【Springboot】Xss过滤

最新推荐文章于 2025-06-05 09:31:37 发布
最新推荐文章于 2025-06-05 09:31:37 发布
阅读量1.1k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: springboot 文章标签: xss 过滤 文件 springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xia744510124/article/details/96310700

声明:大部分代码我都是重别人博客里面复制过来的,只是稍稍的修改了一下,能够支持对文件的过滤,话不多说了,直接贴代码了!

  • 配置文件(application.properties)
# 如果不想进行Xss过滤,可以注释掉或者设置为false
common.xss-filter-open=true
  • 过滤配置类(XssFilterConfig.java)
@Configuration
@ConditionalOnProperty(prefix = "common", name = "xss-filter-open", havingValue = "true", matchIfMissing = false)
public class XSSFilterConfig {
    @Bean
    public FilterRegistrationBean filterRegistrationBean() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(xssFilter());
        registration.addInitParameter("EXCLUDED_URLS" , "" /** 不需要进行过滤的URL */);
        registration.addUrlPatterns("/*");
        registration.addInitParameter("paramName", "paramValue");
        registration.setName("xssFilter");
        return registration;
    }

    @Bean(name = "xssFilter")
    public Filter xssFilter() {
        return new XssFilter();
    }
}
  • Xss过滤器(XssFilter.java)
public class XssFilter implements Filter {

    private final static Logger LOG = LoggerFactory.getLogger(XssFilter.class);

    private String excludedUrls;
    private String[] excludedUrlArray;

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

        excludedUrls = filterConfig.getInitParameter("EXCLUDED_URLS");
        if (StringUtils.isNotBlank(excludedUrls)) {
            excludedUrlArray = excludedUrls.split(";");
        }

    }

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
            throws IOException, ServletException {

        String requestUrl = ((HttpServletRequest) req).getRequestURI();
        if (LOG.isDebugEnabled()) {
            LOG.debug("Enter into xssFilter request url {} , inputStream {}", requestUrl , req.getInputStream());
        }

        for (String url : excludedUrlArray) {
            if(requestUrl.contains(url)){
                chain.doFilter(req, res);
                return;
            }
        }

        XssHttpServletRequestWrapper xssHttpServletRequestWrapper =
                new XssHttpServletRequestWrapper((HttpServletRequest)req);

        chain.doFilter(xssHttpServletRequestWrapper, res);

    }

    @Override
    public void destroy() {

    }
}
  • 自己包装的Request(XssHttpServletRequestWrapper.java)
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

    private HttpServletRequest orgRequest;
    private byte[] body;
    private Collection<Part> parts;

    public XssHttpServletRequestWrapper(HttpServletRequest request) throws IOException {
        super(request);
        this.orgRequest = request;
        // 对文件的支持
        try {
        	this.parts = request.getParts();
        } catch(ServletException e) {
        	this.parts = null;
        }
        this.body = StreamUtils.copyToByteArray(request.getInputStream());
    }

    /**
     * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(xssEncode(name, 0));
        if (null != value) {
            value = xssEncode(value, 0);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(xssEncode(name, 0));
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = xssEncode(values[i], 0);
        }
        return encodedValues;
    }

    @Override
    public Map getParameterMap() {

        HashMap paramMap = (HashMap) super.getParameterMap();
        paramMap = (HashMap) paramMap.clone();

        for (Iterator iterator = paramMap.entrySet().iterator(); iterator.hasNext(); ) {
            Map.Entry entry = (Map.Entry) iterator.next();
            String[] values = (String[]) entry.getValue();
            for (int i = 0; i < values.length; i++) {
                if (values[i] instanceof String) {
                    values[i] = xssEncode(values[i], 0);
                }
            }
            entry.setValue(values);
        }
        return paramMap;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        ServletInputStream inputStream = null;
        String bodyStr = new String(body);
        if (StringUtils.isNotEmpty(bodyStr)) {
            bodyStr = xssEncode(bodyStr, 1);
            final ByteArrayInputStream bais = new ByteArrayInputStream(bodyStr.getBytes());
            // import org.springframework.mock.web.DelegatingServletInputStream;
            return new DelegatingServletInputStream(bais);
        }
        return inputStream;
    }

    /**
     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
     * getHeaderNames 也可能需要覆盖
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(xssEncode(name, 0));
        if (value != null) {
            value = xssEncode(value, 0);
        }
        return value;
    }

