欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Boot項(xiàng)目抵御XSS攻擊實(shí)戰(zhàn)過程

 更新時(shí)間:2022年11月26日 09:06:30   作者:abcccccccccccccccode  
XSS攻擊又稱跨站腳本攻擊,通常指利用網(wǎng)頁開發(fā)時(shí)留下的漏洞,通過巧妙的方法注入惡意指令代碼到網(wǎng)頁,使用戶加載并執(zhí)行攻擊者惡意制造的網(wǎng)頁程序,下面這篇文章主要給大家介紹了關(guān)于Spring?Boot項(xiàng)目抵御XSS攻擊的相關(guān)資料,需要的朋友可以參考下

前言

作為Web網(wǎng)站來說,抵御XSS攻擊是必須要做的事情,這是非常常見的黑客攻擊手段之一。

一、什么是XSS攻擊

XSS意思是跨站腳本攻擊,英文全稱Cross Site Scripting,為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS。

XSS攻擊的手段很簡(jiǎn)單,就是通過各種手段向我們的Web網(wǎng)站植入JS代碼。比如說普通網(wǎng)站的用戶注冊(cè)、論壇網(wǎng)站的發(fā)帖和回帖,以及電商網(wǎng)站的商品評(píng)價(jià)等等,黑客在文本框中填寫的文字信息里面包含一段JS代碼,那么前端頁面在顯示這個(gè)信息的時(shí)候,就會(huì)執(zhí)行這些JS代碼了。

如下我是我在CSDN評(píng)論區(qū)評(píng)論的消息,如果CSDN沒有做XSS防御的話,將來某個(gè)用戶翻到這個(gè)評(píng)論的話,這時(shí)候<script>標(biāo)簽就會(huì)被當(dāng)做JS腳本來執(zhí)行了,用戶瀏覽器就會(huì)彈出HelloWorld這樣的文字。

這只是比較簡(jiǎn)單的腳本語句,如果黑客植入的JS腳本先讀取瀏覽器的Cookie信息,然后把Cookie通過Ajax發(fā)送給黑客的服務(wù)器,那么遠(yuǎn)端的黑客就能用你的Cookie來模擬登陸,這后果是非常嚴(yán)重的。

二、如何抵御XSS攻擊

防御XSS攻擊的辦法很簡(jiǎn)單,那就是對(duì)所有用戶的數(shù)據(jù)先做轉(zhuǎn)義處理,然后再保存到數(shù)據(jù)庫(kù)里面。轉(zhuǎn)義之后的信息,將來被加載到網(wǎng)頁上面就喪失了作為腳本執(zhí)行的能力。

比如說上面文本框里面的腳本,經(jīng)過轉(zhuǎn)義之后就變成了&lt;script&gt;alert(&quot;HelloWorld&quot;)&lt;/script&gt;這個(gè)樣子。就拿&lt;script&gt;來說吧,它會(huì)被渲染成<script>字符串,而不是當(dāng)做腳本標(biāo)簽來執(zhí)行。

如果我們能修改請(qǐng)求類的內(nèi)容,那么我們只需要修改獲取請(qǐng)求數(shù)據(jù)的函數(shù),使得返回的數(shù)據(jù)并不是客戶端Form表單或者Ajax提交的數(shù)據(jù),而是經(jīng)過轉(zhuǎn)義之后數(shù)據(jù)。

但是在Web項(xiàng)目中,我們無法修改HttpServletRequest實(shí)現(xiàn)類的內(nèi)容,因?yàn)檎?qǐng)求的實(shí)現(xiàn)類是由各個(gè)Web容器廠商自己擴(kuò)展的。但是有時(shí)候我們還想修改請(qǐng)求類中的內(nèi)容,這該怎么辦呢?

不用擔(dān)心,Java語言給我們留出了缺口,我們只要繼承Java Web內(nèi)置的HttpServletRequestWrapper父類,就能修改請(qǐng)求類的內(nèi)容。

接下來,我們正式開始在Spring Boot項(xiàng)目中實(shí)現(xiàn)抵御XSS攻擊!

三、實(shí)現(xiàn)抵御XSS攻擊

首先我們要?jiǎng)?chuàng)建一個(gè)執(zhí)行轉(zhuǎn)義的封裝類XssHttpServletRequestWrapper,這個(gè)類繼承HttpServletRequestWrapper父類。在這個(gè)類中我們需要把獲取請(qǐng)求頭和請(qǐng)求體數(shù)據(jù)的方法都要重寫,返回的是經(jīng)過XSS轉(zhuǎn)義后的數(shù)據(jù)。

這里我們使用HtmlUtil.cleanHtmlTag()清除所有HTML標(biāo)簽,但是保留標(biāo)簽內(nèi)的內(nèi)容,達(dá)到轉(zhuǎn)義的效果。

