主要有三种请求方式,进行过滤替换非法符号

1.普通的GET请求数据:

2.FORM表单提交数据:

3.Json格式数据提交:

把下面5个文件放入项目中即可

 package com.joppay.admin.security.xss;

 import org.springframework.util.StringUtils;

 import org.springframework.web.util.HtmlUtils;

 import javax.servlet.http.HttpServletRequest;

 import javax.servlet.http.HttpServletRequestWrapper;

 /**

  * XSS转义

  *

  * @author leroy

  * @date 2019/3/6 18:08

  */

 public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

     /**

      * Constructs a request object wrapping the given request.

      *

      * @param request The request to wrap

      * @throws IllegalArgumentException if the request is null

      */

     public XssHttpServletRequestWrapper(HttpServletRequest request) {

         super(request);

     }

     @Override

     public String getParameter(String name) {

         String value = super.getParameter(name);

         if (!StringUtils.isEmpty(value)) {

             value = HtmlUtils.htmlEscape(value);

         }

         return value;

     }

     @Override

     public String[] getParameterValues(String name) {

         String[] parameterValues = super.getParameterValues(name);

         if (parameterValues == null) {

             return null;

         }

         for (int i = 0; i < parameterValues.length; i++) {

             String value = parameterValues[i];

             parameterValues[i] = HtmlUtils.htmlEscape(value);

         }

         return parameterValues;

     }

 }
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.databind.JavaType;

import com.fasterxml.jackson.databind.ObjectMapper;

import org.springframework.http.HttpInputMessage;

import org.springframework.http.converter.HttpMessageNotReadableException;

import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;

import java.io.IOException;

import java.lang.reflect.Type;

public class XSSMappingJackson2HttpMessageConverter extends

        MappingJackson2HttpMessageConverter {

    private ObjectMapper mapper = new ObjectMapper();

    public XSSMappingJackson2HttpMessageConverter() {

        super();

        mapper.getFactory().setCharacterEscapes(new HTMLCharacterEscapes());

    }

    @Override

    public Object read(Type type, Class<?> contextClass,

                       HttpInputMessage inputMessage) throws IOException,

            HttpMessageNotReadableException {

        JavaType javaType = getJavaType(type, contextClass);

        // 下面的程式碼 將 @RequestBody 中的資料 做 XSS過濾

        try {

            // json字串转实体

            Object object = mapper.readValue(inputMessage.getBody(), javaType);

            // 实体转字串

            String jsonString = mapper.writeValueAsString(object);

            // json字串转实体

            object = mapper.readValue(jsonString, javaType);

            return object;

        } catch (IOException ex) {

            throw new HttpMessageNotReadableException("Could not read JSON: " + ex.getMessage(), ex);

        }

    }

}
 package com.joppay.admin.security.xss;

 import com.fasterxml.jackson.core.JsonGenerator;

 import com.fasterxml.jackson.databind.JsonSerializer;

 import com.fasterxml.jackson.databind.SerializerProvider;

 import org.springframework.web.util.HtmlUtils;

 import java.io.IOException;

 /**

  * json XSS过滤(Form表单对象)

  * @author leroy

  * @date 2019/3/6 18:15

  */

 public class XssStringJsonSerializer extends JsonSerializer<String> {

     @Override

     public Class<String> handledType() {

         return String.class;

     }

     @Override

     public void serialize(String value, JsonGenerator jsonGenerator,

                           SerializerProvider serializerProvider) throws IOException {

         if (value != null) {

             String encodedValue = HtmlUtils.htmlEscape(value);

             jsonGenerator.writeString(encodedValue);

         }

     }

 }
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.core.SerializableString;

import com.fasterxml.jackson.core.io.CharacterEscapes;

import com.fasterxml.jackson.core.io.SerializedString;

import org.apache.commons.lang3.StringEscapeUtils;

public class HTMLCharacterEscapes  extends CharacterEscapes {

    private final int[] asciiEscapes;

    public HTMLCharacterEscapes() {

        // start with set of characters known to require escaping (double-quote, backslash etc)

        asciiEscapes = CharacterEscapes.standardAsciiEscapesForJSON();

        // and force escaping of a few others:

        asciiEscapes['<'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['>'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['&'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['"'] = CharacterEscapes.ESCAPE_CUSTOM;

        asciiEscapes['\''] = CharacterEscapes.ESCAPE_CUSTOM;

    }

    @Override

    public int[] getEscapeCodesForAscii() {

        return asciiEscapes;

    }

    // and this for others; we don't need anything special here

    @Override

    public SerializableString getEscapeSequence(int ch) {

        return new SerializedString(StringEscapeUtils.escapeHtml4(Character.toString((char) ch)));

