1. 跨站点脚本编制

  风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

  原因:未对用户输入正确执行危险字符清理。

  固定值:查看危险字符注入的可能解决方案。

2. pom.xml添加依赖

<dependency>

	<groupId>org.jsoup</groupId>

	<artifactId>jsoup</artifactId>

	<version>1.11.3</version>

</dependency>

<dependency>

	<groupId>org.springframework.boot</groupId>

	<artifactId>spring-boot-configuration-processor</artifactId>

	<optional>true</optional>

</dependency>

3. 添加Xss包装类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

import lombok.extern.slf4j.Slf4j;

/**

 * Xss包装类

 *

 * @author CL

 *

 */

@Slf4j

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	/**

	 * 构造请求对象

	 *

	 * @param request

	 */

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

	}

	/**

	 * 获取头部参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getHeader(String v) {

		String header = super.getHeader(v);

		if (header == null || "".equals(header)) {

			return header;

		}

		return Jsoup.clean(super.getHeader(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getParameter(String v) {

		String param = super.getParameter(v);

		if (param == null || "".equals(param)) {

			return param;

		}

		return Jsoup.clean(super.getParameter(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数值

	 *

	 * @param v 参数值

	 */

	@Override

	public String[] getParameterValues(String v) {

		String[] values = super.getParameterValues(v);

		if (values == null) {

			return values;

		}

		int length = values.length;

		String[] resultValues = new String[length];

		for (int i = 0; i < length; i++) {

			// 过滤特殊字符

			resultValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

			if (!(resultValues[i]).equals(values[i])) {

				log.debug("XSS过滤器 => 过滤前:{} => 过滤后:{}", values[i], resultValues[i]);

			}

		}

		return resultValues;

	}

}

4. 配置文件添加配置

# 信息安全

security:

  xss:

    enable: true

    excludes:

      - /login

      - /logout

      - /images/*

      - /jquery/*

      - /layui/*

5. 添加Xss过滤器

import java.io.IOException;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 * Xss过滤器

 *

 * @author CL

 *

 */

@Component

@ConfigurationProperties(prefix = "security.xss")

@WebFilter(filterName = "XssFilter", urlPatterns = "/*")

public class XssFilter implements Filter {

	/**

	 * 过滤器配置对象

	 */

	FilterConfig filterConfig = null;

	/**

	 * 是否启用

	 */

	private boolean enable;

	public void setEnable(boolean enable) {

		this.enable = enable;

	}

	/**

	 * 忽略的URL

	 */

	private List<String> excludes;

	public void setExcludes(List<String> excludes) {

		this.excludes = excludes;

	}

	/**

	 * 初始化

	 */

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

		this.filterConfig = filterConfig;

	}

	/**

	 * 拦截

	 */

	@Override

	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)

			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) servletRequest;

		// 不启用或者已忽略的URL不拦截

		if (!enable || isExcludeUrl(request.getServletPath())) {

			filterChain.doFilter(servletRequest, servletResponse);

			return;

		}

		XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);

		filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);

	}

	/**

	 * 销毁

	 */

	@Override

	public void destroy() {

		this.filterConfig = null;

	}

	/**

	 * 判断是否为忽略的URL

	 *

	 * @param urlPath URL路径

	 * @return true-忽略,false-过滤

	 */

	private boolean isExcludeUrl(String url) {

		if (excludes == null || excludes.isEmpty()) {

			return false;

		}

		return excludes.stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(url))

				.anyMatch(Matcher::find);

	}

}

跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)的更多相关文章

  1. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  2. 跨站点请求伪造 - SpringBoot配置CSRF过滤器

    1. 跨站点请求伪造   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:应用程序使用的认证方法不充分. ...

  3. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  4. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  5. 跨站点脚本编制实例(AppScan扫描结果)

    最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...

  6. js解决跨站点脚本编制问题

    1.前台处理(容易绕过): <script type="text/javascript"> $(document).ready(function(){ var url= ...

  7. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

随机推荐

  1. [LeetCode题解]24. 两两交换链表中的节点 | 递归

    方法一:递归 解题思路 递归法,假设后续链表已经完成交换,此时只需要对前两个节点进行交换,然后再连接上后续已交换的链表即可. 代码 /** * Definition for singly-linked ...

  2. RedisEclipse

    1.Eclipse配置 2.HelloWorld import redis.clients.jedis.Jedis; public class TestPing { public static voi ...

  3. abp(net core)+easyui+efcore实现仓储管理系统——出库管理之六(五十五)

    abp(net core)+easyui+efcore实现仓储管理系统目录 abp(net core)+easyui+efcore实现仓储管理系统--ABP总体介绍(一) abp(net core)+ ...

  4. Springboot整合163邮箱部署项目时发送不了邮件的解决方案

    部署到腾讯云服务器时项目报错 Caused by: com.sun.mail.util.MailConnectException: Couldn't connect to host, port: sm ...

  5. [大雾雾雾雾] 告别该死的 EFCore Fluent API (续)

    朋友们好啊, 我是 .NET 打工人 玩双截棍的熊猫 刚才有个朋友问我 猫猫发生什么事了 我说 怎么回事? 给我发了一张截图 我一看!嗷!原来是zuo天有两个数据库, 一个四十多岁,一个三十多岁 它们 ...

  6. 刚安装好的MathType怎么使用

    对于刚接触公式编辑器的新手来说,难免会存在很多疑问:如何使用刚安装好的Word公式编辑器?安装好公式编辑器之后,我们在哪里找到这个工具呢?下面就针对大家的这些疑问,来给大家介绍下首次使用MathTyp ...

  7. 吉他入门:攻克solo第七课(Randy Rhoads风格)

    本期文章,主要和大家分享一下Randy Rhoads的solo句子.相信很多精研电吉他的朋友都会听过这个一手把Ozzy Osbourne从离开黑色安息日乐队的深渊中捞出来的天才吉他手.如果你暂时不了解 ...

  8. Python GUI之Tkiner实战

    前言 Tkinter 是 Python 的标准 GUI 库.Python 使用 Tkinter 可以快速的创建 GUI 应用程序. 由于 Tkinter 是内置到 python 的安装包中.只要安装好 ...

  9. docker中启动容器提示端口被占用

    docker中启动容器提示端口被占用,但是 docker ps -a 查不到信息 1.查询端口被占用的id netstat -ntpl |grep 3306 2.杀掉该id kill -9 如果kil ...

  10. 基于gin的golang web开发:docker

    Golang天生适合运行在docker容器中,这得益于:Golang的静态编译,当在编译的时候关闭cgo的时候,可以完全不依赖系统环境. 一些基础 测试容器时我们经常需要进入容器查看运行情况,以下命令 ...