欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Boot項目抵御XSS攻擊實戰(zhàn)過程

 更新時間:2022年11月26日 09:06:30   作者:abcccccccccccccccode  
XSS攻擊又稱跨站腳本攻擊,通常指利用網(wǎng)頁開發(fā)時留下的漏洞,通過巧妙的方法注入惡意指令代碼到網(wǎng)頁,使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序,下面這篇文章主要給大家介紹了關(guān)于Spring?Boot項目抵御XSS攻擊的相關(guān)資料,需要的朋友可以參考下

前言

作為Web網(wǎng)站來說,抵御XSS攻擊是必須要做的事情,這是非常常見的黑客攻擊手段之一。

一、什么是XSS攻擊

XSS意思是跨站腳本攻擊,英文全稱Cross Site Scripting,為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。

XSS攻擊的手段很簡單,就是通過各種手段向我們的Web網(wǎng)站植入JS代碼。比如說普通網(wǎng)站的用戶注冊、論壇網(wǎng)站的發(fā)帖和回帖,以及電商網(wǎng)站的商品評價等等,黑客在文本框中填寫的文字信息里面包含一段JS代碼,那么前端頁面在顯示這個信息的時候,就會執(zhí)行這些JS代碼了。

如下我是我在CSDN評論區(qū)評論的消息,如果CSDN沒有做XSS防御的話,將來某個用戶翻到這個評論的話,這時候<script>標(biāo)簽就會被當(dāng)做JS腳本來執(zhí)行了,用戶瀏覽器就會彈出HelloWorld這樣的文字。

這只是比較簡單的腳本語句,如果黑客植入的JS腳本先讀取瀏覽器的Cookie信息,然后把Cookie通過Ajax發(fā)送給黑客的服務(wù)器,那么遠端的黑客就能用你的Cookie來模擬登陸,這后果是非常嚴(yán)重的。

二、如何抵御XSS攻擊

防御XSS攻擊的辦法很簡單,那就是對所有用戶的數(shù)據(jù)先做轉(zhuǎn)義處理,然后再保存到數(shù)據(jù)庫里面。轉(zhuǎn)義之后的信息,將來被加載到網(wǎng)頁上面就喪失了作為腳本執(zhí)行的能力。

比如說上面文本框里面的腳本,經(jīng)過轉(zhuǎn)義之后就變成了&lt;script&gt;alert(&quot;HelloWorld&quot;)&lt;/script&gt;這個樣子。就拿&lt;script&gt;來說吧,它會被渲染成<script>字符串,而不是當(dāng)做腳本標(biāo)簽來執(zhí)行。

如果我們能修改請求類的內(nèi)容,那么我們只需要修改獲取請求數(shù)據(jù)的函數(shù),使得返回的數(shù)據(jù)并不是客戶端Form表單或者Ajax提交的數(shù)據(jù),而是經(jīng)過轉(zhuǎn)義之后數(shù)據(jù)。

但是在Web項目中,我們無法修改HttpServletRequest實現(xiàn)類的內(nèi)容,因為請求的實現(xiàn)類是由各個Web容器廠商自己擴展的。但是有時候我們還想修改請求類中的內(nèi)容,這該怎么辦呢?

不用擔(dān)心,Java語言給我們留出了缺口,我們只要繼承Java Web內(nèi)置的HttpServletRequestWrapper父類,就能修改請求類的內(nèi)容。

接下來,我們正式開始在Spring Boot項目中實現(xiàn)抵御XSS攻擊!

三、實現(xiàn)抵御XSS攻擊

首先我們要創(chuàng)建一個執(zhí)行轉(zhuǎn)義的封裝類XssHttpServletRequestWrapper,這個類繼承HttpServletRequestWrapper父類。在這個類中我們需要把獲取請求頭和請求體數(shù)據(jù)的方法都要重寫,返回的是經(jīng)過XSS轉(zhuǎn)義后的數(shù)據(jù)。

這里我們使用HtmlUtil.cleanHtmlTag()清除所有HTML標(biāo)簽,但是保留標(biāo)簽內(nèi)的內(nèi)容,達到轉(zhuǎn)義的效果。

