1. 跨站点脚本编制

  风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

  原因:未对用户输入正确执行危险字符清理。

  固定值:查看危险字符注入的可能解决方案。

2. pom.xml添加依赖

<dependency>

	<groupId>org.jsoup</groupId>

	<artifactId>jsoup</artifactId>

	<version>1.11.3</version>

</dependency>

<dependency>

	<groupId>org.springframework.boot</groupId>

	<artifactId>spring-boot-configuration-processor</artifactId>

	<optional>true</optional>

</dependency>

3. 添加Xss包装类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

import lombok.extern.slf4j.Slf4j;

/**

 * Xss包装类

 *

 * @author CL

 *

 */

@Slf4j

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	/**

	 * 构造请求对象

	 *

	 * @param request

	 */

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

	}

	/**

	 * 获取头部参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getHeader(String v) {

		String header = super.getHeader(v);

		if (header == null || "".equals(header)) {

			return header;

		}

		return Jsoup.clean(super.getHeader(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getParameter(String v) {

		String param = super.getParameter(v);

		if (param == null || "".equals(param)) {

			return param;

		}

		return Jsoup.clean(super.getParameter(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数值

	 *

	 * @param v 参数值

	 */

	@Override

	public String[] getParameterValues(String v) {

		String[] values = super.getParameterValues(v);

		if (values == null) {

			return values;

		}

		int length = values.length;

		String[] resultValues = new String[length];

		for (int i = 0; i < length; i++) {

			// 过滤特殊字符

			resultValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

			if (!(resultValues[i]).equals(values[i])) {

				log.debug("XSS过滤器 => 过滤前:{} => 过滤后:{}", values[i], resultValues[i]);

			}

		}

		return resultValues;

	}

}

4. 配置文件添加配置

# 信息安全

security:

  xss:

    enable: true

    excludes:

      - /login

      - /logout

      - /images/*

      - /jquery/*

      - /layui/*

5. 添加Xss过滤器

import java.io.IOException;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 * Xss过滤器

 *

 * @author CL

 *

 */

@Component

@ConfigurationProperties(prefix = "security.xss")

@WebFilter(filterName = "XssFilter", urlPatterns = "/*")

public class XssFilter implements Filter {

	/**

	 * 过滤器配置对象

	 */

	FilterConfig filterConfig = null;

	/**

	 * 是否启用

	 */

	private boolean enable;

	public void setEnable(boolean enable) {

		this.enable = enable;

	}

	/**

	 * 忽略的URL

	 */

	private List<String> excludes;

	public void setExcludes(List<String> excludes) {

		this.excludes = excludes;

	}

	/**

	 * 初始化

	 */

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

		this.filterConfig = filterConfig;

	}

	/**

	 * 拦截

	 */

	@Override

	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)

			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) servletRequest;

		// 不启用或者已忽略的URL不拦截

		if (!enable || isExcludeUrl(request.getServletPath())) {

			filterChain.doFilter(servletRequest, servletResponse);

			return;

		}

		XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);

		filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);

	}

	/**

	 * 销毁

	 */

	@Override

	public void destroy() {

		this.filterConfig = null;

	}

	/**

	 * 判断是否为忽略的URL

	 *

	 * @param urlPath URL路径

	 * @return true-忽略,false-过滤

	 */

	private boolean isExcludeUrl(String url) {

		if (excludes == null || excludes.isEmpty()) {

			return false;

		}

		return excludes.stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(url))

				.anyMatch(Matcher::find);

	}

}

跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)的更多相关文章

  1. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  2. 跨站点请求伪造 - SpringBoot配置CSRF过滤器

    1. 跨站点请求伪造   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:应用程序使用的认证方法不充分. ...

  3. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  4. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  5. 跨站点脚本编制实例(AppScan扫描结果)

    最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...

  6. js解决跨站点脚本编制问题

    1.前台处理(容易绕过): <script type="text/javascript"> $(document).ready(function(){ var url= ...

  7. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

随机推荐

  1. Angular 富文本编辑之路的探索

    作者:杨振兴Worktile 前端工程师,PingCode Wiki 产品技术负责人 PingCode Wiki 提供结构化知识库来记载信息和知识,便于团队沉淀经验.共享资源,欢迎大家注册试用 本文主 ...

  2. css3系列之详解border-image

     border-image border-image呢,是给 边框加上背景图片的.没错,就是平常那一小小条的边框,也能加图片. 参数: border-image-source border-image ...

  3. 人人都能学会系列之ThreadLocal

    1.概览 本文我们来看下java.lang包中的ThreadLocal,它赋予我们给每个线程存储自己数据的能力. 2.ThreadLocal API ThreadLocal允许我们存储的数据只能被特定 ...

  4. Java Bean拷贝工具Orika原理解析

    最近面试被问及对象拷贝怎样才能高效,实际上问的就是Orika或者BeanCopier的原理.由于网上对Orika原理的解析并不太多-因此本文重点讲解一下Orika的原理.(Orika是基于JavaBe ...

  5. docker中启动容器提示端口被占用

    docker中启动容器提示端口被占用,但是 docker ps -a 查不到信息 1.查询端口被占用的id netstat -ntpl |grep 3306 2.杀掉该id kill -9 如果kil ...

  6. JavaSE 学习笔记06丨并发

    Chapter 12. 并发 12.1 并发与并行 并发:指两个或多个事件在同一个时间段内发生. 并行:指两个或多个事件在同一时刻发生(同时发生). 在操作系统中,并发指的是在一段时间内宏观上有多个程 ...

  7. C语言讲义——链表的实现

    节点(结构体描述) struct Node { int _id; char s[50]; struct Node* pre;// 指向前一个节点的地址 struct Node* next;// 指向下 ...

  8. C语言讲义——注释

    注释 什么是注释?  --注释写在代码中的文字,不参与代码编译,不影响运行结果. 为什么要注释?--让代码可读性更强. C语言有两种注释: 单行注释 // 多行注释 /* */ 多行注释可以只有一行, ...

  9. IPv6 Rapid Deployment, IPv6 6rd初探

    IPv6 Rapid Deployment: Provide IPv6 Access to Customers over an IPv4-Only Network 原文地址:https://www.c ...

  10. 第一次个人作业 - 软件工程与UML

    这个作业属于哪个课程 https://edu.cnblogs.com/campus/fzzcxy/2018SE1/ 这个作业要求在哪里 https://edu.cnblogs.com/campus/f ...