Spring Xss过滤器防止跨站脚本攻击

最新推荐文章于 2025-08-09 19:50:58 发布
原创 最新推荐文章于 2025-08-09 19:50:58 发布 · 324 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #xss #java

前言

Spring XSS 过滤器是用于防御 跨站脚本攻击(Cross-Site Scripting, XSS) 的核心安全组件。它工作在 Web 请求到达控制器之前和响应离开控制器之后,对数据进行净化和转义。

核心作用:

  1. 拦截恶意输入: 在 HTTP 请求到达应用程序控制器之前,扫描请求参数(GETPOST)、请求头(如 User-AgentReferer)、Cookies 和请求体(如 application/x-www-form-urlencodedmultipart/form-dataapplication/json)中的内容。

  2. 净化/转义输入: 识别并清除或转义请求数据中包含的潜在恶意脚本代码(如 <script>javascript:onerror=eval( 等)。目的是将危险的 HTML/JS 标签和属性转换为安全的文本表示,使其在浏览器中仅作为纯文本显示,而不会被解析执行。

  3. 净化/转义输出(可选): 某些高级过滤器也能在 HTTP 响应发送回客户端之前,对响应内容(如动态生成的 HTML、JSON 中的字符串值)进行转义处理,提供另一层防御(但通常更推荐在视图层处理输出转义)。

  4. 防止恶意脚本注入: 通过上述处理,有效阻止攻击者将恶意脚本注入到网页中。这些脚本一旦被其他用户浏览器加载执行,可能导致会话劫持、敏感数据窃取、页面篡改、重定向到钓鱼网站等严重后果。

创建过滤器

public class XssFilter implements Filter {
    public void init(FilterConfig config)
            throws ServletException
    {}

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException
    {
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest)request);
        chain.doFilter(xssRequest, response);
    }

    public void destroy() {}
}
public class XssHttpServletRequestWrapper
        extends HttpServletRequestWrapper
{
    HttpServletRequest orgRequest;

    private static final HTMLFilter htmlFilter = new HTMLFilter();

    public XssHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.orgRequest = request;
    }


    public ServletInputStream getInputStream() throws IOException {
        if (!"application/json".equalsIgnoreCase(super.getHeader("Content-Type"))) {
            return super.getInputStream();
        }
        String json = IOUtils.toString(super.getInputStream(), "utf-8");
        if (StringUtils.isBlank(json)) {
            return super.getInputStream();
        }
        json = xssEncode(json);
        final ByteArrayInputStream bais = new ByteArrayInputStream(json.getBytes("utf-8"));
        return new ServletInputStream() {

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener readListener) {

            }

            @Override
            public int read(){
                return bais.read();
            }
        };
    }

    public String getParameter(String name)
    {
        String value = super.getParameter(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }
        return value;
    }

    public String[] getParameterValues(String name)
    {
        String[] parameters = super.getParameterValues(name);
        if ((parameters == null) || (parameters.length == 0)) {
            return null;
        }
        for (int i = 0; i < parameters.length; i++) {
            parameters[i] = xssEncode(parameters[i]);
        }
        return parameters;
    }

    public Map<String, String[]> getParameterMap()
    {
        Map<String, String[]> map = new LinkedHashMap();
        Map<String, String[]> parameters = super.getParameterMap();
        for (String key : parameters.keySet())
        {
            String[] values = (String[])parameters.get(key);
            for (int i = 0; i < values.length; i++) {
                values[i] = xssEncode(values[i]);
            }
            map.put(key, values);
        }
        return map;
    }

    public String getHeader(String name)
    {
        String value = super.getHeader(xssEncode(name));
        if (StringUtils.isNotBlank(value)) {
            value = xssEncode(value);
        }
        return value;
    }

    public HttpServletRequest getOrgRequest()
    {
        return this.orgRequest;
    }

    public static HttpServletRequest getOrgRequest(HttpServletRequest request)
    {
        if ((request instanceof XssHttpServletRequestWrapper)) {
            return ((XssHttpServletRequestWrapper)request).getOrgRequest();
        }
        return request;
    }

