18.若依框架中的xss过滤器

原创 于 2025-08-01 16:38:01 发布 · 265 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #spring boot

XSS(Cross-SiteScripting,跨站脚本攻击)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本,当其他用户浏览该网页时,这些脚本会在用户的浏览器中执行,从而达到攻击目的。

核心过滤方法, 使用EscapeUtil.clean 过滤掉特殊字符。
在这里插入图片描述

public String[] getParameterValues(String name)
    {
        String[] values = super.getParameterValues(name);
        if (values != null)
        {
            int length = values.length;
            String[] escapesValues = new String[length];
            for (int i = 0; i < length; i++)
            {
                // 防xss攻击和过滤前后空格
                escapesValues[i] = EscapeUtil.clean(values[i]).trim();
            }
            return escapesValues;
        }
        return super.getParameterValues(name);
    }

同时通过配置文件,指明哪些url不需要执行过滤器,哪些请求需要执行过滤器
在这里插入图片描述
上面的过滤器是在系统级做的XSS拦截

若依通过自定义XSS注解,实现XSS攻击检测

XSS注解定义

Java Bean Validation 规范要求: 任何自定义约束注解(@Constraint)必须包含 message()、groups() 和 payload() 这三个方法,否则无法通过编译。

@Retention(RetentionPolicy.RUNTIME)
@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Constraint(validatedBy = { XssValidator.class })
public @interface Xss
{
    String message()

    default "不允许任何脚本运行";

    Class<?>[] groups() default {};

    Class<? extends Payload>[] payload() default {};
}

注解实现,下面代码比较简单,检测到<>等可能涉及到脚本注入的标签,则认为验证不通过

public class XssValidator implements ConstraintValidator<Xss, String>
{
    private static final String HTML_PATTERN = "<(\\S*?)[^>]*>.*?|<.*? />";

    @Override
    public boolean isValid(String value, ConstraintValidatorContext constraintValidatorContext)
    {
        if (StringUtils.isBlank(value))
        {
            return true;
        }
        return !containsHtml(value);
    }

