1. 跨站点脚本编制

  风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

  原因:未对用户输入正确执行危险字符清理。

  固定值:查看危险字符注入的可能解决方案。

2. pom.xml添加依赖

<dependency>

	<groupId>org.jsoup</groupId>

	<artifactId>jsoup</artifactId>

	<version>1.11.3</version>

</dependency>

<dependency>

	<groupId>org.springframework.boot</groupId>

	<artifactId>spring-boot-configuration-processor</artifactId>

	<optional>true</optional>

</dependency>

3. 添加Xss包装类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

import lombok.extern.slf4j.Slf4j;

/**

 * Xss包装类

 *

 * @author CL

 *

 */

@Slf4j

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

	/**

	 * 构造请求对象

	 *

	 * @param request

	 */

	public XssHttpServletRequestWrapper(HttpServletRequest request) {

		super(request);

	}

	/**

	 * 获取头部参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getHeader(String v) {

		String header = super.getHeader(v);

		if (header == null || "".equals(header)) {

			return header;

		}

		return Jsoup.clean(super.getHeader(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数

	 *

	 * @param v 参数值

	 */

	@Override

	public String getParameter(String v) {

		String param = super.getParameter(v);

		if (param == null || "".equals(param)) {

			return param;

		}

		return Jsoup.clean(super.getParameter(v), Whitelist.relaxed());

	}

	/**

	 * 获取参数值

	 *

	 * @param v 参数值

	 */

	@Override

	public String[] getParameterValues(String v) {

		String[] values = super.getParameterValues(v);

		if (values == null) {

			return values;

		}

		int length = values.length;

		String[] resultValues = new String[length];

		for (int i = 0; i < length; i++) {

			// 过滤特殊字符

			resultValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

			if (!(resultValues[i]).equals(values[i])) {

				log.debug("XSS过滤器 => 过滤前:{} => 过滤后:{}", values[i], resultValues[i]);

			}

		}

		return resultValues;

	}

}

4. 配置文件添加配置

# 信息安全

security:

  xss:

    enable: true

    excludes:

      - /login

      - /logout

      - /images/*

      - /jquery/*

      - /layui/*

5. 添加Xss过滤器

import java.io.IOException;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import org.springframework.boot.context.properties.ConfigurationProperties;

import org.springframework.stereotype.Component;

/**

 * Xss过滤器

 *

 * @author CL

 *

 */

@Component

@ConfigurationProperties(prefix = "security.xss")

@WebFilter(filterName = "XssFilter", urlPatterns = "/*")

public class XssFilter implements Filter {

	/**

	 * 过滤器配置对象

	 */

	FilterConfig filterConfig = null;

	/**

	 * 是否启用

	 */

	private boolean enable;

	public void setEnable(boolean enable) {

		this.enable = enable;

	}

	/**

	 * 忽略的URL

	 */

	private List<String> excludes;

	public void setExcludes(List<String> excludes) {

		this.excludes = excludes;

	}

	/**

	 * 初始化

	 */

	@Override

	public void init(FilterConfig filterConfig) throws ServletException {

		this.filterConfig = filterConfig;

	}

	/**

	 * 拦截

	 */

	@Override

	public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain)

			throws IOException, ServletException {

		HttpServletRequest request = (HttpServletRequest) servletRequest;

		// 不启用或者已忽略的URL不拦截

		if (!enable || isExcludeUrl(request.getServletPath())) {

			filterChain.doFilter(servletRequest, servletResponse);

			return;

		}

		XssHttpServletRequestWrapper xssHttpServletRequestWrapper = new XssHttpServletRequestWrapper(request);

		filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);

	}

	/**

	 * 销毁

	 */

	@Override

	public void destroy() {

		this.filterConfig = null;

	}

	/**

	 * 判断是否为忽略的URL

	 *

	 * @param urlPath URL路径

	 * @return true-忽略,false-过滤

	 */

	private boolean isExcludeUrl(String url) {

		if (excludes == null || excludes.isEmpty()) {

			return false;

		}

		return excludes.stream().map(pattern -> Pattern.compile("^" + pattern)).map(p -> p.matcher(url))

				.anyMatch(Matcher::find);

	}

}

跨站点脚本编制 - SpringBoot配置XSS过滤器(基于Jsoup)的更多相关文章

  1. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

  2. 跨站点请求伪造 - SpringBoot配置CSRF过滤器

    1. 跨站点请求伪造   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务.   原因:应用程序使用的认证方法不充分. ...