    private String xssEncode(String s)
    {
        if ((s == null) || (s.isEmpty())) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++)
        {
            char c = s.charAt(i);
            switch (c)
            {
                case '>':
                    sb.append(65310);
                    break;
                case '<':
                    sb.append(65308);
                    break;
                default:
                    sb.append(c);
            }
        }
        return htmlFilter.filter(sb.toString());
    }

    public void processUrlEncoder(StringBuilder sb, String s, int index)
    {
        if (s.length() >= index + 2)
        {
            if ((s.charAt(index + 1) == '3') && ((s.charAt(index + 2) == 'c') || (s.charAt(index + 2) == 'C')))
            {
                sb.append(65308);
                return;
            }
            if ((s.charAt(index + 1) == '6') && (s.charAt(index + 2) == '0'))
            {
                sb.append(65308);
                return;
            }
            if ((s.charAt(index + 1) == '3') && ((s.charAt(index + 2) == 'e') || (s.charAt(index + 2) == 'E')))
            {
                sb.append(65310);
                return;
            }
            if ((s.charAt(index + 1) == '6') && (s.charAt(index + 2) == '2'))
            {
                sb.append(65310);
                return;
            }
        }
        sb.append(s.charAt(index));
    }
}

Html过滤

public final class HTMLFilter
{
    private static final int REGEX_FLAGS_SI = 34;
    private static final Pattern P_COMMENTS = Pattern.compile("<!--(.*?)-->", 32);
    private static final Pattern P_COMMENT = Pattern.compile("^!--(.*)--$", 34);
    private static final Pattern P_TAGS = Pattern.compile("<(.*?)>", 32);
    private static final Pattern P_END_TAG = Pattern.compile("^/([a-z0-9]+)", 34);
    private static final Pattern P_START_TAG = Pattern.compile("^([a-z0-9]+)(.*?)(/?)$", 34);
    private static final Pattern P_QUOTED_ATTRIBUTES = Pattern.compile("([a-z0-9]+)=([\"'])(.*?)\\2", 34);
    private static final Pattern P_UNQUOTED_ATTRIBUTES = Pattern.compile("([a-z0-9]+)(=)([^\"\\s']+)", 34);
    private static final Pattern P_PROTOCOL = Pattern.compile("^([^:]+):", 34);
    private static final Pattern P_ENTITY = Pattern.compile("&#(\\d+);?");
    private static final Pattern P_ENTITY_UNICODE = Pattern.compile("&#x([0-9a-f]+);?");
    private static final Pattern P_ENCODE = Pattern.compile("%([0-9a-f]{2});?");
    private static final Pattern P_VALID_ENTITIES = Pattern.compile("&([^&;]*)(?=(;|&|$))");
    private static final Pattern P_VALID_QUOTES = Pattern.compile("(>|^)([^<]+?)(<|$)", 32);
    private static final Pattern P_END_ARROW = Pattern.compile("^>");
    private static final Pattern P_BODY_TO_END = Pattern.compile("<([^>]*?)(?=<|$)");
    private static final Pattern P_XML_CONTENT = Pattern.compile("(^|>)([^<]*?)(?=>)");
    private static final Pattern P_STRAY_LEFT_ARROW = Pattern.compile("<([^>]*?)(?=<|$)");
    private static final Pattern P_STRAY_RIGHT_ARROW = Pattern.compile("(^|>)([^<]*?)(?=>)");
    private static final Pattern P_AMP = Pattern.compile("&");
    private static final Pattern P_QUOTE = Pattern.compile("<");
    private static final Pattern P_LEFT_ARROW = Pattern.compile("<");
    private static final Pattern P_RIGHT_ARROW = Pattern.compile(">");
    private static final Pattern P_BOTH_ARROWS = Pattern.compile("<>");
    private static final ConcurrentMap<String, Pattern> P_REMOVE_PAIR_BLANKS = new ConcurrentHashMap();
    private static final ConcurrentMap<String, Pattern> P_REMOVE_SELF_BLANKS = new ConcurrentHashMap();
    private final Map<String, List<String>> vAllowed;
    private final Map<String, Integer> vTagCounts = new HashMap();
    private final String[] vSelfClosingTags;
    private final String[] vNeedClosingTags;
    private final String[] vDisallowed;
    private final String[] vProtocolAtts;
    private final String[] vAllowedProtocols;
    private final String[] vRemoveBlanks;
    private final String[] vAllowedEntities;
    private final boolean stripComment;
    private final boolean encodeQuotes;
    private boolean vDebug = false;
    private final boolean alwaysMakeTags;

    public HTMLFilter()
    {
        this.vAllowed = new HashMap();