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.cleanHtmlTag(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        StringBuffer body = new StringBuffer();
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> result = new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                if (!StrUtil.hasEmpty(val.toString())) {
                    result.put(key, HtmlUtil.cleanHtmlTag(val.toString()));
                }
            } else {
                result.put(key, val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

接下來我們要創(chuàng)建一個Filter類XssFilter,攔截所有的HTTP請求,然后調(diào)用上面創(chuàng)建的XssHttpServletRequestWrapper類,這樣就能按照我們設(shè)定的方式獲取請求中的數(shù)據(jù)了。

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

在以上代碼中我們使用了Hutool工具庫中的一些方法

總結(jié)

到此這篇關(guān)于Spring Boot項目抵御XSS攻擊的文章就介紹到這了,更多相關(guān)SpringBoot抵御XSS攻擊內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java如何使用Jetty實現(xiàn)嵌入式的Servlet容器

    Java如何使用Jetty實現(xiàn)嵌入式的Servlet容器

    這篇文章主要介紹了Java使用Jetty實現(xiàn)嵌入式的Servlet容器,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,下面我們來一起了解一下吧
    2019-06-06
  • Java源碼解析之接口List

    Java源碼解析之接口List

    今天帶大家復(fù)習(xí)Java基礎(chǔ)的一些知識點,對接口List進行了詳細(xì)的解析,對正在學(xué)習(xí)Java的小伙伴們有很好地幫助,需要的朋友可以參考下
    2021-05-05
  • 使用@CacheEvict清除指定下所有緩存

    使用@CacheEvict清除指定下所有緩存

    這篇文章主要介紹了使用@CacheEvict清除指定下所有緩存,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-12-12
  • SpringBoot和前端Vue的跨域問題及解決方案

    SpringBoot和前端Vue的跨域問題及解決方案

    所謂跨域就是從 A 向 B 發(fā)請求,如若他們的地址協(xié)議、域名、端口都不相同,直接訪問就會造成跨域問題,跨域是非常常見的現(xiàn)象,這篇文章主要介紹了解決SpringBoot和前端Vue的跨域問題,需要的朋友可以參考下
    2023-11-11
  • AbstractProcessor擴展MapStruct自動生成實體映射工具類

    AbstractProcessor擴展MapStruct自動生成實體映射工具類

    這篇文章主要為大家介紹了AbstractProcessor擴展MapStruct自動生成實體映射工具類實現(xiàn)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進步,早日升職加薪
    2023-01-01
  • Java日期工具類的封裝詳解

    Java日期工具類的封裝詳解

    在日常的開發(fā)中,我們難免會對日期格式化,對日期進行計算,對日期進行校驗,為了避免重復(fù)寫這些瑣碎的邏輯,我這里封裝了一個日期工具類,方便以后使用,直接復(fù)制代碼到項目中即可使用,需要的可以參考一下
    2022-10-10
  • Java8 Collectors.toMap的坑

    Java8 Collectors.toMap的坑

    這篇文章主要介紹了Java8 Collectors.toMap的坑,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-03-03
  • SpringBoot攔截器使用精講

    SpringBoot攔截器使用精講

    攔截器可以根據(jù) URL 對請求進行攔截,主要應(yīng)用于登陸校驗、權(quán)限驗證、亂碼解決、性能監(jiān)控和異常處理等功能上。SpringBoot同樣提供了攔截器功能。 本文將為大家詳細(xì)介紹一下
    2021-12-12
  • 詳解Java回調(diào)的原理與實現(xiàn)

    詳解Java回調(diào)的原理與實現(xiàn)

    回調(diào)函數(shù),顧名思義,用于回調(diào)的函數(shù)。回調(diào)函數(shù)只是一個功能片段,由用戶按照回調(diào)函數(shù)調(diào)用約定來實現(xiàn)的一個函數(shù)?;卣{(diào)函數(shù)是一個工作流的一部分,由工作流來決定函數(shù)的調(diào)用(回調(diào))時機。
    2017-03-03
  • Spring MVC+FastJson+Swagger集成的完整實例教程

    Spring MVC+FastJson+Swagger集成的完整實例教程

    這篇文章主要給大家分享介紹了關(guān)于Spring MVC+FastJson+Swagger集成的完整實例教程,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧。
    2018-04-04

最新評論