  3. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  4. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  5. 跨站点脚本编制实例(AppScan扫描结果)

    最近工作要求解决下web的项目的漏洞问题,扫描漏洞是用的AppScan工具,其中有很多是关于跨站点脚本编制问题的.下面就把这块东西分享出来. 原创文章,转载请注明 ------------------ ...

  6. js解决跨站点脚本编制问题

    1.前台处理(容易绕过): <script type="text/javascript"> $(document).ready(function(){ var url= ...

  7. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  8. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  9. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

随机推荐

  1. 链表(LinkedList)解题总结

    链表基础知识 定义 链表(Linked List)是一种常见的基础数据结构,是一种线性表,但是并不会按线性的顺序存储数据,而是在每一个节点里存到下一个节点的指针(Pointer). 链表的操作 操作 ...

  2. php 与 docker php-fpm 共存问题

    需求: 本地一个 php7 的 php-fpm,现在需要运行 php5.2版本的程序, 服务器安装的 nginx 解析域名,碰见 php 文件交给 php5的 php-fpm; 注意: fastcgi ...

  3. 建议收藏!超详细的JVM反射原理技术点总结

    反射定义 1,JAVA反射机制是在运行状态中 对于任意一个类,都能够知道这个类的所有属性和方法: 对于任意一个对象,都能够调用它的任意一个方法和属性: 这种动态获取的信息以及动态调用对象的方法的功能称 ...

  4. 面试大厂必看!就凭借这份Java多线程和并发面试题,我拿到了字节和美团的offer!

    最近好多粉丝私信我说在最近的面试中老是被问到多线程和高并发的问题,又对这一块不是很了解,很简单就被面试官给问倒了,被问倒的后果当然就是被刷下去了,因为粉丝要求,我最近也是花了两天时间 给大家整理了这一 ...

  5. guitar pro系列教程(四): 详解Guitar Pro主音量自动化设置

    让我们继续进行guitar pro 7系列教程 在上一章节中我们讲到插入速度自动化设置,本章节我们将采用图文结合的方式详细的讲解guitar pro 7主音量的相关自动化设置分别是:插入主音量自动化, ...

  6. 对于AQS的理解

    1.JUC包中的 CountDownLatch.CyclicBarrier.ReentrantLock和Semaphore都是基于AQS(AbstractQuenedSynchronizer)实现的 ...

  7. 【Python】python 入门与进阶

    github地址:https://github.com/wangxiao9/basic_python.git

  8. Linux 学习笔记02丨Linux 概述、常用快捷键、apt命令

    Chapter 1. Linux 概述 Linux 是一种自由和开放源码的 Unix 操作系统, 是一个基于 POSIX 和 UNIX 的多用户.多任务.支持多线程和多CPU的操作系统.只要遵循 GN ...

  9. 蓝桥杯——压缩变换(2016JavaB组第9题)

    压缩变换(16JavaB9) 小明最近在研究压缩算法. 他知道,压缩的时候如果能够使得数值很小,就能通过熵编码得到较高的压缩比. 然而,要使数值很小是一个挑战. 最近,小明需要压缩一些正整数的序列,这 ...

  10. Java基础教程——转换流

    转换流 通常,Window默认的编码方式是GBK,Java项目一般建议设为UTF-8编码.这时候读取文件可能出现乱码.事实上实际应用中编码格式不匹配的场景非常多. 转换流可以指定编码方式,用于解决乱码 ...