        ArrayList<String> a_atts = new ArrayList();
        a_atts.add("href");
        a_atts.add("target");
        this.vAllowed.put("a", a_atts);

        ArrayList<String> img_atts = new ArrayList();
        img_atts.add("src");
        img_atts.add("width");
        img_atts.add("height");
        img_atts.add("alt");
        this.vAllowed.put("img", img_atts);

        ArrayList<String> no_atts = new ArrayList();
        this.vAllowed.put("b", no_atts);
        this.vAllowed.put("strong", no_atts);
        this.vAllowed.put("i", no_atts);
        this.vAllowed.put("em", no_atts);

        this.vSelfClosingTags = new String[] { "img" };
        this.vNeedClosingTags = new String[] { "a", "b", "strong", "i", "em" };
        this.vDisallowed = new String[0];
        this.vAllowedProtocols = new String[] { "http", "mailto", "https" };
        this.vProtocolAtts = new String[] { "src", "href" };
        this.vRemoveBlanks = new String[] { "a", "b", "strong", "i", "em" };
        this.vAllowedEntities = new String[] { "amp", "gt", "lt", "quot" };
        this.stripComment = true;
        this.encodeQuotes = true;
        this.alwaysMakeTags = true;
    }

    public HTMLFilter(boolean debug)
    {
        this();
        this.vDebug = debug;
    }

    public HTMLFilter(Map<String, Object> conf)
    {
        assert (conf.containsKey("vAllowed")) : "configuration requires vAllowed";
        assert (conf.containsKey("vSelfClosingTags")) : "configuration requires vSelfClosingTags";
        assert (conf.containsKey("vNeedClosingTags")) : "configuration requires vNeedClosingTags";
        assert (conf.containsKey("vDisallowed")) : "configuration requires vDisallowed";
        assert (conf.containsKey("vAllowedProtocols")) : "configuration requires vAllowedProtocols";
        assert (conf.containsKey("vProtocolAtts")) : "configuration requires vProtocolAtts";
        assert (conf.containsKey("vRemoveBlanks")) : "configuration requires vRemoveBlanks";
        assert (conf.containsKey("vAllowedEntities")) : "configuration requires vAllowedEntities";

        this.vAllowed = Collections.unmodifiableMap((HashMap)conf.get("vAllowed"));
        this.vSelfClosingTags = ((String[])conf.get("vSelfClosingTags"));
        this.vNeedClosingTags = ((String[])conf.get("vNeedClosingTags"));
        this.vDisallowed = ((String[])conf.get("vDisallowed"));
        this.vAllowedProtocols = ((String[])conf.get("vAllowedProtocols"));
        this.vProtocolAtts = ((String[])conf.get("vProtocolAtts"));
        this.vRemoveBlanks = ((String[])conf.get("vRemoveBlanks"));
        this.vAllowedEntities = ((String[])conf.get("vAllowedEntities"));
        this.stripComment = (conf.containsKey("stripComment") ? ((Boolean)conf.get("stripComment")).booleanValue() : true);
        this.encodeQuotes = (conf.containsKey("encodeQuotes") ? ((Boolean)conf.get("encodeQuotes")).booleanValue() : true);
        this.alwaysMakeTags = (conf.containsKey("alwaysMakeTags") ? ((Boolean)conf.get("alwaysMakeTags")).booleanValue() : true);
    }

    private void reset()
    {
        this.vTagCounts.clear();
    }

    private void debug(String msg)
    {
        if (this.vDebug) {
            Logger.getAnonymousLogger().info(msg);
        }
    }

    public static String chr(int decimal)
    {
        return String.valueOf((char)decimal);
    }

    public static String htmlSpecialChars(String s)
    {
        String result = s;
        result = regexReplace(P_AMP, "&amp;", result);
        result = regexReplace(P_QUOTE, "&quot;", result);
        result = regexReplace(P_LEFT_ARROW, "&lt;", result);
        result = regexReplace(P_RIGHT_ARROW, "&gt;", result);
        return result;
    }