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.cleanHtmlTag(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.cleanHtmlTag(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.cleanHtmlTag(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        StringBuffer body = new StringBuffer();
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> result = new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                if (!StrUtil.hasEmpty(val.toString())) {
                    result.put(key, HtmlUtil.cleanHtmlTag(val.toString()));
                }
            } else {
                result.put(key, val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }
        };
    }
}

接下來我們要?jiǎng)?chuàng)建一個(gè)Filter類XssFilter,攔截所有的HTTP請(qǐng)求,然后調(diào)用上面創(chuàng)建的XssHttpServletRequestWrapper類,這樣就能按照我們?cè)O(shè)定的方式獲取請(qǐng)求中的數(shù)據(jù)了。

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        filterChain.doFilter(wrapper, servletResponse);
    }

    @Override
    public void destroy() {

    }
}

在以上代碼中我們使用了Hutool工具庫(kù)中的一些方法

總結(jié)

到此這篇關(guān)于Spring Boot項(xiàng)目抵御XSS攻擊的文章就介紹到這了,更多相關(guān)SpringBoot抵御XSS攻擊內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java如何使用Jetty實(shí)現(xiàn)嵌入式的Servlet容器

    Java如何使用Jetty實(shí)現(xiàn)嵌入式的Servlet容器

    這篇文章主要介紹了Java使用Jetty實(shí)現(xiàn)嵌入式的Servlet容器,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,下面我們來一起了解一下吧
    2019-06-06
  • Java源碼解析之接口List

    Java源碼解析之接口List

    今天帶大家復(fù)習(xí)Java基礎(chǔ)的一些知識(shí)點(diǎn),對(duì)接口List進(jìn)行了詳細(xì)的解析,對(duì)正在學(xué)習(xí)Java的小伙伴們有很好地幫助,需要的朋友可以參考下
    2021-05-05
  • 使用@CacheEvict清除指定下所有緩存

    使用@CacheEvict清除指定下所有緩存

    這篇文章主要介紹了使用@CacheEvict清除指定下所有緩存,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
    2021-12-12
  • SpringBoot和前端Vue的跨域問題及解決方案

    SpringBoot和前端Vue的跨域問題及解決方案

    所謂跨域就是從 A 向 B 發(fā)請(qǐng)求,如若他們的地址協(xié)議、域名、端口都不相同,直接訪問就會(huì)造成跨域問題,跨域是非常常見的現(xiàn)象,這篇文章主要介紹了解決SpringBoot和前端Vue的跨域問題,需要的朋友可以參考下
    2023-11-11
  • AbstractProcessor擴(kuò)展MapStruct自動(dòng)生成實(shí)體映射工具類

    AbstractProcessor擴(kuò)展MapStruct自動(dòng)生成實(shí)體映射工具類

    這篇文章主要為大家介紹了AbstractProcessor擴(kuò)展MapStruct自動(dòng)生成實(shí)體映射工具類實(shí)現(xiàn)詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-01-01
  • Java日期工具類的封裝詳解

    Java日期工具類的封裝詳解

    在日常的開發(fā)中,我們難免會(huì)對(duì)日期格式化,對(duì)日期進(jìn)行計(jì)算,對(duì)日期進(jìn)行校驗(yàn),為了避免重復(fù)寫這些瑣碎的邏輯,我這里封裝了一個(gè)日期工具類,方便以后使用,直接復(fù)制代碼到項(xiàng)目中即可使用,需要的可以參考一下
    2022-10-10
  • Java8 Collectors.toMap的坑

    Java8 Collectors.toMap的坑

    這篇文章主要介紹了Java8 Collectors.toMap的坑,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-03-03
  • SpringBoot攔截器使用精講

    SpringBoot攔截器使用精講

    攔截器可以根據(jù) URL 對(duì)請(qǐng)求進(jìn)行攔截,主要應(yīng)用于登陸校驗(yàn)、權(quán)限驗(yàn)證、亂碼解決、性能監(jiān)控和異常處理等功能上。SpringBoot同樣提供了攔截器功能。 本文將為大家詳細(xì)介紹一下
    2021-12-12
  • 詳解Java回調(diào)的原理與實(shí)現(xiàn)

    詳解Java回調(diào)的原理與實(shí)現(xiàn)

    回調(diào)函數(shù),顧名思義,用于回調(diào)的函數(shù)?;卣{(diào)函數(shù)只是一個(gè)功能片段,由用戶按照回調(diào)函數(shù)調(diào)用約定來實(shí)現(xiàn)的一個(gè)函數(shù)。回調(diào)函數(shù)是一個(gè)工作流的一部分,由工作流來決定函數(shù)的調(diào)用(回調(diào))時(shí)機(jī)。
    2017-03-03
  • Spring MVC+FastJson+Swagger集成的完整實(shí)例教程

    Spring MVC+FastJson+Swagger集成的完整實(shí)例教程

    這篇文章主要給大家分享介紹了關(guān)于Spring MVC+FastJson+Swagger集成的完整實(shí)例教程,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧。
    2018-04-04

最新評(píng)論