    }

}
package com.joppay.admin.security.xss;

import com.fasterxml.jackson.databind.ObjectMapper;

import com.fasterxml.jackson.databind.module.SimpleModule;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Primary;

import org.springframework.core.annotation.Order;

import org.springframework.http.MediaType;

import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;

import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;

import org.springframework.stereotype.Component;

import javax.servlet.*;

import javax.servlet.annotation.WebFilter;

import javax.servlet.http.HttpServletRequest;

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

/**

 * XSS过滤

 *

 * @author leroy

 * @date 2019/3/6 18:13

 */

@WebFilter

@Component

public class XssFilter implements Filter {

    FilterConfig filterConfig = null;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        this.filterConfig = filterConfig;

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) request;

        XssHttpServletRequestWrapper xssRequestWrapper = new XssHttpServletRequestWrapper(req);

        chain.doFilter(xssRequestWrapper, response);

    }

    @Override

    public void destroy() {

        this.filterConfig = null;

    }

    @Bean

    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {

        return new XSSMappingJackson2HttpMessageConverter();

    }

    @Bean

    public XssStringJsonSerializer xssStringJsonSerializer(){

        return new XssStringJsonSerializer();

    }

}

防止XSS攻击的方式的更多相关文章

  1. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  2. 拦截过滤防御XSS攻击 -- Struts2.3 以及 2.5 的解决方式

    使用Struts2框架开发的后台在防御XSS攻击的时候很多方式都不能用,因为Struts2对请求进行的二次封装有区别.以下针对Struts2的XSS攻击进行拦截过滤防御解决: Struts2.3 本方 ...

  3. 绕过用编码方式阻止XSS攻击的几个例子

    阻止攻击的常用方法是:在将HTML返回给Web浏览器之前,对攻击者输入的HTML进行编码.HTML编码使用一些没有特定HTML意义的字符来代替那些标记字符(如尖括号).这些替代字符不会影响文本在web ...

  4. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  5. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  6. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

  7. XSS攻击的解决方法

    在我上一篇<前端安全之XSS攻击>文中,并没有把XSS攻击的解决办法说完整,而XSS的攻击又那么五花八门,有没有一招“独孤九剑”能够抗衡,毕竟那么多情况场景,开发人员无法一一照顾过来,而今 ...

  8. 前端安全之XSS攻击

    XSS(cross-site scripting跨域脚本攻击)攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”.有人将XSS攻击分为三种,分别是: 1. Reflected XSS(基于反射 ...

  9. 利用Android的UXSS漏洞完成一次XSS攻击

    黑客攻击的方式思路是先搜集信息,定位漏洞,然后针对不同的漏洞采用不同的方式来黑掉你.下面用metasploit模拟一次跨站脚本攻击(黑掉自己的手机). 1.搜集信息 msf > search a ...

随机推荐

  1. 把www.domain.com均衡到本机不同的端口 反向代理 隐藏端口 Nginx做非80端口转发 搭建nginx反向代理用做内网域名转发 location 规则

    负载均衡-Nginx中文文档 http://www.nginx.cn/doc/example/loadbanlance.html 负载均衡 一个简单的负载均衡的示例,把www.domain.com均衡 ...

  2. linux 将同后缀名的文件统一移至另一个文件夹

    w

  3. 拼团商品列表页 分析 js代码行位置对执行的影响和window.onload的原理 setTimeout传参

    w TypeError : Cannot set property 'innerHTML' of nullTypeError : Cannot set property 'value' of null ...

  4. hotspot的简单介绍

    慢慢开始深入了解java,才知道java虚拟机有很多种,其中最为知名的应该就是hotspot了,接下来是hotspot的一点简单介绍. 没错,Java是解释语言,但并不意味着它一定被解释执行.早期 的 ...

  5. 4.1 - FTP文件上传下载

    题目:开发一个支持多用户同时在线的FTP程序要求:1.用户加密认证2.允许同时多用户登录3.每个用户有自己的家目录,且只能访问自己的家目录4.对用户进行磁盘配额,每个用户的可用空间不同5.允许用户在f ...

  6. MySQL5.7安装手册

    MySQL安装文档 1. 安装依赖包 yum install -y autoconf automake imake libxml2-devel expat-devel cmake gcc gcc-c+ ...

  7. 【react表格组件】material-table 基本用法 & 组件override

    教程: https://mbrn.github.io/material-table/#/ https://material-ui.com/api/table/ github: https://gith ...

  8. golang: multiple http.writeHeader calls

    背景: golang的http服务,读取文件,提供给client下载时候. 出现 multiple http.writeHeader calls 错误. func DownloadFile(w htt ...

  9. BroadcastReceiver 翻译

    1. 动态注册与退出 If registering a receiver in your Activity.onResume() implementation, you should unregist ...

  10. Mybatis框架学习总结-表的关联查询

    一对一关联 创建表和数据:创建一张教师表和班级表,这里假设一个老师只负责教一个班,那么老师和班级之间的关系就是一种一对一的关系. CREATE TABLE teacher( t_id INT PRIM ...