主要有三种请求方式,进行过滤替换非法符号

1.普通的GET请求数据:

2.FORM表单提交数据:

3.Json格式数据提交:

把下面5个文件放入项目中即可

 package com.joppay.admin.security.xss;

 import org.springframework.util.StringUtils;

 import org.springframework.web.util.HtmlUtils;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 /**

  * XSS转义

  *

  * @author leroy

  * @date 2019/3/6 18:08

  */

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     /**

      * Constructs a request object wrapping the given request.

      *

      * @param request The request to wrap

      * @throws IllegalArgumentException if the request is null

      */

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

     }

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(name);

         if (!StringUtils.isEmpty(value)) {

             value = HtmlUtils.htmlEscape(value);

         }

         return value;

     }

     @Override

     public String[] getParameterValues(String name) {

         String[] parameterValues = super.getParameterValues(name);

         if (parameterValues == null) {

             return null;

         }

         for (int i = 0; i < parameterValues.length; i++) {

             String value = parameterValues[i];

             parameterValues[i] = HtmlUtils.htmlEscape(value);

         }

         return parameterValues;

     }

 }
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.databind.JavaType;

import com.fasterxml.jackson.databind.ObjectMapper;

import org.springframework.http.HttpInputMessage;

import org.springframework.http.converter.HttpMessageNotReadableException;

import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;

import java.io.IOException;

import java.lang.reflect.Type;

public class XSSMappingJackson2HttpMessageConverter extends

        MappingJackson2HttpMessageConverter {

    private ObjectMapper mapper = new ObjectMapper();

    public XSSMappingJackson2HttpMessageConverter() {

        super();

        mapper.getFactory().setCharacterEscapes(new HTMLCharacterEscapes());

    }

    @Override

    public Object read(Type type, Class<?> contextClass,

                       HttpInputMessage inputMessage) throws IOException,

            HttpMessageNotReadableException {

        JavaType javaType = getJavaType(type, contextClass);

        // 下面的程式碼 將 @RequestBody 中的資料 做 XSS過濾

        try {

            // json字串转实体

            Object object = mapper.readValue(inputMessage.getBody(), javaType);

            // 实体转字串

            String jsonString = mapper.writeValueAsString(object);

            // json字串转实体

            object = mapper.readValue(jsonString, javaType);

            return object;

        } catch (IOException ex) {

            throw new HttpMessageNotReadableException("Could not read JSON: " + ex.getMessage(), ex);

        }

    }

}
 package com.joppay.admin.security.xss;

 import com.fasterxml.jackson.core.JsonGenerator;

 import com.fasterxml.jackson.databind.JsonSerializer;

 import com.fasterxml.jackson.databind.SerializerProvider;

 import org.springframework.web.util.HtmlUtils;

 import java.io.IOException;

 /**

  * json XSS过滤(Form表单对象)

  * @author leroy

  * @date 2019/3/6 18:15

  */

 public class XssStringJsonSerializer extends JsonSerializer<String> {

     @Override

     public Class<String> handledType() {

         return String.class;

     }

     @Override

     public void serialize(String value, JsonGenerator jsonGenerator,

                           SerializerProvider serializerProvider) throws IOException {

         if (value != null) {

             String encodedValue = HtmlUtils.htmlEscape(value);

             jsonGenerator.writeString(encodedValue);

         }

     }

 }
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.core.SerializableString;

import com.fasterxml.jackson.core.io.CharacterEscapes;

import com.fasterxml.jackson.core.io.SerializedString;

import org.apache.commons.lang3.StringEscapeUtils;

public class HTMLCharacterEscapes  extends CharacterEscapes {

    private final int[] asciiEscapes;

    public HTMLCharacterEscapes() {

        // start with set of characters known to require escaping (double-quote, backslash etc)

        asciiEscapes = CharacterEscapes.standardAsciiEscapesForJSON();

        // and force escaping of a few others:

        asciiEscapes['<'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['>'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['&'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['"'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['\''] = CharacterEscapes.ESCAPE_CUSTOM;

    }

    @Override

    public int[] getEscapeCodesForAscii() {

        return asciiEscapes;

    }

    // and this for others; we don't need anything special here

    @Override

    public SerializableString getEscapeSequence(int ch) {

        return new SerializedString(StringEscapeUtils.escapeHtml4(Character.toString((char) ch)));

