SpringBoot防XSS攻击

作者：mobiledu2502927723 | 来源：互联网 | 2023-09-04 18:24

1.pom中增加依赖org.jsoupjsoup

1 . pom中增加依赖

org.jsoupjsoup1.9.2

2 . 增加标签处理类

package com.xbz.utils;import org.apache.commons.lang3.StringUtils; import org.jsoup.Jsoup; import org.jsoup.nodes.Document; import org.jsoup.safety.Whitelist;import java.io.IOException;/*** xss非法标签过滤工具类* 过滤html中的xss字符* &＃64;author xbz*/ public class JsoupUtil {/*** 使用自带的basicWithImages 白名单* 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,* strike,strong,sub,sup,u,ul,img* 以及a标签的href,img标签的src,align,alt,height,width,title属性*/private static final Whitelist whitelist &＃61; Whitelist.basicWithImages();/** 配置过滤化参数,不对代码进行格式化 */private static final Document.OutputSettings outputSettings &＃61; new Document.OutputSettings().prettyPrint(false);static {// 富文本编辑时一些样式是使用style来进行实现的// 比如红色字体 style&＃61;"color:red;"// 所以需要给所有标签添加style属性whitelist.addAttributes(":all", "style");}public static String clean(String content) {if(StringUtils.isNotBlank(content)){content &＃61; content.trim();}return Jsoup.clean(content, "", whitelist, outputSettings);}public static void main(String[] args) throws IOException {String text &＃61; " ssssss ";System.out.println(clean(text));} }

3 . 重写请求参数处理函数

package com.xbz.web.common.filter;import com.xbz.utils.JsoupUtil; import org.apache.commons.lang3.StringUtils;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper;/** * {&＃64;link XssHttpServletRequestWrapper}* &＃64;author*/ public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest &＃61; null; private boolean isIncludeRichText &＃61; false;public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) { super(request); orgRequest &＃61; request;this.isIncludeRichText &＃61; isIncludeRichText;} /** * 覆盖getParameter方法&＃xff0c;将参数名和参数值都做xss过滤。 * 如果需要获得原始的值&＃xff0c;则通过super.getParameterValues(name)来获取 * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 */ &＃64;Override public String getParameter(String name) {Boolean flag &＃61; ("content".equals(name) || name.endsWith("WithHtml"));if( flag && !isIncludeRichText){return super.getParameter(name);}name &＃61; JsoupUtil.clean(name);String value &＃61; super.getParameter(name); if (StringUtils.isNotBlank(value)) {value &＃61; JsoupUtil.clean(value);}return value; } &＃64;Overridepublic String[] getParameterValues(String name) {String[] arr &＃61; super.getParameterValues(name);if(arr !&＃61; null){for (int i&＃61;0;i * 如果需要获得原始的值&＃xff0c;则通过super.getHeaders(name)来获取 * getHeaderNames 也可能需要覆盖 */ &＃64;Override public String getHeader(String name) { name &＃61; JsoupUtil.clean(name);String value &＃61; super.getHeader(name); if (StringUtils.isNotBlank(value)) { value &＃61; JsoupUtil.clean(value); } return value; } /** * 获取最原始的request * * &＃64;return */ public HttpServletRequest getOrgRequest() { return orgRequest; } /** * 获取最原始的request的静态方法 * * &＃64;return */ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if (req instanceof XssHttpServletRequestWrapper) { return ((XssHttpServletRequestWrapper) req).getOrgRequest(); } return req; } }