    public static boolean containsHtml(String value)
    {
        StringBuilder sHtml = new StringBuilder();
        Pattern pattern = Pattern.compile(HTML_PATTERN);
        Matcher matcher = pattern.matcher(value);
        while (matcher.find())
        {
            sHtml.append(matcher.group());
        }
        return pattern.matcher(sHtml).matches();
    }
}
若依微服务特殊字符串被过滤的解决办法
猿小白的博客
06-23 1421
在使用若依微服务过程,有的会发现使用富文本上传的时候,后端接受到的文本值中的html标签都被过滤掉了,这是因为,框架默认所有的都会过滤脚本,可以在ruoyi-gateway-dev.yml配置xss.excludeUrls属性排除URL。...
【RuoYi-Vue-Plus】学习笔记 44 - XSS 过滤器以及 @Xss 注解简单分析
MichelleChung的星球
11-25 5246
简单分析 XSS 过滤器以及 @Xss 注解。
XSS过滤 XssFilter
LIUYEYEA的博客
11-02 3012
跨站脚本攻击,为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的
若依框架之Filter过滤器Interceptor拦截器Spring AOP切面(1)
最新发布
yun2223的专栏
05-19 1004
本文简要介绍了Spring框架中的过滤器、拦截器和切面AOP的概念及其应用。过滤器主要用于处理HTTP请求,如设置字符编码和鉴权操作,但无法获取处理请求方法的信息。拦截器则能获取请求信息和处理方法,但无法获取方法参数,常用于请求生命周期的介入。切面AOP基于方法切入,能获取方法参数,常用于日志记录和数据过滤等操作。文章还通过若依框架中的具体实现,展示了这些组件的实际应用,如JwtAuthenticationTokenFilter、RepeatSubmitInterceptor和LogAspect等。通过这些
XSS过滤器
spum_的博客
08-27 404
【代码】XSS过滤器
Xss过滤器
weixin_43326384的博客
11-30 731
package com.my.filter; import com.my.bean.XssRequest; import org.springframework.context.annotation.Configuration; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.ser...
【亲测免费】 高效且安全的XSS过滤器:Secure XSS Filters
gitblog_00035的博客
05-15 476
高效且安全的XSS过滤器:Secure XSS Filters 在网络安全日益重要的今天,防止跨站脚本(XSS)攻击是每个Web开发者不容忽视的任务。这就是我们推荐使用Secure XSS Filters的原因,这是一个由Yahoo开发的JavaScript库,旨在提供更安全、快速并符合标准的输出过滤策略,以避免XSS攻击。 项目介绍 Secure XSS Filters是一套精心设计的输出过滤工...
【若依(ruoyi)】shiro 内置的过滤器(filter)
sayyy的专栏
09-07 4361
前言 shiro: 1.5.3 若依(ruoyi): v4.3 (测试shiro的环境) shiro 内置的过滤器(filter) Filter Name Class anon org.apache.shiro.web.filter.authc.AnonymousFilter authc org.apache.shiro.web.filter.authc.FormAuthenticationFilter authcBasic org.apache.shiro.web.filter
XSS HTMLFILTER
10-07
你还在为防范xss注入攻击而头疼吗,开源的XSS HTMLFILTER工具类能帮你过滤表单或链接中敏感的js html字符,有完整的源代码和代码示例 为您的系统增添xss的第一道防护
java web Xss及sql注入过滤器.zip
04-22
本项目"java web Xss及sql注入过滤器.zip"就是针对这两种威胁提供的一种解决方案,基于流行的Spring Boot 2.0框架进行开发。 XSS 攻击是通过在网页中插入恶意脚本,当其他用户访问该页面时,这些脚本会被执行,从而...
springboot2.x使用Jsoup防XSS攻击的实现
10-15
XSS攻击的基本原理是攻击者通过注入恶意脚本到网页中,当受害者访问这些被篡改的网页时,恶意脚本会在用户的浏览器上下文中执行。为了防范这类攻击,开发者需要对用户输入的数据进行严格的过滤和转义处理。 在...
xss特殊字符拦截与过滤
04-01
通常这类防护措施会在Web框架层面或者中间件层面提供,用户只需要简单配置即可实现防护,但开发者也可以根据需要实现自己的XSS过滤策略。 最后,代码中的注释和变量命名使用了非标准的字符(如:涵, Σ, æ, 刘海, ...
XSS利用与挖掘-_更新版.rar_Exploit_XSS_XSS 利用_pkav_web exploit
09-23
5. **自动化工具**:使用XSS扫描器或渗透测试框架,如Burp Suite、Nessus等进行自动化检测。 6. **模糊测试**:发送随机或特殊字符组合,查找可能导致异常的输入点。 7. **源代码审查**:人工检查代码,找出可能的...
XSS攻击解决方案之一(过滤器
willie_chen的专栏
08-23 4750
一、XssFilter.java package com.stylefeng.roses.core.xss; import javax.servlet.*; import javax.servlet.http.HttpServletRequest; import java.io.IOException; import java.util.List; public class XssFi...
XSS漏洞解决方案之一:过滤器
MyDriverC
10-09 832
http://www.2cto.com/Article/201309/247100.html 一:web.xml文件   ? 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
XSS过滤器的实现
weixin_33834679的博客
03-18 1063
一、XSS是什么   全称跨站脚本(cross site script)XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。 比如在input框中填写了可以执行的javascript脚本,而后台并没有做过滤与校验。 二、过滤器是什么   过滤器,顾名思义过滤某种物质的设备,在Java中用...
XSS过滤JAVA过滤器filter 防止常见SQL注入
weixin_34092370的博客
04-08 465
出处: https://www.cnblogs.com/hero123/p/9091625.html Java项目中XSS过滤器的使用方法。 简单介绍: XSS : 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意html代码...
绕过 Web 应用程序中的 XSS 过滤器
allway2的博客
07-24 575
规避跨站脚本 (XSS) 漏洞的两种主要技术是 XSS 过滤和 XSS 转义。然而,XSS 过滤是不可取的,因为它通常可以利用巧妙的策略来规避。在本教程中,我们将说明黑客可能在其恶意代码中利用的一些技术,以轻松绕过 Web 应用程序中的 XSS 过滤器XSS 过滤器通过定位可部署为跨站点脚本攻击向量的普通模式并从用户输入数据中删除此类代码片段来运行。最常使用正则表达式发现模式。这是非常困难的,因为可以表示跨站点脚本有效负载的模式也可以作为网页内容合法部署。因此,过滤器应该能够避免误报。此外,Firefox
XSS漏洞修补及预防--使用过滤器
热门推荐
YouXu
03-16 1万+
什么是XSS攻击 : XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。
Valid XSS过滤器框架
12-26
Valid XSS(跨站脚本)过滤器框架是一个预防Web应用受到XSS攻击的过程,它主要包括以下几个部分: 1. **输入阶段**:用户在网站上输入文本或数据时,前端需要对输入进行初步清理,移除可能导致XSS的HTML标签、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明神特烦恼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值