1.配置相关数据

在配置文件中配置

# 防止XSS攻击

xss:

  # 过滤开关

  enabled: true

  # 排除链接(多个用逗号分隔)

  excludes: /system/notice/*

  # 匹配链接

  urlPatterns: /system/*,/monitor/*,/tool/*

2.编写Filter配置类

import java.util.Map;

import javax.servlet.DispatcherType;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import com.google.common.collect.Maps;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.xss.XssFilter;

/**

 * Filter配置

 *

 * @author xxx

 */

@Configuration

public class FilterConfig

{

    @Value("${xss.enabled}")

    private String enabled;

    @Value("${xss.excludes}")

    private String excludes;

    @Value("${xss.urlPatterns}")

    private String urlPatterns;

    @SuppressWarnings({ "rawtypes", "unchecked" })

    @Bean

    public FilterRegistrationBean xssFilterRegistration()

    {

        FilterRegistrationBean registration = new FilterRegistrationBean();

        //

        registration.setDispatcherTypes(DispatcherType.REQUEST);

        //过滤器类(继承Filter)

        registration.setFilter(new XssFilter());

        //

        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));

        //

        registration.setName("xssFilter");

        //

        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", excludes);

        initParameters.put("enabled", enabled);

        //Filter 初始化参数

        registration.setInitParameters(initParameters);

        return registration;

    }

}

3.编写过滤器

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ruoyi.common.utils.StringUtils;

/**

 * 防止XSS攻击的过滤器

 *

 * @author xxx

 */

public class XssFilter implements Filter

{

    /**

     * 排除链接

     */

    public List<String> excludes = new ArrayList<>();

    /**

     * xss过滤开关

     */

    public boolean enabled = false;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException

    {

        String tempExcludes = filterConfig.getInitParameter("excludes");

        String tempEnabled = filterConfig.getInitParameter("enabled");

        if (StringUtils.isNotEmpty(tempExcludes))

        {

            String[] url = tempExcludes.split(",");

            for (int i = 0; url != null && i < url.length; i++)

            {

                excludes.add(url[i]);

            }

        }

        if (StringUtils.isNotEmpty(tempEnabled))

        {

            enabled = Boolean.valueOf(tempEnabled);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException

    {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp))

        {

            chain.doFilter(request, response);

            return;

        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)

    {

        if (!enabled)

        {

            return true;

        }

        if (excludes == null || excludes.isEmpty())

        {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes)

        {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find())

            {

                return true;

            }

        }

        return false;

    }

    @Override

    public void destroy()

    {

    }

}

3.XssHttpServletRequestWrapper 类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

/**

 * XSS过滤处理

 *

 * @author xxx

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

{

    /**

     * @param request

     */

    public XssHttpServletRequestWrapper(HttpServletRequest request)

    {

        super(request);

    }

    @Override

    public String[] getParameterValues(String name)

    {

        String[] values = super.getParameterValues(name);

        if (values != null)

        {

            int length = values.length;

            String[] escapseValues = new String[length];

            for (int i = 0; i < length; i++)

            {

                // 防xss攻击和过滤前后空格

                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

            }

            return escapseValues;

        }

        return super.getParameterValues(name);

    }

}

到此就完成了!!

防止XSS 攻击集成springboot的更多相关文章

  1. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

  2. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  3. 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)

    XSS 全称Cross Site Scripting 即‘跨站脚本攻击’. 从其中文释义我们能直观的知道,这是一种对网站的攻击方式. 其原理在于,使用一切可能手段,将可执行脚本(scripting)植 ...

  4. XSS攻击处理方案

    1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代码和客户端脚本.攻击者利用XSS漏洞 ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  7. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  8. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  9. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

随机推荐

  1. DIV+css排版问题技巧总结---v客学院技术分享

                DIV+css排版问题技巧总结 一.排版思路 1.从上到下,从左到右,从大到小. 2.首先确定排版分区,排除色块分布,然后再从简单的部分开始. 3.在某一块内将HTML部分写好 ...

  2. Java 批量删除Word中的空白段落

    1. 测试文档.期望达到的目标文档效果 用于测试的Word文档如下所示,包含的空白段落影响文章整体布局及美观性: 目标文档效果: 2. 辅助工具 2.1 使用类库:Free Spire.Doc for ...

  3. 【游记】OI 2020-2021(在更)

    [CSP-S2020初赛] [CSP-S2020] [NOIp 2020] [NOI冬令营 2021] [省选 2021] [NOI 2021]

  4. tomcat的单例多线程代码示例(十)

    一.懒汉式单例多线程模式 1.创建模拟的servlet生成器 package cn.bjsxt.sing; import java.util.UUID; public class LszySingle ...

  5. 关于java.lang.IllegalMonitorStateException异常说明(四)

    1.异常原因及解释 首先你要了解这个异常为什么会抛出,这个异常会在三种情况下抛出:1>当前线程不含有当前对象的锁资源的时候,调用obj.wait()方法;2>当前线程不含有当前对象的锁资源 ...

  6. 第三篇 -- SpringBoot打包成jar包

    本篇介绍怎么将SprintBoot项目打包成jar包. 第一步:点击IDEA右侧的maven. 第二步:双击package,然后就会开始打包,当出现build success时,就打包成功了,一般在t ...

  7. 深入刨析tomcat 之---第23篇 聊一下web容器的filter配置和defaultservet

    writedby 张艳涛,在一个webapp应用程序内如何配置filter? <?xml version="1.0" encoding="ISO-8859-1&qu ...

  8. jboss未授权访问

    测试 poc地址 https://github.com/joaomatosf/jexboss

  9. 配置 Nvidia GPU 主机的运行环境

    在 Linux 主机上配置了很多次 Cuda/CuDNN 的运行环境,在此记录下用到的脚本命令以复用. 特别提醒,先了解清楚 GPU 卡的型号,查清与主机 Linux 内核兼容的驱动程序.Cuda 和 ...

  10. 服务网格Istio入门-详细记录Kubernetes安装Istio并使用

    我最新最全的文章都在南瓜慢说 www.pkslow.com,文章更新也只在官网,欢迎大家来喝茶~~ 1 服务网格Istio Istio是开源的Service Mesh实现,一般用于Kubernetes ...