4 . 编写XSSFilter

package com.xbz.web.common.filter;import org.apache.commons.lang3.BooleanUtils; import org.apache.commons.lang3.StringUtils; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger;import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import java.util.ArrayList; import java.util.List; import java.util.regex.Matcher; import java.util.regex.Pattern;/** * 拦截防止xss注入* 通过Jsoup过滤请求参数内的特定字符* &＃64;author yangwk */ public class XssFilter implements Filter { private static final Logger logger &＃61; LogManager.getLogger();/*** 是否过滤富文本内容*/private static boolean IS_INCLUDE_RICH_TEXT &＃61; false;public List excludes &＃61; new ArrayList<>();&＃64;Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {if(logger.isDebugEnabled()){logger.debug("xss filter is open");}HttpServletRequest req &＃61; (HttpServletRequest) request;HttpServletResponse resp &＃61; (HttpServletResponse) response;if(handleExcludeURL(req, resp)){filterChain.doFilter(request, response);return;}XssHttpServletRequestWrapper xssRequest &＃61; new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT);filterChain.doFilter(xssRequest, response);}private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {if (excludes &＃61;&＃61; null || excludes.isEmpty()) {return false;}String url &＃61; request.getServletPath();for (String pattern : excludes) {Pattern p &＃61; Pattern.compile("^" &＃43; pattern);Matcher m &＃61; p.matcher(url);if (m.find()) {return true;}}return false;}&＃64;Overridepublic void init(FilterConfig filterConfig) throws ServletException {if(logger.isDebugEnabled()){logger.debug("xss filter init &＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;&＃61;");}String isIncludeRichText &＃61; filterConfig.getInitParameter("isIncludeRichText");if(StringUtils.isNotBlank(isIncludeRichText)){IS_INCLUDE_RICH_TEXT &＃61; BooleanUtils.toBoolean(isIncludeRichText);}String temp &＃61; filterConfig.getInitParameter("excludes");if (temp !&＃61; null) {String[] url &＃61; temp.split(",");for (int i &＃61; 0; url !&＃61; null && i

5 . 增加XSS配置

package com.xbz.web.common.config;import com.xbz.web.common.filter.XssFilter; import com.google.common.collect.Maps; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration;import java.util.Map;&＃64;Configuration public class XssConfig{/*** xss过滤拦截器*/&＃64;Beanpublic FilterRegistrationBean xssFilterRegistrationBean() {FilterRegistrationBean filterRegistrationBean &＃61; new FilterRegistrationBean();filterRegistrationBean.setFilter(new XssFilter());filterRegistrationBean.setOrder(1);filterRegistrationBean.setEnabled(true);filterRegistrationBean.addUrlPatterns("/*");Map initParameters &＃61; Maps.newHashMap();initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");initParameters.put("isIncludeRichText", "true");filterRegistrationBean.setInitParameters(initParameters);return filterRegistrationBean;} }

大功告成, 另外SpringMVC版本的XSS防范请参考另一篇文章SpringMVC防止XSS攻击

推荐阅读

config
如何在Java中高效构建WebService

本文介绍了如何利用XFire框架在Java中高效构建WebService。XFire是一个轻量级、高性能的Java SOAP框架，能够简化WebService的开发流程。通过结合MyEclipse集成开发环境，开发者可以更便捷地进行项目配置和代码编写，从而提高开发效率。此外，文章还详细探讨了XFire的关键特性和最佳实践，为读者提供了实用的参考。 ... [详细]

蜡笔小新 2024-10-30 20:46:43
php
Spring框架学习：基于Schema的异常通知与环绕通知深入解析

在Spring框架中，基于Schema的异常通知与环绕通知的实现方法具有重要的实践价值。首先，对于异常通知，需要创建一个实现ThrowsAdvice接口的通知类。尽管ThrowsAdvice接口本身不包含任何方法，但开发者需自定义方法来处理异常情况。此外，环绕通知则通过实现MethodInterceptor接口来实现，允许在方法调用前后执行特定逻辑，从而增强功能或进行必要的控制。这两种通知机制的结合使用，能够有效提升应用程序的健壮性和灵活性。 ... [详细]

蜡笔小新 2024-10-30 13:30:04
数组
从零起步：使用IntelliJ IDEA搭建Spring Boot应用的详细指南

从零起步：使用IntelliJ IDEA搭建Spring Boot应用的详细指南 ... [详细]

蜡笔小新 2024-11-01 11:34:01
config
如何构建基于Spring MVC框架的Java Web应用项目

在构建基于Spring MVC框架的Java Web应用项目时，首先应创建一个新的动态Web项目。接着，需将必要的JAR包导入至WebContent/WEB-INF/lib目录下，确保包括Spring核心库及相关依赖。如遇缺失的JAR包，可向社区求助或通过Maven等工具自动下载。正确配置后，即可开始搭建应用结构与功能模块。 ... [详细]

蜡笔小新 2024-10-30 17:05:55
default
RabbitMQ 3.7 快速上手指南：深入研究与实践

本文提供了 RabbitMQ 3.7 的快速上手指南，详细介绍了环境搭建、生产者和消费者的配置与使用。通过官方教程的指引，读者可以轻松完成初步测试和实践，快速掌握 RabbitMQ 的核心功能和基本操作。 ... [详细]