    }

}
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.fasterxml.jackson.databind.module.SimpleModule;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Primary;

import org.springframework.core.annotation.Order;

import org.springframework.http.MediaType;

import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;

import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;

import org.springframework.stereotype.Component;

import javax.servlet.*;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

/**

 * XSS过滤

 *

 * @author leroy

 * @date 2019/3/6 18:13

 */

@WebFilter

@Component

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        XssHttpServletRequestWrapper xssRequestWrapper = new XssHttpServletRequestWrapper(req);

        chain.doFilter(xssRequestWrapper, response);

    }

    @Override

    public void destroy() {

        this.filterConfig = null;

    }

    @Bean

    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {

        return new XSSMappingJackson2HttpMessageConverter();

    }

    @Bean

    public XssStringJsonSerializer xssStringJsonSerializer(){

        return new XssStringJsonSerializer();

    }

}

防止XSS攻击的方式的更多相关文章

  1. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. 绕过用编码方式阻止XSS攻击的几个例子

    阻止攻击的常用方法是:在将HTML返回给Web浏览器之前,对攻击者输入的HTML进行编码.HTML编码使用一些没有特定HTML意义的字符来代替那些标记字符(如尖括号).这些替代字符不会影响文本在web ...

  4. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  5. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  6. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

  7. XSS攻击的解决方法

    在我上一篇<前端安全之XSS攻击>文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今 ...

  8. 前端安全之XSS攻击

    XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”.有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射 ...

  9. 利用Android的UXSS漏洞完成一次XSS攻击

    黑客攻击的方式思路是先搜集信息,定位漏洞,然后针对不同的漏洞采用不同的方式来黑掉你.下面用metasploit模拟一次跨站脚本攻击(黑掉自己的手机). 1.搜集信息 msf > search a ...

随机推荐

  1. quartz任务调度配置 解决jobDetail身份标识存在问题

    applicationContext.xml配置:每五秒轮询一次.注意:周和日期不能同时为通配符”*“ <bean id="planInfoServiceImpl" clas ...

  2. Quartz.net 基于配置的调度程序实践

    1.Nuget 搜索并安装Quartz.net 2.3.3  2.添加配置到App.config <?xml version="1.0" encoding="utf ...

  3. 微信公众号获取用户openId How to use cURL to get jSON data and decode the data?

    w http://stackoverflow.com/questions/16700960/how-to-use-curl-to-get-json-data-and-decode-the-data

  4. postfix邮箱服务器修改附件大小限制遇到的问题与解决

    Q1:邮件大小限制为30M,发送的附件大小为25M,发送后提示邮件大小超过限制 A:邮箱客户端在发送邮件时会把附件进行base64转码,转码之后邮件大小会超过附件+正文的大小,所以10M的附件在经过转 ...

  5. React中ref的用法

    在React数据流中,父子组件唯一的通信方式是通过props属性:那么如果有些场景需要获取某一个真实的DOM元素来交互,这时候就要用到React的refs属性. 1.可以给DOM元素添加ref属性 c ...

  6. 剑指Offer——表示数值的字符串

    题目描述: 请实现一个函数用来判断字符串是否表示数值(包括整数和小数).例如,字符串"+100","5e2","-123","3. ...

  7. MobileNet

    MobileNet (Efficient Convolutional Neural Networks for Mobile Vision Applications)--Google CVPR-2017 ...

  8. 转载--菜鸟Linux上使用Github

    1.安装Git:Ctrl + Alt + T使用终端:使用命令 sudo apt-get install git 2.创建GitHub帐号:登陆git主页: https://github.com/,自 ...

  9. 使用Custom Draw优雅的实现ListCtrl的重绘

    common control 4.7版本介绍了一个新的特性叫做Custom Draw,这个名字显得模糊不清,让人有点摸不着头脑,而且MSDN里也只给出了一些如风的解释和例子,没有谁告诉你你想知道的,和 ...

  10. Unity3D优化技巧系列七

    笔者介绍:姜雪伟,IT公司技术合伙人.IT高级讲师,CSDN社区专家,特邀编辑.畅销书作者,国家专利发明人;已出版书籍:<手把手教你架构3D游戏引擎>电子工业出版社和<Unity3D ...