    public String filter(String input)
    {
        reset();
        String s = input;

        debug("************************************************");
        debug("              INPUT: " + input);

        s = escapeComments(s);
        debug("     escapeComments: " + s);

        s = balanceHTML(s);
        debug("        balanceHTML: " + s);

        s = checkTags(s);
        debug("          checkTags: " + s);

        s = processRemoveBlanks(s);
        debug("processRemoveBlanks: " + s);

        s = validateEntities(s);
        debug("    validateEntites: " + s);

        debug("************************************************\n\n");
        return s;
    }

    public boolean isAlwaysMakeTags()
    {
        return this.alwaysMakeTags;
    }

    public boolean isStripComments()
    {
        return this.stripComment;
    }

    private String escapeComments(String s)
    {
        Matcher m = P_COMMENTS.matcher(s);
        StringBuffer buf = new StringBuffer();
        if (m.find())
        {
            String match = m.group(1);
            m.appendReplacement(buf, Matcher.quoteReplacement("<!--" + htmlSpecialChars(match) + "-->"));
        }
        m.appendTail(buf);

        return buf.toString();
    }

    private String balanceHTML(String s)
    {
        if (this.alwaysMakeTags)
        {
            s = regexReplace(P_END_ARROW, "", s);
            s = regexReplace(P_BODY_TO_END, "<$1>", s);
            s = regexReplace(P_XML_CONTENT, "$1<$2", s);
        }
        else
        {
            s = regexReplace(P_STRAY_LEFT_ARROW, "&lt;$1", s);
            s = regexReplace(P_STRAY_RIGHT_ARROW, "$1$2&gt;<", s);






            s = regexReplace(P_BOTH_ARROWS, "", s);
        }
        return s;
    }

    private String checkTags(String s)
    {
        Matcher m = P_TAGS.matcher(s);

        StringBuffer buf = new StringBuffer();
        String replaceStr;
        while (m.find())
        {
            replaceStr = m.group(1);
            replaceStr = processTag(replaceStr);
            m.appendReplacement(buf, Matcher.quoteReplacement(replaceStr));
        }
        m.appendTail(buf);

        s = buf.toString();
        for (String key : this.vTagCounts.keySet()) {
            for (int ii = 0; ii < ((Integer)this.vTagCounts.get(key)).intValue(); ii++) {
                s = s + "</" + key + ">";
            }
        }
        return s;
    }

    private String processRemoveBlanks(String s)
    {
        String result = s;
        for (String tag : this.vRemoveBlanks)
        {
            if (!P_REMOVE_PAIR_BLANKS.containsKey(tag)) {
                P_REMOVE_PAIR_BLANKS.putIfAbsent(tag, Pattern.compile("<" + tag + "(\\s[^>]*)?></" + tag + ">"));
            }
            result = regexReplace((Pattern)P_REMOVE_PAIR_BLANKS.get(tag), "", result);
            if (!P_REMOVE_SELF_BLANKS.containsKey(tag)) {
                P_REMOVE_SELF_BLANKS.putIfAbsent(tag, Pattern.compile("<" + tag + "(\\s[^>]*)?/>"));
            }
            result = regexReplace((Pattern)P_REMOVE_SELF_BLANKS.get(tag), "", result);
        }
        return result;
    }

    private static String regexReplace(Pattern regex_pattern, String replacement, String s)
    {
        Matcher m = regex_pattern.matcher(s);
        return m.replaceAll(replacement);
    }

    private String processTag(String s)
    {
        Matcher m = P_END_TAG.matcher(s);
        if (m.find())
        {
            String name = m.group(1).toLowerCase();
            if ((allowed(name)) &&
                    (!inArray(name, this.vSelfClosingTags)) &&
                    (this.vTagCounts.containsKey(name)))
            {
                this.vTagCounts.put(name, Integer.valueOf(((Integer)this.vTagCounts.get(name)).intValue() - 1));
                return "</" + name + ">";
            }
        }
        m = P_START_TAG.matcher(s);
        if (m.find())
        {
            String name = m.group(1).toLowerCase();
            String body = m.group(2);
            String ending = m.group(3);
            if (allowed(name))
            {
                String params = "";

