攻擊

第一篇 1. 個人網站使用SSM框架搭建的,上線前使用IBM Security AppScan Standard掃描漏洞出現跨站指令碼攻擊。 修復方案  普遍的解決方案是新增攔截器。 1.在專案中新建一個攔截器 XssFilter .java impo

XSSCross Site Scripting-指令碼攻擊

XSS(Cross Site Scripting)-跨站指令碼攻擊 XSS介紹 XSS攻擊目的及原理 解決方案 [科普]如何防止跨站點指令碼攻擊 XSS介紹 XSS是跨站指令碼攻擊(Cross Site Scripting)的縮

web安全1-- XSS指令碼攻擊

XSS攻擊,通常指黑客通過“html注入” 篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁的時候,控制使用者瀏覽器的一種攻擊。其原理是攻擊者向有XSS漏洞的網站中輸入(傳入)一段惡意的HTML程式碼,當其它使用者瀏覽該網站時,這段HTML程式碼會自動執行,從而達到攻擊的目的。如,盜取使用者Co

指令碼攻擊XSS 漏洞原理及防禦方法

注:轉載請註明出自:https://blog.csdn.net/qq_36711453/article/details/83745195 XSS跨站指令碼攻擊:兩種情況。一種通過外部輸入然後直接在瀏覽器端觸發,即反射型XSS;還有一種則是先把利用程式碼儲存在資料庫或檔案中,當web程式讀取利用程

《白帽子講Web安全》3-指令碼攻擊XSS

第3章 跨站指令碼攻擊(XSS) 3.1 XSS簡介 Cross Site Script,跨站指令碼攻擊,簡稱XSS。 XSS攻擊,通常是指黑客通過“HTML注入”篡改了網頁,插入了惡意的指令碼,從而在客使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。

JAVA WEB中處理防SQL注入|防XSS指令碼攻擊咋個辦呢 zgbn

JAVA WEB中處理防SQL注入|防XSS跨站指令碼 在java web專案中,必然會涉及到從客戶端向服務端提交資料,那麼由於服務端對資料的處理等動作,會因為字串拼接和使用的特殊性,存在一些漏洞被人利用。 這篇文章,主要介紹一下在java web專案中,程

XSS 指令碼攻擊 學習筆記 概念與簡單XSS構造

XSS是個啥? ### XSS 跨站指令碼攻擊。通過HTML注入篡改網頁,插入惡意指令碼。 啥是XSS? 首先我們寫了一個PHP <?php $input = $_GET["id"]; echo "<div>".$input."&l

指令碼攻擊XSS幾種解決方案淺析

一、概述        Cross-site scripting(CSS or XSS)跨站指令碼不像其他攻擊只包含兩個部分:攻擊者和web站點,跨站指令碼包含三個部分:攻擊者,客戶和web站點。跨站指令碼攻擊的目的是竊取客戶的cookies,或者其他可以證明使用者身份的敏

XSS指令碼攻擊-- 結合Spring MVC框架

1.web.xml中 <filter> <filter-name>xssFilter</filter-name> <filter-class>com.xxx.web.filter.XSSFilter</filte

WebGoat實驗-XSS指令碼攻擊

信安實驗,安排在WebGoat上面的XSS實驗。簡單記錄一下實驗過程。 Stage 1: Stored XSS(儲存XSS攻擊) 實驗內容:主要是使用者“Tom”(攻擊者)在自己的個人資料中添加了惡意程式碼(比如最簡單的<script>alert('12121

XSS指令碼攻擊原理及防護方法

其次,通過使cookie和系統ip繫結來降低cookie洩露後的危險。這樣攻擊者得到的cookie沒有實際價值,不可能拿來重放。 3.儘量採用POST而非GET提交表單 POST操作不可能繞開javascript的使用,這會給攻擊者增加難度,減少可利用的跨站漏洞。 4.嚴格檢查refer檢查http refe

聊兩句XSS指令碼攻擊

> XSS(跨站指令碼攻擊),聊兩句,五毛的。 #### XSS的危害: * 竊取Cookie,盜用使用者身份資訊 這玩意兒是大多數XSS的目標,也好解決,可以先治個標,直接設定`HttpOnly=true` ,即不允許客戶端指令碼訪問,設定完成後,通過js去讀取cookie,你會發現`document

如何解決指令碼攻擊

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

指令碼攻擊xss學習

0、認識跨站指令碼 舉一個跨站指令碼的簡單例子。 假設一個頁面將使用者輸入的引數直接顯示到頁面之中。(比如有如下程式碼) 在實際的瀏覽器中,在param中提交的引數正常會展示到頁面之中。比如輸入下面的URL: 然後發現瀏覽器頁面的提供會變成這樣: 此時如果提交下面的URL: 會發現

XSS指令碼攻擊以及解決辦法

來源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全稱為Cross Site Script,跨站指令碼攻擊,是WEB程式中一種常見的漏洞。其主要的攻擊手段是在在利用網站上的可由使用者輸入資訊的地方,惡意注入含有攻擊性的指令碼,達到攻擊網

DVWA之DOM XSS(DOM型指令碼攻擊)

LOW 原始碼: <?php # No protections, anything goes ?> 從原始碼可以看出,這裡low級別的程式碼沒有任何的保護性措施! 頁面本意是叫我們選擇預設的語言,但是對default引數沒有進行任何的過濾 所以我們

張小白的滲透之路——XSS指令碼漏洞詳解

XSS簡介 XSS又叫CSS(Cross Site Script),即跨站指令碼攻擊。是指攻擊者在網頁中嵌入客戶端指令碼,通常是JavaScript編寫的惡意程式碼,當用戶使用瀏覽器瀏覽被嵌入惡意程式碼