1. 跨站点脚本编制

  风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

  原因:未对用户输入正确执行危险字符清理。

  固定值:查看危险字符注入的可能解决方案。

2. pom.xml添加依赖

<dependency>

	<groupId>org.jsoup</groupId>

	<artifactId>jsoup</artifactId>

	<version>1.11.3</version>

</dependency>

<dependency>

	<groupId>org.springframework.boot</groupId>

	<artifactId>spring-boot-configuration-processor</artifactId>

	<optional>true</optional>

</dependency>

3. 添加Xss包装类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

import lombok.extern.slf4j.Slf4j;

/**

 * Xss包装类

 *

 * @author CL

 *

 */

@Slf4j

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	/**

	 * 构造请求对象

	 *

	 * @param request

	 */

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

	}

	/**

	 * 获取头部参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getHeader(String v) {

		String header = super.getHeader(v);

		if (header == null || "".equals(header)) {

			return header;

		}

		return Jsoup.clean(super.getHeader(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getParameter(String v) {

		String param = super.getParameter(v);

		if (param == null || "".equals(param)) {

			return param;

		}

		return Jsoup.clean(super.getParameter(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数值

	 *

	 * @param v 参数值

	 */

	@Override

	public String[] getParameterValues(String v) {

		String[] values = super.getParameterValues(v);

		if (values == null) {

			return values;

		}

		int length = values.length;

		String[] resultValues = new String[length];

		for (int i = 0; i < length; i++) {

			// 过滤特殊字符

			resultValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

			if (!(resultValues[i]).equals(values[i])) {

				log.debug("XSS过滤器 => 过滤前:{} => 过滤后:{}", values[i], resultValues[i]);

			}

		}

		return resultValues;

	}

}

4. 配置文件添加配置

# 信息安全

security:

  xss:

    enable: true

    excludes:

      - /login

      - /logout

      - /images/*

      - /jquery/*

      - /layui/*

5. 添加Xss过滤器

import java.io.IOException;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 * Xss过滤器

 *

 * @author CL

 *

 */

@Component

@ConfigurationProperties(prefix = "security.xss")

@WebFilter(filterName = "XssFilter", urlPatterns = "/*")

public class XssFilter implements Filter {

	/**

	 * 过滤器配置对象

	 */

	FilterConfig filterConfig = null;

	/**

	 * 是否启用

	 */

	private boolean enable;

	public void setEnable(boolean enable) {

		this.enable = enable;

	}

	/**

	 * 忽略的URL

	 */

	private List<String> excludes;

	public void setExcludes(List<String> excludes) {

		this.excludes = excludes;

	}

	/**

	 * 初始化

	 */

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

		this.filterConfig = filterConfig;

	}

	/**

	 * 拦截

	 */

	@Override

	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)

			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) servletRequest;

		// 不启用或者已忽略的URL不拦截

		if (!enable || isExcludeUrl(request.getServletPath())) {

			filterChain.doFilter(servletRequest, servletResponse);

			return;

		}

		XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);

		filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);

	}

	/**

	 * 销毁

	 */

	@Override

	public void destroy() {

		this.filterConfig = null;

	}

	/**

	 * 判断是否为忽略的URL

	 *

	 * @param urlPath URL路径

	 * @return true-忽略,false-过滤

	 */

	private boolean isExcludeUrl(String url) {

		if (excludes == null || excludes.isEmpty()) {

			return false;

		}

		return excludes.stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(url))

				.anyMatch(Matcher::find);

	}

}

跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)的更多相关文章

  1. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  2. 跨站点请求伪造 - SpringBoot配置CSRF过滤器

    1. 跨站点请求伪造   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:应用程序使用的认证方法不充分. ...

  3. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  4. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  5. 跨站点脚本编制实例(AppScan扫描结果)

    最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...

  6. js解决跨站点脚本编制问题

    1.前台处理(容易绕过): <script type="text/javascript"> $(document).ready(function(){ var url= ...

  7. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

随机推荐

  1. 渗透测试神器Cobalt Strike使用教程

    Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器.Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队 ...

  2. DNS域传输漏洞复现

    漏洞原理 DNS分类 常见的DNS记录类型 A IP地址记录,记录一个域名对应的IP地址 AAAA IPv6 地址记录,记录一个域名对应的IPv6地址 CNAME 别名记录,记录一个主机的别名 MX ...

  3. [原题复现+审计][BUUCTF 2018]WEB Online Tool(escapeshellarg和escapeshellcmd使用不当导致rce)

    简介  原题复现:https://github.com/glzjin/buuctf_2018_online_tool (环境php5.6.40)  考察知识点:escapeshellarg和escap ...

  4. python-网络安全编程第一天(requests模块)

    前言 感觉现在做好多CTF题都需要python去写工具,正好期末考试放假利用空余时间来学学. requests简介 Requests是用python语言基于urllib编写的,采用的是Apache2 ...

  5. SpringBoot使用策略模式+工厂模式

    为了防止大量的if...else...或switch case代码的出现,可以使用策略模式+工厂模式进行优化. 在我的项目当中,报表繁多,所以尝试了这种方式进行优化报表的架构.代码很简单,如下: Fa ...

  6. jQuery 第七章 实例方法 位置图形

    位置坐标图形大小相关方法: .offset() .position() .scrollTop() .scrollLeft() .width() .height() .innerWidth() inne ...

  7. 经典算法—BF算法(字符串匹配)

    前言 字符串的匹配算法也是很经典的一个算法,在面试的时候常常会遇到,而BF算法是字符串模式匹配中的一个简单的算法 1,什么是BF算法 BF算法,即暴力(Brute Force)算法,是普通的模式匹配算 ...

  8. 将 python3 添加到环境变量(ubuntu)

    将 python3 添加到环境变量 echo alias python = python3 >> ~/.bashrc 更新环境变量 source ~/.bashrc

  9. Nebula Flink Connector 的原理和实践

    摘要:本文所介绍 Nebula Graph 连接器 Nebula Flink Connector,采用类似 Flink 提供的 Flink Connector 形式,支持 Flink 读写分布式图数据 ...

  10. 这可能是最为详细的Docker入门总结

    写在前面 毕设是关于区块链的,自然就用到了docker,感觉到了docker的强大.学习源于总结,所以找了一些资料,这篇文章原作写的不错,看了好多遍哈哈. 这可能是最为详细的Docker入门总结 市面 ...