                Matcher m2 = P_QUOTED_ATTRIBUTES.matcher(body);
                Matcher m3 = P_UNQUOTED_ATTRIBUTES.matcher(body);
                List<String> paramNames = new ArrayList();
                List<String> paramValues = new ArrayList();
                while (m2.find())
                {
                    paramNames.add(m2.group(1));
                    paramValues.add(m2.group(3));
                }
                while (m3.find())
                {
                    paramNames.add(m3.group(1));
                    paramValues.add(m3.group(3));
                }
                for (int ii = 0; ii < paramNames.size(); ii++)
                {
                    String paramName = ((String)paramNames.get(ii)).toLowerCase();
                    String paramValue = (String)paramValues.get(ii);
                    if (allowedAttribute(name, paramName))
                    {
                        if (inArray(paramName, this.vProtocolAtts)) {
                            paramValue = processParamProtocol(paramValue);
                        }
                        params = params + " " + paramName + "=\"" + paramValue + "\"";
                    }
                }
                if (inArray(name, this.vSelfClosingTags)) {
                    ending = " /";
                }
                if (inArray(name, this.vNeedClosingTags)) {
                    ending = "";
                }
                if ((ending == null) || (ending.length() < 1))
                {
                    if (this.vTagCounts.containsKey(name)) {
                        this.vTagCounts.put(name, Integer.valueOf(((Integer)this.vTagCounts.get(name)).intValue() + 1));
                    } else {
                        this.vTagCounts.put(name, Integer.valueOf(1));
                    }
                }
                else {
                    ending = " /";
                }
                return "<" + name + params + ending + ">";
            }
            return "";
        }
        m = P_COMMENT.matcher(s);
        if ((!this.stripComment) && (m.find())) {
            return "<" + m.group() + ">";
        }
        return "";
    }

    private String processParamProtocol(String s)
    {
        s = decodeEntities(s);
        Matcher m = P_PROTOCOL.matcher(s);
        if (m.find())
        {
            String protocol = m.group(1);
            if (!inArray(protocol, this.vAllowedProtocols))
            {
                s = "#" + s.substring(protocol.length() + 1, s.length());
                if (s.startsWith("#//")) {
                    s = "#" + s.substring(3, s.length());
                }
            }
        }
        return s;
    }

    private String decodeEntities(String s)
    {
        StringBuffer buf = new StringBuffer();

        Matcher m = P_ENTITY.matcher(s);
        while (m.find())
        {
            String match = m.group(1);
            int decimal = Integer.decode(match).intValue();
            m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));
        }
        m.appendTail(buf);
        s = buf.toString();

        buf = new StringBuffer();
        m = P_ENTITY_UNICODE.matcher(s);
        while (m.find())
        {
            String match = m.group(1);
            int decimal = Integer.valueOf(match, 16).intValue();
            m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));
        }
        m.appendTail(buf);
        s = buf.toString();

        buf = new StringBuffer();
        m = P_ENCODE.matcher(s);
        while (m.find())
        {
            String match = m.group(1);
            int decimal = Integer.valueOf(match, 16).intValue();
            m.appendReplacement(buf, Matcher.quoteReplacement(chr(decimal)));
        }
        m.appendTail(buf);
        s = buf.toString();

        s = validateEntities(s);
        return s;
    }

    private String validateEntities(String s)
    {
        StringBuffer buf = new StringBuffer();


        Matcher m = P_VALID_ENTITIES.matcher(s);
        while (m.find())
        {
            String one = m.group(1);
            String two = m.group(2);
            m.appendReplacement(buf, Matcher.quoteReplacement(checkEntity(one, two)));
        }
        m.appendTail(buf);

        return encodeQuotes(buf.toString());
    }

    private String encodeQuotes(String s)
    {
        if (this.encodeQuotes)
        {
            StringBuffer buf = new StringBuffer();
            Matcher m = P_VALID_QUOTES.matcher(s);
            while (m.find())
            {
                String one = m.group(1);
                String two = m.group(2);
                String three = m.group(3);
                m.appendReplacement(buf, Matcher.quoteReplacement(one + regexReplace(P_QUOTE, "&quot;", two) + three));
            }
            m.appendTail(buf);
            return buf.toString();
        }
        return s;
    }

    private String checkEntity(String preamble, String term)
    {
        return "&amp;" + preamble;
    }

