1.配置相关数据

在配置文件中配置

# 防止XSS攻击

xss:

  # 过滤开关

  enabled: true

  # 排除链接(多个用逗号分隔)

  excludes: /system/notice/*

  # 匹配链接

  urlPatterns: /system/*,/monitor/*,/tool/*

2.编写Filter配置类

import java.util.Map;

import javax.servlet.DispatcherType;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import com.google.common.collect.Maps;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.xss.XssFilter;

/**

 * Filter配置

 *

 * @author xxx

 */

@Configuration

public class FilterConfig

{

    @Value("${xss.enabled}")

    private String enabled;

    @Value("${xss.excludes}")

    private String excludes;

    @Value("${xss.urlPatterns}")

    private String urlPatterns;

    @SuppressWarnings({ "rawtypes", "unchecked" })

    @Bean

    public FilterRegistrationBean xssFilterRegistration()

    {

        FilterRegistrationBean registration = new FilterRegistrationBean();

        //

        registration.setDispatcherTypes(DispatcherType.REQUEST);

        //过滤器类(继承Filter)

        registration.setFilter(new XssFilter());

        //

        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));

        //

        registration.setName("xssFilter");

        //

        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", excludes);

        initParameters.put("enabled", enabled);

        //Filter 初始化参数

        registration.setInitParameters(initParameters);

        return registration;

    }

}

3.编写过滤器

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ruoyi.common.utils.StringUtils;

/**

 * 防止XSS攻击的过滤器

 *

 * @author xxx

 */

public class XssFilter implements Filter

{

    /**

     * 排除链接

     */

    public List<String> excludes = new ArrayList<>();

    /**

     * xss过滤开关

     */

    public boolean enabled = false;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException

    {

        String tempExcludes = filterConfig.getInitParameter("excludes");

        String tempEnabled = filterConfig.getInitParameter("enabled");

        if (StringUtils.isNotEmpty(tempExcludes))

        {

            String[] url = tempExcludes.split(",");

            for (int i = 0; url != null && i < url.length; i++)

            {

                excludes.add(url[i]);

            }

        }

        if (StringUtils.isNotEmpty(tempEnabled))

        {

            enabled = Boolean.valueOf(tempEnabled);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException

    {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp))

        {

            chain.doFilter(request, response);

            return;

        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)

    {

        if (!enabled)

        {

            return true;

        }

        if (excludes == null || excludes.isEmpty())

        {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes)

        {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find())

            {

                return true;

            }

        }

        return false;

    }

    @Override

    public void destroy()

    {

    }

}

3.XssHttpServletRequestWrapper 类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

/**

 * XSS过滤处理

 *

 * @author xxx

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

{

    /**

     * @param request

     */

    public XssHttpServletRequestWrapper(HttpServletRequest request)

    {

        super(request);

    }

    @Override

    public String[] getParameterValues(String name)

    {

        String[] values = super.getParameterValues(name);

        if (values != null)

        {

            int length = values.length;

            String[] escapseValues = new String[length];

            for (int i = 0; i < length; i++)

            {

                // 防xss攻击和过滤前后空格

                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

            }

            return escapseValues;

        }

        return super.getParameterValues(name);

    }

}

到此就完成了!!

防止XSS 攻击集成springboot的更多相关文章

  1. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

  2. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  3. 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)

    XSS 全称Cross Site Scripting 即‘跨站脚本攻击’. 从其中文释义我们能直观的知道,这是一种对网站的攻击方式. 其原理在于,使用一切可能手段,将可执行脚本(scripting)植 ...

  4. XSS攻击处理方案

    1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代码和客户端脚本.攻击者利用XSS漏洞 ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  7. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  8. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  9. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

随机推荐

  1. [刘阳Java]_JdbcTemplate用法_第11讲

    JdbcTemplate模板提供操作数据库的方法应用,下面我们来说一下它的用法(注意:建议大家结合Spring API文档学习效果更好,因为下面的代码只是"抱砖引玉") 1. 遵循 ...

  2. java网络编程基础——网络基础

    java网络编程 网络编程基础 1.常用的网络拓扑结构: 星型网络.总线网络.环线网络.树形网络.星型环线网络 2.通信协议的组成 通信协议通常由3部分组成: 语义部分:用于决定通信双方对话类型 语法 ...

  3. python + pytest基本使用方法(参数化)

    import pytestimport math#pytest 参数化#'base,exponent,expected'用来定义参数的名称.# 通过数组定义参数时,每一个元组都是一条测试用例使用的测试 ...

  4. 队列Queue:任务间的消息读写,安排起来~

    摘要:本文通过分析鸿蒙轻内核队列模块的源码,掌握队列使用上的差异. 本文分享自华为云社区<鸿蒙轻内核M核源码分析系列十三 消息队列Queue>,作者:zhushy . 队列(Queue)是 ...

  5. mysqli_fetch_row()函数返回结果的理解

    在PHP处理对数据库查询返回的结果集,即mysqli_query()函数返回的结果集,我们可以把它处理为数组形式以便于处理. 我们一般会用下面四个函数: 1.array mysqli_fetch_ar ...

  6. C++第三十九篇 -- 研究一下Windows驱动开发(二)-- 驱动程序中重要的数据结构

    数据结构是计算机程序的核心,I/O管理器定义了一些数据结构,这些数据结构是编写驱动程序时所必须掌握的.驱动程序经常要创建和维护这些数据结构的实例. 一.驱动对象(DRIVER_OBJECT) 每个驱动 ...

  7. leetcode 987 二叉树的垂序遍历

    题目解析 题目意思很简单,就是给你一个二叉树,然后告诉你每个节点都是有位置信息的,即每个节点可以用(x,y)来表示.然后节点位置信息为(x,y)的节点的左节点位置为(x+1,y-1),右节点位置为(x ...

  8. tomcat与springmvc 结合 之---第19篇 springmvc 加载.xml文件的bean 过程

    writedby 张艳涛,看springmvc 的源码太难了,怎么办, 这篇文章主要分析了看透springmvc的第9章结尾的 如何解析xml 命名空间标签 <?xml version=&quo ...

  9. 剖析虚幻渲染体系(08)- Shader体系

    目录 8.1 本篇概述 8.2 Shader基础 8.2.1 FShader 8.2.2 Shader Parameter 8.2.3 Uniform Buffer 8.2.4 Vertex Fact ...

  10. LAMP和LNMP环境搭建的艰辛历程

    目录 1. LAMP环境的搭建 1. Apache 安装apache遇到的问题 2. mysql 登录mysql的方法 3. PHP 2. Lnmp环境的搭建 1. nginx 2. PHP 3. 配 ...