1.配置相关数据

在配置文件中配置

# 防止XSS攻击

xss:

  # 过滤开关

  enabled: true

  # 排除链接(多个用逗号分隔)

  excludes: /system/notice/*

  # 匹配链接

  urlPatterns: /system/*,/monitor/*,/tool/*

2.编写Filter配置类

import java.util.Map;

import javax.servlet.DispatcherType;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import com.google.common.collect.Maps;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.xss.XssFilter;

/**

 * Filter配置

 *

 * @author xxx

 */

@Configuration

public class FilterConfig

{

    @Value("${xss.enabled}")

    private String enabled;

    @Value("${xss.excludes}")

    private String excludes;

    @Value("${xss.urlPatterns}")

    private String urlPatterns;

    @SuppressWarnings({ "rawtypes", "unchecked" })

    @Bean

    public FilterRegistrationBean xssFilterRegistration()

    {

        FilterRegistrationBean registration = new FilterRegistrationBean();

        //

        registration.setDispatcherTypes(DispatcherType.REQUEST);

        //过滤器类(继承Filter)

        registration.setFilter(new XssFilter());

        //

        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));

        //

        registration.setName("xssFilter");

        //

        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", excludes);

        initParameters.put("enabled", enabled);

        //Filter 初始化参数

        registration.setInitParameters(initParameters);

        return registration;

    }

}

3.编写过滤器

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ruoyi.common.utils.StringUtils;

/**

 * 防止XSS攻击的过滤器

 *

 * @author xxx

 */

public class XssFilter implements Filter

{

    /**

     * 排除链接

     */

    public List<String> excludes = new ArrayList<>();

    /**

     * xss过滤开关

     */

    public boolean enabled = false;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException

    {

        String tempExcludes = filterConfig.getInitParameter("excludes");

        String tempEnabled = filterConfig.getInitParameter("enabled");

        if (StringUtils.isNotEmpty(tempExcludes))

        {

            String[] url = tempExcludes.split(",");

            for (int i = 0; url != null && i < url.length; i++)

            {

                excludes.add(url[i]);

            }

        }

        if (StringUtils.isNotEmpty(tempEnabled))

        {

            enabled = Boolean.valueOf(tempEnabled);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException

    {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp))

        {

            chain.doFilter(request, response);

            return;

        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)

    {

        if (!enabled)

        {

            return true;

        }

        if (excludes == null || excludes.isEmpty())

        {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes)

        {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find())

            {

                return true;

            }

        }

        return false;

    }

    @Override

    public void destroy()

    {

    }

}

3.XssHttpServletRequestWrapper 类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

/**

 * XSS过滤处理

 *

 * @author xxx

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

{

    /**

     * @param request

     */

    public XssHttpServletRequestWrapper(HttpServletRequest request)

    {

        super(request);

    }

    @Override

    public String[] getParameterValues(String name)

    {

        String[] values = super.getParameterValues(name);

        if (values != null)

        {

            int length = values.length;

            String[] escapseValues = new String[length];

            for (int i = 0; i < length; i++)

            {

                // 防xss攻击和过滤前后空格

                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

            }

            return escapseValues;

        }

        return super.getParameterValues(name);

    }

}

到此就完成了!!

防止XSS 攻击集成springboot的更多相关文章

  1. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

  2. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  3. 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)

    XSS 全称Cross Site Scripting 即‘跨站脚本攻击’. 从其中文释义我们能直观的知道,这是一种对网站的攻击方式. 其原理在于,使用一切可能手段,将可执行脚本(scripting)植 ...

  4. XSS攻击处理方案

    1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代码和客户端脚本.攻击者利用XSS漏洞 ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  7. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  8. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  9. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

随机推荐

  1. Function.identity()

    Java 8允许在接口中加入具体方法.接口中的具体方法有两种,default方法和static方法,identity()就是Function接口的一个静态方法.Function.identity()返 ...

  2. Map集合笔记

    一.Map集合的特点 Map集合是一个双列集合 Map中的元素,key和value的数据类型可以相同,也可以不同. Map中的元素,key是允许重复的,value是可以重复的 Map中的元素,key和 ...

  3. synchronized锁机制(六)

    前言 1.理解同步关键词synchronized 2.同步方法与同步代码块的区别 3.理解锁的对象this 脏读 一个常见的概念.在多线程中,难免会出现在多个线程中对同一个对象的实例变量进行并发访问的 ...

  4. tomcat日志详解

    1 tomcat 日志详解 1.1 tomcat 日志配置文件 tomcat 对应日志的配置文件:tomcat目录下的/conf/logging.properties. tomcat 的日志等级有:日 ...

  5. 2021最新Java基础知总结,助力大厂offer

    本文是我花了三周时间整理出来的,希望对Java初学者有帮助~ Java概述 Java的特点 Java是一门面向对象的编程语言.面向对象和面向过程是一种软件开发思想. 面向过程就是分析出解决问题所需要的 ...

  6. SAS 常用字符串函数

    原文链接:https://www.cnblogs.com/snoopy1866/p/15085466.html CAT(item-1 <, -, item-n>) : 在保留首尾空格的情况 ...

  7. Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)

    影响版本 - Apache Ofbiz:< 17.12.04 访问 https://192.168.49.2:8443/webtools/control/xmlrpc 抓包 进行数据包修改 pa ...

  8. Docker 网络解读

    Docker 容器在运行时,会涉及多个容器相互连接,甚至与宿主机上的应用连接的问题.既然需要产生连接,那么就必然要依赖网络. 网络在Docker的技术体系中,是一个不容易搞清楚的要点.因此,希望您读完 ...

  9. Vue学习笔记(一)简单使用和插值操作

    目录 一.Vue是什么 二.Vue简单体验 1. 声明式渲染 2. vue列表展示 3. 处理用户输入(事件监听) 三.插值操作 1. Mustache语法 2. 常用v-指令 v-once v-ht ...

  10. 桌面小部件AppWidgetProvider简单分析

    1.一般桌面小部件涉及到的类 AppWidgetProvider :BroadcastRecevier子类,用于接收更新,删除通知 AppWidgetProvderInfo:AppWidget相关信息 ...