    /**
     * 将容易引起xss漏洞的半角字符直接替换成全角字符
     *
     * @param s
     * @return
     */
    private static String xssEncode(String s, int type) {
        if (s == null || s.isEmpty()) {
            return s;
        }
        StringBuilder sb = new StringBuilder(s.length() + 16);
        for (int i = 0; i < s.length(); i++) {
            char c = s.charAt(i);
            if (type == 0) {
                switch (c) {
                    case '\'':
                        // 全角单引号
                        sb.append('‘');
                        break;
                    case '\"':
                        // 全角双引号
                        sb.append('“');
                        break;
                    case '>':
                        // 全角大于号
                        sb.append('>');
                        break;
                    case '<':
                        // 全角小于号
                        sb.append('<');
                        break;
                    case '&':
                        // 全角&符号
                        sb.append('&');
                        break;
                    case '\\':
                        // 全角斜线
                        sb.append('\');
                        break;
                    case '#':
                        // 全角井号
                        sb.append('#');
                        break;
                    // < 字符的 URL 编码形式表示的 ASCII 字符(十六进制格式) 是: %3c
                    case '%':
                        processUrlEncoder(sb, s, i);
                        break;
                    default:
                        sb.append(c);
                        break;
                }
            } else {
                switch (c) {
                    case '>':
                        // 全角大于号
                        sb.append('>');
                        break;
                    case '<':
                        // 全角小于号
                        sb.append('<');
                        break;
                    case '&':
                        // 全角&符号
                        sb.append('&');
                        break;
                    case '#':
                        // 全角井号
                        sb.append('#');
                        break;
                    // < 字符的 URL 编码形式表示的 ASCII 字符(十六进制格式) 是: %3c
                    case '%':
                        processUrlEncoder(sb, s, i);
                        break;
                    default:
                        sb.append(c);
                        break;
                }
            }

        }
        return sb.toString();
    }

    public static void processUrlEncoder(StringBuilder sb, String s, int index) {
        if (s.length() >= index + 2) {
            // %3c, %3C
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'c' || s.charAt(index + 2) == 'C')) {
                sb.append('<');
                return;
            }
            // %3c (0x3c=60)
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '0') {
                sb.append('<');
                return;
            }
            // %3e, %3E
            if (s.charAt(index + 1) == '3' && (s.charAt(index + 2) == 'e' || s.charAt(index + 2) == 'E')) {
                sb.append('>');
                return;
            }
            // %3e (0x3e=62)
            if (s.charAt(index + 1) == '6' && s.charAt(index + 2) == '2') {
                sb.append('>');
                return;
            }
        }
        sb.append(s.charAt(index));
    }

    /**
     * 获取最原始的request
     *
     * @return
     */
    public HttpServletRequest getOrgRequest() {
        return orgRequest;
    }

    /**
     * 获取最原始的request的静态方法
     *
     * @return
     */
    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
        if (req instanceof XssHttpServletRequestWrapper) {
            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
        }
        return req;
    }

}

习惯性的谢谢!!!

Springboot实现XSS漏洞过滤
qq_39914899的博客
01-19 2146
前言 唉,开始变懒了,一开始计划的每次学习到新东西就要写博客记录一下,然后写了一篇文章后,就没动静了~没动静了~动静了~了~ 背景 前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ...
spring boot实战之XSS过滤
热门推荐
思与学的博客
10-06 1万+
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 你可以自己做个简单尝试: 1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){aler
SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
02-09
原理过程 Springboot中会使用FilterRegistrationBean来注册Filter,Filter是Servlet规范里面的,属于容器范围,Springboot中没有web.xml,那Springboot中,不用管Filter是如何交给Ser...SpringBoot整合XssFilter,Jsoup等实现请求参数的过滤,处理Xss攻击及sql注入.zip
Springboot过滤xss
Time_Point的博客
04-26 3640
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!
最新发布
Python84310366的博客
06-05 930
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。
springboot XSS过滤
huiyingzzx1018的博客
10-16 399
springboot XSS过滤XSS攻击是什么后端代码实现XssAndSqlHttpServletRequestWrapper.javaXssFilter.javaXssStringJsonSerializer.javaXssUtil.java XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩...
Springboot配置XSS过滤XssFilter.zip
12-31
直接可以运行,包含测试类,对HTML和SQL进行过滤,方便扩展。并且可以配置不拦截的路径,包含注释,方便学习。 博客地址:https://blog.csdn.net/u011974797/article/details/121792680
Springboot xss过滤
07-28
回答: 在Spring Boot中实现XSS过滤可以通过创建自定义过滤器来实现。首先,在Spring Boot启动类中添加过滤器扫描的注解`@ServletComponentScan("com.cpic.config.xss")`,这个注解指定了自定义过滤器的位置。同时,...
springboot XSS过滤器代码实现
06-01
以下是一个简单的Spring Boot XSS过滤器的代码实现: 1. 创建一个名为XSSFilter的Java类,并实现javax.servlet.Filter接口。 ```java @Component public class XSSFilter implements Filter { @Override public...
SpringBoot】使用过滤器进行XSS防御
morris
11-15 9900
在Spring Boot中,我们可以使用注解的方式来进行XSS防御。注解是一种轻量级的防御手段,它可以在方法或字段级别对输入进行校验,从而防止XSS攻击。 而想对全局的请求都进行XSS防御可以使用servlet中的过滤器或者spring mvc中的拦截器,这里使用servlet中的过滤器进行演示。
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
SpringBoot +esapi springSecurity 过滤器链集成 实现防止xss攻击 实战代码
spring boot xss防御
11-05
spring boot xss防御源码,博客请移步 https://mp.csdn.net/mdeditor/83617945#
Springboot配置XSS过滤XssFilter
qq_44691484的博客
04-02 4637
Springboot配置XSS过滤XssFilter
SpringBoot过滤Xss脚本攻击
wangfeng117254的博客
12-20 2503
XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 如何避免XSS攻击 解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。 代码实现 1、新建XssAndSqlHttpServletRequestWrapper.java import org.apache.comm
SpringBoot过滤XSS脚本攻击
椰汁菠萝
01-18 7305
前排提示 源码在最后 XSS攻击是什么 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值