Springboot實現(xiàn)XSS漏洞過濾的示例代碼

更新時間：2021年01月22日 16:05:10 作者：善良的小黑哥

這篇文章主要介紹了Springboot實現(xiàn)XSS漏洞過濾的示例代碼，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

背景

前陣子做了幾個項目，終于開發(fā)完畢，進入了測試階段，信心滿滿將項目部署到測試環(huán)境，然后做了安全測評之后.....

(什么！你竟然說我代碼不安全？？？)

然后測出了 Xss漏洞 安全的問題

解決方案

場景：可以在頁面輸入框輸入JS腳本， 攻擊者可以利用此漏洞執(zhí)行惡意的代碼 ！

問題演示

所以我們要對于前端傳輸?shù)膮?shù)做處理，做統(tǒng)一全局過濾處理

既然要過濾處理，我們首先需要實現(xiàn)一個自定義過濾器

總共包含以下四部分

XssUtil
XssFilterAutoConfig
XssHttpServletRequestWrapper
XssStringfJsonDeserializer

最后我們需要在全局過濾器中使用我們實現(xiàn)的Xss自定義過濾器

代碼實現(xiàn)

XssFilterAtuoConfig實現(xiàn)代碼

 import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import net.greatsoft.overallbudget.filter.SimpleCORSFilter;
import org.springframework.boot.context.embedded.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;

/**
 * Created by wjy on 2020/11/5.
 * xss 自動配置類
 */
@Configuration
public class XssFilterAtuoConfig {

  /**
   * 注冊自定義過濾器
   * @return
   */
  @Bean
  public FilterRegistrationBean xssFiltrRegister() {
    FilterRegistrationBean registration = new FilterRegistrationBean();
    //設置系統(tǒng)過濾器 (setFilter就是你所定義的過濾器filter類)
    registration.setFilter(new SimpleCORSFilter());
    //過濾所有路徑
    registration.addUrlPatterns("/*");
    //過濾器名稱
    registration.setName("XssFilter");
    //優(yōu)先級
    registration.setOrder(1);
    return registration;
  }

  /**
   *  過濾JSON數(shù)據(jù)
   * @return
   */
  @Bean
  @Primary
  public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
    SimpleModule module = new SimpleModule();
    //自定義序列化過濾配置(XssStringJsonDeserializer), 對入?yún)⑦M行轉(zhuǎn)譯
    module.addDeserializer(String.class, new XssStringJsonDeserializer());
    // 注冊解析器
    ObjectMapper objectMapper = Jackson2ObjectMapperBuilder.json().build();
    objectMapper.registerModule(module);
    return new MappingJackson2HttpMessageConverter(objectMapper);
  }
}

XssHttpServletRequestWrapper實現(xiàn)代碼

/**
 * Created by wjy on 2020/11/5.
 * xss 包裝
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {

  public XssHttpServletRequestWrapper(HttpServletRequest request) {
    super(request);
  }

  /**
   * 對header處理
   * @param name
   * @return
   */
  @Override
  public String getHeader(String name) {
    String value = super.getHeader(name);
    return XssUtil.cleanXSS(value);
  }

  /**
   * 對參數(shù)處理
   * @param name
   * @return
   */
  @Override
  public String getParameter(String name) {
    String value = super.getParameter(name);
    return XssUtil.cleanXSS(value);
  }

  /**
   * 對數(shù)值進行處理
   * @param name
   * @return
   */
  @Override
  public String[] getParameterValues(String name) {
    String[] values = super.getParameterValues(name);
    if (values != null) {
      int length = values.length;
      String[] escapseValues = new String[length];
      for (int i = 0; i < length; i++) {
        escapseValues[i] = XssUtil.cleanXSS(values[i]);
      }
      return escapseValues;
    }
    return super.getParameterValues(name);
  }

  /**
   * 主要是針對HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE 獲取pathvalue的時候把原來的pathvalue經(jīng)過xss過濾掉
   */
  @Override
  public Object getAttribute(String name) {
    // 獲取pathvalue的值
    if (HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE.equals(name)) {
      Map uriTemplateVars = (Map) super.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);
      if (Objects.isNull(uriTemplateVars)) {
        return uriTemplateVars;
      }
      Map newMap = new LinkedHashMap<>();
      uriTemplateVars.forEach((key, value) -> {
        if (value instanceof String) {
          newMap.put(key, XssUtil.cleanXSS((String) value));
        } else {
          newMap.put(key, value);

        }
      });
      return newMap;
    } else {
      return super.getAttribute(name);
    }
  }
}

XssStringJsonDeserializer代碼實現(xiàn)

 /**
 * Created by wjy on 2020/11/5.
 * 基于xss的JsonDeserializer
 */
public class XssStringJsonDeserializer extends JsonDeserializer<String> {


  @Override
  public Class<String> handledType() {
    return String.class;
  }

  @Override
  public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException {
    return XssUtil.cleanXSS(jsonParser.getValueAsString());
  }
}

