1.配置相关数据

在配置文件中配置

# 防止XSS攻击

xss:

  # 过滤开关

  enabled: true

  # 排除链接(多个用逗号分隔)

  excludes: /system/notice/*

  # 匹配链接

  urlPatterns: /system/*,/monitor/*,/tool/*

2.编写Filter配置类

import java.util.Map;

import javax.servlet.DispatcherType;

import org.springframework.beans.factory.annotation.Value;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import com.google.common.collect.Maps;

import com.ruoyi.common.utils.StringUtils;

import com.ruoyi.common.xss.XssFilter;

/**

 * Filter配置

 *

 * @author xxx

 */

@Configuration

public class FilterConfig

{

    @Value("${xss.enabled}")

    private String enabled;

    @Value("${xss.excludes}")

    private String excludes;

    @Value("${xss.urlPatterns}")

    private String urlPatterns;

    @SuppressWarnings({ "rawtypes", "unchecked" })

    @Bean

    public FilterRegistrationBean xssFilterRegistration()

    {

        FilterRegistrationBean registration = new FilterRegistrationBean();

        //

        registration.setDispatcherTypes(DispatcherType.REQUEST);

        //过滤器类(继承Filter)

        registration.setFilter(new XssFilter());

        //

        registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));

        //

        registration.setName("xssFilter");

        //

        registration.setOrder(Integer.MAX_VALUE);

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", excludes);

        initParameters.put("enabled", enabled);

        //Filter 初始化参数

        registration.setInitParameters(initParameters);

        return registration;

    }

}

3.编写过滤器

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

import javax.servlet.Filter;

import javax.servlet.FilterChain;

import javax.servlet.FilterConfig;

import javax.servlet.ServletException;

import javax.servlet.ServletRequest;

import javax.servlet.ServletResponse;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import com.ruoyi.common.utils.StringUtils;

/**

 * 防止XSS攻击的过滤器

 *

 * @author xxx

 */

public class XssFilter implements Filter

{

    /**

     * 排除链接

     */

    public List<String> excludes = new ArrayList<>();

    /**

     * xss过滤开关

     */

    public boolean enabled = false;

    @Override

    public void init(FilterConfig filterConfig) throws ServletException

    {

        String tempExcludes = filterConfig.getInitParameter("excludes");

        String tempEnabled = filterConfig.getInitParameter("enabled");

        if (StringUtils.isNotEmpty(tempExcludes))

        {

            String[] url = tempExcludes.split(",");

            for (int i = 0; url != null && i < url.length; i++)

            {

                excludes.add(url[i]);

            }

        }

        if (StringUtils.isNotEmpty(tempEnabled))

        {

            enabled = Boolean.valueOf(tempEnabled);

        }

    }

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException

    {

        HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

        if (handleExcludeURL(req, resp))

        {

            chain.doFilter(request, response);

            return;

        }

        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);

        chain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response)

    {

        if (!enabled)

        {

            return true;

        }

        if (excludes == null || excludes.isEmpty())

        {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes)

        {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find())

            {

                return true;

            }

        }

        return false;

    }

    @Override

    public void destroy()

    {

    }

}

3.XssHttpServletRequestWrapper 类

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

import org.jsoup.Jsoup;

import org.jsoup.safety.Whitelist;

/**

 * XSS过滤处理

 *

 * @author xxx

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper

{

    /**

     * @param request

     */

    public XssHttpServletRequestWrapper(HttpServletRequest request)

    {

        super(request);

    }

    @Override

    public String[] getParameterValues(String name)

    {

        String[] values = super.getParameterValues(name);

        if (values != null)

        {

            int length = values.length;

            String[] escapseValues = new String[length];

            for (int i = 0; i < length; i++)

            {

                // 防xss攻击和过滤前后空格

                escapseValues[i] = Jsoup.clean(values[i], Whitelist.relaxed()).trim();

            }

            return escapseValues;

        }

        return super.getParameterValues(name);

    }

}

到此就完成了!!

防止XSS 攻击集成springboot的更多相关文章

  1. SpringBoot防XSS攻击

    1 . pom中增加依赖 <!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> < ...