蜡笔小新 2024-10-29 15:33:07
php
Spring Batch 异常处理与任务限制优化策略

Spring Batch 异常处理与任务限制优化策略 ... [详细]

蜡笔小新 2024-11-01 19:48:02
php
Spring Security 认证模块的项目构建与初始化

本文详细介绍了如何构建和初始化Spring Security认证模块的项目。首先，通过创建一个分布式Maven聚合工程，该工程包含四个模块，分别为core、browser（用于演示）、app等，以构成完整的SeehopeSecurity项目。在项目构建过程中，还涉及日志生成机制，确保能够输出关键信息，便于调试和监控。 ... [详细]

蜡笔小新 2024-11-01 17:43:00
format
优化后的标题：利用模板消息进行高效信息推送

通过优化模板消息机制，本研究提出了一种高效的信息化推送方案。该方案利用获取的访问令牌（access token）和指定的模板ID，实现了精准且快速的信息推送，显著提升了用户体验和信息传递效率。具体实现中，通过调用相关API接口，确保了消息的准确性和及时性，为用户提供更加便捷的服务。 ... [详细]

蜡笔小新 2024-11-01 15:24:52
数组
PHP中元素的计量单位是什么？

PHP中元素的计量单位是什么？ ... [详细]

蜡笔小新 2024-11-01 15:06:51
php
解决基于XML配置的MyBatis在Spring整合中出现“无效绑定语句（未找到）：com.music.dao.MusicDao.findAll”问题的方法

在将Spring与MyBatis进行整合时，作者遇到了“无效绑定语句（未找到）：com.music.dao.MusicDao.findAll”的问题。该问题主要出现在使用XML文件配置DAO层的情况下，而注解方式配置则未出现类似问题。作者详细分析了两个配置文件之间的差异，并最终找到了解决方案。本文将详细介绍问题的原因及解决方法，帮助读者避免类似问题的发生。 ... [详细]

蜡笔小新 2024-11-01 11:37:01
java
使用 MyEclipse 和 TestNG 测试框架在 Java 中高效进行单元测试

通过MyEclipse集成TestNG测试框架，可以在Java开发中高效地进行单元测试。本文介绍了在JDK 1.8.0_121和MyEclipse 10.0离线环境下配置和使用TestNG的具体步骤，帮助开发者提高测试效率和代码质量。 ... [详细]

蜡笔小新 2024-11-01 08:53:27
数组
深入解析 MXOTDLL.dll 在 C# 中的应用与优化策略

本文深入探讨了 MXOTDLL.dll 在 C# 环境中的应用与优化策略。针对近期公司从某生物技术供应商采购的指纹识别设备，该设备提供的 DLL 文件是用 C 语言编写的。为了更好地集成到现有的 C# 系统中，我们对原生的 C 语言 DLL 进行了封装，并利用 C# 的互操作性功能实现了高效调用。此外，文章还详细分析了在实际应用中可能遇到的性能瓶颈，并提出了一系列优化措施，以确保系统的稳定性和高效运行。 ... [详细]

蜡笔小新 2024-10-31 17:21:11
数组
Java理论基础题库精编_必备|Java核心知识点练习题库

本题库精选了Java核心知识点的练习题，旨在帮助学习者巩固和检验对Java理论基础的掌握。其中，选择题部分涵盖了访问控制权限等关键概念，例如，Java语言中仅允许子类或同一包内的类访问的访问权限为protected。此外，题库还包括其他重要知识点，如异常处理、多线程、集合框架等，全面覆盖Java编程的核心内容。 ... [详细]

蜡笔小新 2024-10-31 16:12:02
php
高效排序算法：提升数据处理速度的关键技术

高效排序算法是提升数据处理速度的重要技术。通过优化排序算法，可以显著提高数据处理的效率和性能。本文介绍了几种常见的高效排序算法，如快速排序、归并排序和堆排序，并通过实例代码展示了它们的具体实现。实验结果表明，这些算法在大规模数据集上的表现尤为突出，能够有效减少数据处理时间，提升系统整体性能。 ... [详细]

蜡笔小新 2024-10-29 17:09:31
php
AS3 中的数据深度复制技术详解

在探讨 AS3 中的数据深度复制技术时，本文详细介绍了实现数据深度克隆的有效方法。通过对比多种方案，最终确定了一种高效且可靠的实现方式，所有代码均来源于公开资源，确保了方法的实用性和可操作性。 ... [详细]

蜡笔小新 2024-10-29 15:46:45

mobiledu2502927723

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章