XssUtil代碼實現(xiàn)

 /**
 * Created by wjy on 2020/11/5.
 * xss工具類
 */
public class XssUtil {

  public static String cleanXSS(String value) {
    if (Objects.isNull(value)) {
      return value;
    }
    //在這里自定義需要過濾的字符
    value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
    value = value.replaceAll("(", "& #40;").replaceAll(")", "& #41;");
    value = value.replaceAll("'", "& #39;");
    value = value.replaceAll("eval((.*))", "");
    value = value.replaceAll("["'][s]*javascript:(.*)["']", """");
    value = value.replaceAll("<script>", "");
    return value;
  }
}

全局過濾器實現(xiàn)

 @Component
public class SimpleCORSFilter implements Filter {

  @Override
  public void doFilter(ServletRequest req, ServletResponse res,
      FilterChain chain) throws IOException, ServletException {
    // 在這里，使用我們實現(xiàn)的XSS過濾器
    XssHttpServletRequestWrapper request =
        new XssHttpServletRequestWrapper((HttpServletRequest) req);

    HttpServletResponse response = (HttpServletResponse) res;
    response.setHeader("Access-Control-Allow-Origin", "*");
    response.setHeader("Access-Control-Allow-Methods",
        "POST, GET, PUT, OPTIONS, DELETE");
    response.setHeader("Access-Control-Max-Age", "3600");
    response.setHeader("Access-Control-Allow-Headers",
        "Origin, X-Requested-With, Content-Type, Accept, token");
    
    chain.doFilter(request, response);
    
  }

  public void init(FilterConfig filterConfig) {
  }

  public void destroy() {
  }

}

到此這篇關于Springboot實現(xiàn)XSS漏洞過濾的示例代碼的文章就介紹到這了,更多相關Springboot XSS漏洞過濾內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

JPA使用樂觀鎖應對高并發(fā)方式
這篇文章主要介紹了JPA使用樂觀鎖應對高并發(fā)方式，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-10-10
Java檢測線程中斷狀態(tài)的方法示例
這篇文章主要介紹了Java檢測線程中斷狀態(tài)的方法,結(jié)合實例形式分析了java針對線程中斷狀態(tài)檢測的相關實現(xiàn)技巧,需要的朋友可以參考下
2019-10-10
詳解Java如何實現(xiàn)一個優(yōu)秀的散列表
這篇文章主要通過簡單的示例為大家詳細介紹了在Java中如何實現(xiàn)一個優(yōu)秀的散列表，文中的示例代碼講解詳細，具有一定的參考價值，需要的可以了解一下
2023-07-07
Springboot?集成spring?cache緩存的解決方案
這篇文章主要介紹了Springboot?集成spring?cache緩存,使用緩存最關鍵的一點就是保證緩存與數(shù)據(jù)庫的數(shù)據(jù)一致性，本文給大家介紹最常用的緩存操作模式，對Springboot?集成spring?cache緩存操作流程感興趣的朋友一起看看吧
2022-06-06
詳解Java中Period類的使用方法
Period類通過年、月、日相結(jié)合來描述一個時間量，最高精度是天。本文將通過示例詳細為大家講講Period類的使用，需要的可以參考一下
2022-05-05
IntelliJ IDEA中如何構(gòu)建Spring Boot的項目
這篇文章主要介紹了IntelliJ IDEA中如何構(gòu)建Spring Boot的項目問題，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2023-07-07
淺析Java Scanner 類的用法
這篇文章主要介紹了Java Scanner 類的用法，文中講解非常詳細，代碼幫助大家更好的理解和學習，感興趣的朋友可以了解下
2020-07-07
一文帶你了解SpringBoot中啟動參數(shù)的各種用法
在使用 Spring Boot開發(fā)應用時,我們通常需要根據(jù)不同的環(huán)境或特定需求調(diào)整啟動參數(shù),那么,Spring Boot 提供了哪些方式來配置這些啟動參數(shù)呢,下面小編就來和大家介紹一下吧
2025-03-03
如何用Java?幾分鐘處理完?30?億個數(shù)據(jù)(項目難題)
現(xiàn)有一個 10G 文件的數(shù)據(jù)，里面包含了 18-70 之間的整數(shù)，分別表示 18-70 歲的人群數(shù)量統(tǒng)計，今天小編通過本文給大家講解如何用Java?幾分鐘處理完?30?億個數(shù)據(jù)，這個問題一直以來是項目難題，今天通過本文給大家詳細介紹下，感興趣的朋友一起看看吧
2022-07-07
詳解快速排序算法中的區(qū)間劃分法及Java實現(xiàn)示例
這篇文章主要介紹了詳解快速排序算法中的區(qū)間劃分法及Java實現(xiàn)示例,文中分別介紹了快排時兩種區(qū)間劃分的思路,需要的朋友可以參考下
2016-04-04