    private boolean isValidEntity(String entity)
    {
        return inArray(entity, this.vAllowedEntities);
    }

    private static boolean inArray(String s, String[] array)
    {
        for (String item : array) {
            if ((item != null) && (item.equals(s))) {
                return true;
            }
        }
        return false;
    }

    private boolean allowed(String name)
    {
        return ((this.vAllowed.isEmpty()) || (this.vAllowed.containsKey(name))) && (!inArray(name, this.vDisallowed));
    }

    private boolean allowedAttribute(String name, String paramName)
    {
        return (allowed(name)) && ((this.vAllowed.isEmpty()) || (((List)this.vAllowed.get(name)).contains(paramName)));
    }
}

项目如果使用的富文本编辑器,记得接收后转回去

public static String decodeXXS(String html){
        html = html.replaceAll("65308","<");
        html = html.replaceAll("65310",">");
        html = html.replaceAll("&amp;","&");
        html = html.replaceAll("&quot;","<");
        html = html.replaceAll("&lt;","<");
        html = html.replaceAll("&gt;",">");

        return html;
    }

SpringMvc 在web.xml配置过滤器

 <!-- Xss -->
    <filter>
        <filter-name>XssFilter</filter-name>
        <filter-class>com.qc.config.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

Springboot

@Configuration
public class WebSecurityConfig {

    @Bean
    public FilterRegistrationBean<XssFilter> xssFilterRegistration() {
        FilterRegistrationBean<XssFilter> registration = new FilterRegistrationBean<>();
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*"); // 过滤所有请求,根据需要调整
        registration.setName("xssFilter");
        registration.setOrder(1); // 设置优先级,确保在Spring Security等过滤器之前
        return registration;
    }
}

