1 . pom中增加依赖

<!-- xss过滤组件 -->

<dependency>

  <groupId>org.jsoup</groupId>

  <artifactId>jsoup</artifactId>

  <version>1.9.2</version>

</dependency>

2 . 增加标签处理类

package com.xbz.utils;

import org.apache.commons.lang3.StringUtils;

import org.jsoup.Jsoup;

import org.jsoup.nodes.Document;

import org.jsoup.safety.Whitelist;

import java.io.IOException;

/**

 * xss非法标签过滤工具类

 * 过滤html中的xss字符

 * @author xbz

 */

public class JsoupUtil {

    /**

     * 使用自带的basicWithImages 白名单

     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,

     * strike,strong,sub,sup,u,ul,img

     * 以及a标签的href,img标签的src,align,alt,height,width,title属性

     */

    private static final Whitelist whitelist = Whitelist.basicWithImages();

    /** 配置过滤化参数,不对代码进行格式化 */

    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);

    static {

        // 富文本编辑时一些样式是使用style来进行实现的

        // 比如红色字体 style="color:red;"

        // 所以需要给所有标签添加style属性

        whitelist.addAttributes(":all", "style");

    }

    public static String clean(String content) {

        if(StringUtils.isNotBlank(content)){

            content = content.trim();

        }

        return Jsoup.clean(content, "", whitelist, outputSettings);

    }

    public static void main(String[] args) throws IOException {

        String text = "   <a href=\"http://www.baidu.com/a\" onclick=\"alert(1);\">sss</a><script>alert(0);</script>sss   ";

        System.out.println(clean(text));

    }

}

3 . 重写请求参数处理函数

package com.xbz.web.common.filter;

import com.xbz.utils.JsoupUtil;

import org.apache.commons.lang3.StringUtils;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletRequestWrapper;

/**

 * <code>{@link XssHttpServletRequestWrapper}</code>

 * @author

 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    HttpServletRequest orgRequest = null;

    private boolean isIncludeRichText = false;

    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {

        super(request);

        orgRequest = request;

        this.isIncludeRichText = isIncludeRichText;

    }  

    /**

    * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>

    * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>

    * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖

    */

    @Override

    public String getParameter(String name) {

        Boolean flag = ("content".equals(name) || name.endsWith("WithHtml"));

        if( flag && !isIncludeRichText){

            return super.getParameter(name);

        }

        name = JsoupUtil.clean(name);

        String value = super.getParameter(name);

        if (StringUtils.isNotBlank(value)) {

            value = JsoupUtil.clean(value);

        }

        return value;

    }  

    @Override

    public String[] getParameterValues(String name) {

        String[] arr = super.getParameterValues(name);

        if(arr != null){

            for (int i=0;i<arr.length;i++) {

                arr[i] = JsoupUtil.clean(arr[i]);

            }

        }

        return arr;

    }

    /**

    * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>

    * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>

    * getHeaderNames 也可能需要覆盖

    */

    @Override

    public String getHeader(String name) {

        name = JsoupUtil.clean(name);

        String value = super.getHeader(name);

        if (StringUtils.isNotBlank(value)) {

            value = JsoupUtil.clean(value);

        }

        return value;

    }  

    /**

    * 获取最原始的request

    *

    * @return

    */

    public HttpServletRequest getOrgRequest() {

        return orgRequest;

    }  

    /**

    * 获取最原始的request的静态方法

    *

    * @return

    */

    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {

        if (req instanceof XssHttpServletRequestWrapper) {

            return ((XssHttpServletRequestWrapper) req).getOrgRequest();

        }  

        return req;

    }  

}

4 . 编写XSSFilter

package com.xbz.web.common.filter;

import org.apache.commons.lang3.BooleanUtils;

import org.apache.commons.lang3.StringUtils;

import org.apache.logging.log4j.LogManager;

import org.apache.logging.log4j.Logger;

import javax.servlet.*;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

import java.util.ArrayList;

import java.util.List;

import java.util.regex.Matcher;

import java.util.regex.Pattern;

/**

 * 拦截防止xss注入

 * 通过Jsoup过滤请求参数内的特定字符

 * @author yangwk

 */

public class XssFilter implements Filter {

    private static final Logger logger = LogManager.getLogger();

    /**

     * 是否过滤富文本内容

     */

    private static boolean IS_INCLUDE_RICH_TEXT = false;

    public List<String> excludes = new ArrayList<>();

    @Override

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {

        if(logger.isDebugEnabled()){

              logger.debug("xss filter is open");

          }

          HttpServletRequest req = (HttpServletRequest) request;

        HttpServletResponse resp = (HttpServletResponse) response;

          if(handleExcludeURL(req, resp)){

              filterChain.doFilter(request, response);

            return;

        }

          XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT);

          filterChain.doFilter(xssRequest, response);

    }

    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {

        if (excludes == null || excludes.isEmpty()) {

            return false;

        }

        String url = request.getServletPath();

        for (String pattern : excludes) {

            Pattern p = Pattern.compile("^" + pattern);

            Matcher m = p.matcher(url);

            if (m.find()) {

                return true;

            }

        }

        return false;

    }

    @Override

    public void init(FilterConfig filterConfig) throws ServletException {

        if(logger.isDebugEnabled()){

            logger.debug("xss filter init ====================");

        }

        String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");

        if(StringUtils.isNotBlank(isIncludeRichText)){

            IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);

        }

        String temp = filterConfig.getInitParameter("excludes");

        if (temp != null) {

            String[] url = temp.split(",");

            for (int i = 0; url != null && i < url.length; i++) {

                excludes.add(url[i]);