  2. WEB安全实战(五)XSS 攻击的第二种解决方式(推荐)

    序 说到 XSS 攻击,前边已经有两篇文章在讲这个事了,这次又拿出来说,主要是针对近期工作中的一些新的问题.那么之前是怎么解决问题的呢?为什么又要换解决方式?以下就具体的跟大家分享一下. 旧方案 公司 ...

  3. 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)

    XSS 全称Cross Site Scripting 即‘跨站脚本攻击’. 从其中文释义我们能直观的知道,这是一种对网站的攻击方式. 其原理在于,使用一切可能手段,将可执行脚本(scripting)植 ...

  4. XSS攻击处理方案

    1. XSS攻击基本概念 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中.比如这些代码包括HTML代码和客户端脚本.攻击者利用XSS漏洞 ...

  5. 防御XSS攻击-encode用户输入内容的重要性

    一.开场先科普下XSS 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS.恶 ...

  6. 防止XSS攻击的方法

    什么是XSS? 使用Jsoup来防止XSS攻击 Jsoup官网 Jsoup中文 maven包引入 <dependency> <groupId>org.jsoup</gro ...

  7. PHP通用的XSS攻击过滤函数,Discuz系统中 防止XSS漏洞攻击,过滤HTML危险标签属性的PHP函数

    XSS攻击在最近很是流行,往往在某段代码里一不小心就会被人放上XSS攻击的代码,看到国外有人写上了函数,咱也偷偷懒,悄悄的贴上来... 原文如下: The goal of this function ...

  8. 前端XSS攻击和防御

    xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会 ...

  9. XSS攻击及防御

    XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性.其原理是攻击者向有XSS漏洞的网站中输入 ...

随机推荐

  1. vue(22)Vuex的安装与使用

    前言 每一个 Vuex 应用的核心就是 store(仓库).store基本上就是一个容器,它包含着你的应用中大部分的状态 (state).Vuex 和单纯的全局对象有以下两点不同: Vuex 的状态存 ...

  2. 小师妹学IO系列文章集合-附PDF下载

    目录 第一章 IO的本质 IO的本质 DMA和虚拟地址空间 IO的分类 IO和NIO的区别 总结 第二章 try with和它的底层原理 简介 IO关闭的问题 使用try with resource ...

  3. Linux 安装 Nodejs 的两种方式

    Linux 安装 Nodejs 的两种方式 目录 Linux 安装 Nodejs 的两种方式 一.压缩包安装 Nodejs 二.源码编译安装 Nodejs 一.压缩包安装 Nodejs 下载 Node ...

  4. POJ1944

    poj1944 一道我不会做的贪心题. (思维才是OI的重点) 但是if您也不会,那就来听我瞎扯吧. 首先,这个图是一个圈,只能连接邻点,使所有求的点联通. 我们先不考虑环,那么就可以想出一个假的做法 ...

  5. Aria2 任意文件写入

    访问aria2,发现服务已启动并且返回404页面 打开http://binux.github.io/yaaw/demo/#打开yaaw,点击配置按钮,填入运行aria2的目标域名:http://you ...

  6. Unity 不规则按钮实现

    1.先重写Image类,实现对Image图形范围的重写: 2.对不规则按钮添加Polygon Collider2D组件,调整大小圈中要点击的范围: 3.将重写的Image类添加到不规则按钮上时,需要移 ...

  7. 我们是Android开发,我们都有着光明的未来

    作为一名程序员经常会逛v2ex论坛,前几天逛着玩的时候忽然发现一篇文章,标题非常吸引眼球名字叫中年危机的终极解法,作为一个步入而立之年的老人,心里非常激动,到底是啥解决法呢,于是迅速点进去查看. 进去 ...

  8. [C++]-map 映射

    map用来存储排序后的由键和值组成的项的集合.键必须唯一,不同的键可以对应同一个值,在map中键保持逻辑排序后的顺序(以键为标准). 代码 #include<iostream> #incl ...

  9. 新手安装eclipse或idea后进行配置、快捷键、插件总结

    .personSunflowerP { background: rgba(51, 153, 0, 0.66); border-bottom: 1px solid rgba(0, 102, 0, 1); ...

  10. rancherUI添加configmap

    1.创建configmap 2.部署pod,挂载配置文件(通过卷的形式引用)