spring cloud gateway 过滤器防止跨站脚本攻击(存储XSS、反射XSS
qq_26801767的博客
05-20 8649
spring cloud gateway 过滤器防止跨站脚本攻击背景接下来直接上代码CacheBodyGlobalFilterXssRequestGlobalFilterXssResponseGlobalFilter.javaXssCleanRuleUtils.java 背景 <spring-boot.version>2.1.4.RELEASE</spring-boot.version> <spring-cloud.version>Greenwich.RELEASE&lt
java过滤跨站脚本攻击_SpringBoot过滤XSS脚本攻击
weixin_33900916的博客
02-24 373
前排提醒源码在最后XSS攻击是什么XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web客户将代码植入到提供给其它客户使用的页面中。简而言之,就是作恶客户通过表单提交少量前台代码,假如不做解决的话,这些前台代码将会在展现的时候被浏览器执行。如何避免...
防止XSS跨站脚本攻击Java过滤器
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
Spring项目——抵御跨站脚本(XSS)攻击
Huisoul的博客
11-11 2645
一、概念介绍 1、XSS攻击的危害 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网 页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实 际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击 者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种 内容。 例如用户在发帖或者注册的时候,在文本框中输入 < script &gt
struts2如何防止XSS脚本攻击(XSS跨站脚本攻击过滤器
qq_37996327的博客
07-10 742
struts2如何防止XSS脚本攻击(XSS跨站脚本攻击过滤器
网络安全之基于过滤器防御xss脚本攻击
zyxpython的博客
05-07 799
过滤器和拦截器
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 1083
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
springboot抵御即跨站脚本(XSS)攻击
deng_zhihao692817的专栏
05-11 1156
XSS攻击通常指的是通过利用网站系统保存系统的漏洞,通过巧妙的方法把恶意指令注入到网页,用户加载网页的时候会自动执行恶意脚本。2.在自己的com.xxx.filter.xss包新建类XssHttpServletRequestWrapper。如果客户能在你的浏览器执行javascript,那么就能窃取cookie或者token。7. 但是呢,同时也把html的标签也过滤掉了,我不想过滤掉html标签。3. 再建个XssFilter。4. 最后一步是在启动文件里加上。抵御即跨站脚本(XSS)攻击。
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 2477
XSS跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击。
xssjava 修复XSS跨站脚本漏洞XssFilter实现防止XSS攻击
qq_35320491的博客
07-11 1458
<filter> <filter-name>xssFilter</filter-name> <filter-class>com.wj.apps.base.filter.XssFilter</filter-class> </filter> <filter-mapping> <filter-name>xssFilter</filter-name> <url-patte
Spring MVC文件上传详解
持续输出Java相关知识
08-07 968
SpringMVC文件上传实现指南 本文详细介绍了使用SpringMVC实现文件上传功能的全过程。首先阐述了文件上传的核心原理,包括multipart/form-data编码方式和MultipartResolver接口的作用。接着讲解了表单配置要求和两种主要实现方式(CommonsMultipartResolver和StandardServletMultipartResolver)的依赖配置与对比。 文章重点展示了单文件和多文件上传的代码实现,并深入探讨了高级功能实现,包括文件大小限制、类型校验、安全加固和
嵌入式筑基之volatile
qq_51275272的博客
08-08 411
本文深入解析嵌入式开发中volatile关键字的核心作用与使用场景。它如同嵌入式系统的"免疫系统",防止编译器优化导致程序异常。主要应用于:1)硬件寄存器访问,确保每次读取真实状态;2)中断服务程序共享变量,保证主程序能获取最新值;3)多线程共享数据;4)特殊内存区域。
黑马SpringAI项目-聊天机器人
he___H的博客
08-09 590
跟尚庭公寓并为简历项目
SpringMvc的原理深度剖析及源码解读
gonghua0502的专栏
08-07 755
文章主要讲解了SpringServletContainerInitializer类初始化的过程。拦截器与过滤器区别及应用场景。DispatcherServlet处理流程。控制器初始化涉及文件解析器、本地化解析器等组件配置。适配器模式支持多种handler类型,包括Controller继承、HTTP请求和注解方式。异步实现可通过@Async注解或Callable类,需在配置类中开启异步支持。
Spring学习笔记:Spring AOP入门以及基于Spring AOP配置的深入学习与使用
最新发布
FeiChangWuRao的博客
08-09 656
AOP面向切面编程,通过提供一种程序结构的思考方式来补充面向对象的编程。(面向对象编程 OOP)首先代码是面向业务的,业务也有轻重缓急,也就是有的业务是核心业务,有的业务是非核心业务。比如说消息系统,接受和发送消息是核心业务,对于日志,异常报错处理,以及具体的校验就是非核心业务。这些业务是在一起的,这样让系统运作起来,只有核心业务可能系统最起码的安全性和稳定性都提供不了。但是没有核心业务,这些非核心业务也没有什么必要。
MCP协议与Spring AI框架实战
沙门空海
08-06 834
摘要 MCP协议(Model Context Protocol)是Anthropic公司推出的标准化AI交互接口协议,旨在解决大模型与外部工具、数据源之间的交互问题。该协议采用客户端-服务器架构,支持STDIO、SSE和Streamable HTTP三种通信模式,核心要素包括Prompts、Resources和Tools,具有统一接口、动态加载和安全访问等优势。 Spring AI是Spring社区推出的Java AI应用框架,简化了AI技术集成。其特点包括:1) 统一API支持多种AI模型;2) 模块化设
Spring 框架中提供Aware接口,实现感知容器对象
小凯的博客
08-09 668
Spring 框架中提供Aware接口,实现感知容器对象
SpringBoot如何固定版本
埃泽漫笔
08-07 339
Spring Boot 项目中,固定版本主要是为了确保项目依赖的库版本一致,避免因版本不一致导致的兼容性问题。是最常见的方法之一。这样,所有 Spring Boot 相关的依赖都会使用这个版本中定义的版本号。来管理依赖版本,这样可以减少手动管理版本的工作量,并且更容易保持依赖的一致性。这种方法虽然灵活,但需要手动管理每个依赖的版本,比较繁琐,且容易出错。作为父 POM,或者你的项目已经有了其他的父 POM,你可以使用。如果你希望完全控制所有依赖的版本,可以手动在。
后端开发中如何有效防止XSS跨站脚本攻击
03-29
在后端开发中防止XSS跨站脚本攻击)需要结合输入过滤、输出编码、安全策略等多层防护机制。以下是分步骤的解决方案: --- ### 一、理解XSS攻击类型 1. **反射型XSS** 攻击脚本通过URL参数注入,后端直接返回未...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

亲亲果果果冻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值