1.配置相关数据

在配置文件中配置

# 防止XSS攻击

xss:

  # 过滤开关

  enabled: true

  # 排除链接(多个用逗号分隔)

  excludes: /system/notice/*

  # 匹配链接

  urlPatterns: /system/*,/monitor/*,/tool/*

2.编写Filter配置类

import java.util.Map;

import javax.servlet.DispatcherType;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import com.google.common.collect.Maps;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.xss.XssFilter;

/**

 * Filter配置

 *

 * @author xxx

 */

@Configuration

public class FilterConfig

{

    @Value("${xss.enabled}")

    private String enabled;

    @Value("${xss.excludes}")

    private String excludes;

    @Value("${xss.urlPatterns}")

    private String urlPatterns;

    @SuppressWarnings({ "rawtypes", "unchecked" })

    @Bean

    public FilterRegistrationBean xssFilterRegistration()

    {

        FilterRegistrationBean registration = new FilterRegistrationBean();

        //

        registration.setDispatcherTypes(DispatcherType.REQUEST);

        //过滤器类(继承Filter)

        registration.setFilter(new XssFilter());

        //

        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));

        //

        registration.setName("xssFilter");

        //

        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", excludes);

        initParameters.put("enabled", enabled);

        //Filter 初始化参数

        registration.setInitParameters(initParameters);

        return registration;

    }

}

3.编写过滤器

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ruoyi.common.utils.StringUtils;

/**

 * 防止XSS攻击的过滤器

 *

 * @author xxx

 */

public class XssFilter implements Filter

{

    /**

     * 排除链接

     */

    public List<String> excludes = new ArrayList<>();

    /**

     * xss过滤开关

     */

    public boolean enabled = false;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException

    {

        String tempExcludes = filterConfig.getInitParameter("excludes");

        String tempEnabled = filterConfig.getInitParameter("enabled");

        if (StringUtils.isNotEmpty(tempExcludes))

        {

            String[] url = tempExcludes.split(",");

            for (int i = 0; url != null && i < url.length; i++)

            {

                excludes.add(url[i]);

            }

        }

        if (StringUtils.isNotEmpty(tempEnabled))

        {

            enabled = Boolean.valueOf(tempEnabled);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException

    {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp))

        {

            chain.doFilter(request, response);

            return;

        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)

    {

        if (!enabled)

        {

            return true;

        }

        if (excludes == null || excludes.isEmpty())

        {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes)

        {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find())

            {

                return true;

            }

        }

        return false;

    }

    @Override

    public void destroy()

    {

    }

}

3.XssHttpServletRequestWrapper 类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

/**

 * XSS过滤处理

 *

 * @author xxx

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

{

    /**

     * @param request

     */

    public XssHttpServletRequestWrapper(HttpServletRequest request)

    {

        super(request);

    }

    @Override

    public String[] getParameterValues(String name)

    {

        String[] values = super.getParameterValues(name);

        if (values != null)

        {

            int length = values.length;

            String[] escapseValues = new String[length];

            for (int i = 0; i < length; i++)

            {

                // 防xss攻击和过滤前后空格

                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

            }

            return escapseValues;

        }

        return super.getParameterValues(name);

    }

}

到此就完成了!!

防止XSS 攻击集成springboot的更多相关文章

  1. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

  2. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  3. 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)

    XSS 全称Cross Site Scripting 即‘跨站脚本攻击’. 从其中文释义我们能直观的知道,这是一种对网站的攻击方式. 其原理在于,使用一切可能手段,将可执行脚本(scripting)植 ...

  4. XSS攻击处理方案

    1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代码和客户端脚本.攻击者利用XSS漏洞 ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  7. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  8. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  9. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

随机推荐

  1. 短信链接点击跳转到微信小程序

    短信轰炸的时代,之前链接都是跳转到网页的,后来发现粘性不强,再次唤醒用户成本较高,但小程序的订阅功能,再次唤醒成本较低,还便于给用户通知结果.所以现在链接都改跳转到小程序了.废话不多说,现在就看看是如 ...

  2. File类与常用IO流第八章——缓冲流

    第八章.缓冲流 缓冲流概述 缓冲流,也叫高效流,是对4个基本的FileXxx流的增强.按照数据类型分为4类:   输入缓冲流 输出缓冲流 字节缓冲流 BufferedInputStream Buffe ...

  3. oracle 密码详解以及破解

    参考的相关资料等: https://docs.oracle.com/en/database/oracle/oracle-database/18/spmsu/finding-and-resetting- ...

  4. Scanner的基本语法及用法

    一.Scanner对象 基本语法中并没有实现程序和人的交互,但是Java给我们提供了一个这样的工具类,我们可以获取用户的输入.java.util.Scanner是Java5的新特征,我们可以通过Sca ...

  5. tomcat内置jdk(tomcat集成jdk)(windows环境)

    tomcat内置jdk,步骤: 1.在一个已经安装了jdk或者jre的机器上,拷贝一个jre到tomcat根目录下. 2.编辑tomcat/bin文件夹下的catalina.bat文件,在文件开头加上 ...

  6. Android系统编程入门系列之界面Activity响应多元的属性动画

    在响应丝滑动画一篇文章中,分别介绍了作用于普通视图.绘制视图的绘制对象.和界面这三种对象的动画效果,但是都有一些使用的局限性.比如这些动画都只是以屏幕上绘制更新的方式绘制动画,并没有真实改变作用对象的 ...

  7. 如何在windows 11中安装WSLG(WSL2)

    什么是 WSL WSL(Windows Subsystem for Linux):Windows 系统中的一个子系统,在这个子系统上可以运行 Linux 操作系统. 可以让开发人员直接在 Window ...

  8. springboot未授权

    http://ip/actuator/heapdump http://ip/env http://ip/autoconfig http://ip/info http://ip/trace

  9. H5页面自动烟花特效

    代码如下: 1 <!DOCTYPE html> 2 <html> 3 <head> 4 <meta charset="utf-8"> ...

  10. JavaEE精英进阶课学习笔记《博学谷》

    JavaEE精英进阶课学习笔记<博学谷> 第1章 亿可控系统分析与设计 学习目标 了解物联网应用领域及发展现状 能够说出亿可控的核心功能 能够画出亿可控的系统架构图 能够完成亿可控环境的准 ...