            }

        }

    }

    @Override

    public void destroy() {}  

}

5 .  增加XSS配置

package com.xbz.web.common.config;

import com.xbz.web.common.filter.XssFilter;

import com.google.common.collect.Maps;

import org.springframework.boot.web.servlet.FilterRegistrationBean;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.Map;

@Configuration

public class XssConfig{

    /**

     * xss过滤拦截器

     */

    @Bean

    public FilterRegistrationBean xssFilterRegistrationBean() {

        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();

        filterRegistrationBean.setFilter(new XssFilter());

        filterRegistrationBean.setOrder(1);

        filterRegistrationBean.setEnabled(true);

        filterRegistrationBean.addUrlPatterns("/*");

        Map<String, String> initParameters = Maps.newHashMap();

        initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");

        initParameters.put("isIncludeRichText", "true");

        filterRegistrationBean.setInitParameters(initParameters);

        return filterRegistrationBean;

    }

}

大功告成, 另外SpringMVC版本的XSS防范请参考另一篇文章SpringMVC防止XSS攻击

转自https://blog.csdn.net/xingbaozhen1210/article/details/78860079

SpringBoot防XSS攻击的更多相关文章

  1. 【前端安全】JavaScript防XSS攻击

    什么是XSS XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击.本来缩小应该是CSS,但为了和层叠样式(Cas ...

  2. HTML标签防XSS攻击过滤模块--待优化

    HTML标签防XSS攻击过滤模块 http://cnodejs.org/topic/5058962f8ea56b5e7806b2a3

  3. java请求URL带参之防XSS攻击

    1.web.xml新增filter配置 <!-- URL请求参数字符过滤或合法性校验 --> <filter> <filter-name>XssFilter< ...

  4. 防xss攻击

    官方:https://jsxss.com/zh/index.html xss csrf https://www.cnblogs.com/443855539-wind/p/6055816.html 一. ...

  5. webform非表单提交时防xss攻击

     1.webform默认配置下,主动防御了针对表单提交的xss攻击,但这次发生时因为url导致的,所以webform的默认防御机制不起作用  webform下输出非表单提交获得的数据的时候,要加htm ...

  6. PHP 防xss攻击

    PHP直接输出html的,可以采用以下的方法进行过滤: 1.htmlspecialchars函数 2.htmlentities函数 3.HTMLPurifier.auto.php插件 4.Remove ...

  7. [BUGCASE]CI框架的post方法对url做了防xss攻击的处理引发的文件编码错误

    一.问题描述 出现问题的链接: http://adm.apply.wechat.com/admin/index.php/order/detail?country=others&st=1& ...

  8. node防xss攻击插件

    var xss = require('node-xss').clean; router.post("/orders/insert-orders", function (req, r ...

  9. 防XSS攻击解决方法

    1.web.xml文件中新增filter配置 <!-- URL请求参数字符过滤或合法性校验 --> <filter> <filter-name>XssFilter& ...

随机推荐

  1. 小程序跳坑 --- navigator 和 API中wx.系列的跳转(如 wx.navigateTo、wx.reLaunch等)

    工作之余,想着帮老妈开发个小程序,一是宣传一下她的业务,二是学习使用一下微信小程序的开发,哈哈.在此过程中遇到了navigator跳转的问题,最终还是成功解决了,下面就记录下来,并做个系列总结以作记录 ...

  2. 第九篇:Spring的applicationContext.xml配置总结

    在前面的一篇日志中,记录了web.xml配置启动的顺序,web启动到监听器ContextLoaderListener时,开始加载spring的配置文件applicationContext.xml(通常 ...

  3. js 获取自定义属性值

    html: <p tid="1" onClick="change()">111</p> <p tid="2" ...

  4. JS规则 较量较量(比较操作符) 两个操作数通过比较操作符进行比较,得到值为真(true)和假(false)。【>; <; >=; <=; !=;==】

    较量较量(比较操作符) 我们先来做道数学题,数学考试成绩中,小明考了90分,小红考了95分,问谁考的分数高? 答: 因为"95 > 90",所以小红考试成绩高. 其中大于号& ...

  5. [JZOJ3296] 【SDOI2013】刺客信条

    题目 题目大意 给你一棵树,树上每个节点有000或111的状态. 用最少的操作次数使得当前状态与目标状态同构. 思考历程 首先想到的是找重心. 因为根是不确定的,但重心只会有一个或两个,以重心为根就能 ...

  6. 廖雪峰Java11多线程编程-2线程同步-3死锁

    1.线程锁可以嵌套 在多线程编程中,要执行synchronized块: 必须首先获得指定对象的锁 Java的线程锁是可重入的锁.对同一个对象,同一个线程,可以多次获取他的锁,即同一把锁可以嵌套.如以下 ...

  7. 容斥原理——hdu3208

    和hdu2204有点像 这题要特别注意精度问题,如pow的精度需要自己搞一下,然后最大的longlong可以设为1<<31 /* 只要求[1,n]范围内的sum即可 那么先枚举幂次k[1, ...

  8. IDEA Error:java: Compilation failed: internal java compiler error 解决方案

    这是由于版本不一致导致的 file => settings => 搜索找到Java Compiler 把相应jdk版本改成1.8 ctrl+alt+s

  9. 19-11-1-N

    就剩一个键了…… 以后怎么办呢? 也许可以试试字符映射表……(滑稽 ZJ一下: 我还以为我要死了…… 40 Miemeng 10 03:21:50 80 03:21:51 10 03:21:51 10 ...

  10. UltraISO刻录CentOS 7安装指南

    CentOS 7.2 安装指南(U盘版) 一.准备阶段 1.下载CentOS7镜像文件(ISO文件)到自己电脑,官网下载路径: http://isoredirect.centos.org/centos ...