【快学springboot】15、SpringBoot过滤XSS脚本攻击

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了【快学springboot】15、SpringBoot过滤XSS脚本攻击相关的知识,希望对你有一定的参考价值。

参考技术A

XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

简而言之,就是作恶用户通过表单提交一些前端代码,如果不做处理的话,这些前端代码将会在展示的时候被浏览器执行。

解决XSS攻击,可以通过后端对输入的数据做过滤或者转义,使XSS攻击代码失效。

对于过滤XSS脚本的代码,通过搜索引擎可以搜索到很多,但似乎都不是那么全面。基本上都是只能过滤querystring(表单类型)类型的入参,而不能过滤json类型的入参。其实,在现在的开发中,更多的是使用json类型做数据交互。下面就直接贴代码了:

这里重写了两个方法:getParameter和getParameterValues,getParameter方法是直接通过request获得querystring类型的入参调用的方法。如果是通过springMVC注解类型来获得参数的话,走的是getParameterValues的方法。大家可以通过打印一个输出来验证一下。

StringEscapeUtils.escapehtml4这个方法来自Apache的工具类,maven坐标如下:

过滤的代码写完了,下面就是在一个filter中应用该代码。

过滤表单类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码:

代码如下:

这里是通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过第一种方法,重写getInputStream方法来实现,这里我就不做演示了(通过json类型传参会走getInputStream方法,通过重写该方法打印输出可以证明)。

TestController.java

下面通过postman测试下效果:

可以看到,js代码已经经过转义。转义过后的代码,即使前端读取过去了,也不会被浏览器执行的。

Springboot 常用注解

@SpringBootApplication:

??包含@Configuration、@EnableAutoConfiguration、@ComponentScan通常用在主类上。
??很多SpringBoot开发者总是使用@Configuration,@EnableAutoConfiguration和 @ComponentScan注解他们的main类。由于这些注解被如此频繁地一块使用,SpringBoot提供一个方便的@SpringBootApplication选择。该[email protected]注解等价于以默认属性使用@Configuration, @EnableAutoConfiguration和 @ComponentScan。
针对性的了解@SpringBootApplication注解可以参考?点击打开链接

@Repository:

??用于标注数据访问组件,即DAO组件。

@Service:

?用于标注业务层组件。

@RestController:

??用于标注控制层组件(如struts中的action),包含@Controller和@ResponseBody。4.0重要的一个新的改进是@RestController注解,它继承自@Controller注解。4.0之前的版本,spring?MVC的组件都使用@Controller来标识当前类是一个控制器servlet。使用这个特性,我们可以开发REST服务的时候不需要使用@Controller而专门的@RestController。
?当你实现一个RESTful webservices的时候,response将一直通过response body发送。为了简化开发,Spring 4.0提供了一个专门版本的controller。
[email protected] 注解提供路由信息。它告诉Spring任何来自"/"路径的HTTP请求都应该被映射到 home 方法。
[email protected]注解告诉Spring以字符串的形式渲染结果,并直接返回给调用者

@ResponseBody:

??表示该方法的返回结果直接写入HTTP response body中一般在异步获取数据时使用,在使用@RequestMapping后,返回值通常解析为跳转路径,加上@responsebody后返回结果不会被解析为跳转路径,而是直接写入HTTP response body中。比如异步获取json数据,加上@responsebody后,会直接返回json数据。

@Component:

??泛指组件,当组件不好归类的时候,我们可以使用这个注解进行标注。

@ComponentScan:

??组件扫描。个人理解相当于<context:component-scan>,如果扫描到有@[email protected] @Service等这些注解的类,则把这些类注册为bean。

@Configuration:

??指出该类是 Bean配置的信息源,相当于XML中的<beans></beans>,一般加在主类上。

??Spring Boot提倡基于Java的配置。尽管你可以使用一个XML源来调用 SpringApplication.run() ,我们通常建议你使用 @Configuration类作为主要源。一般定义 main方法的类也是主要 @Configuration的一个很好候选。你不需要将所有的 @Configuration放进一个单独的类。 @Import注解可以用来导入其他配置类。另外,你也可以使用 @ComponentScan注解自动收集所有的Spring组件,包括 @Configuration类。

??如果你绝对需要使用基于XML的配置,我们建议你仍旧从一个 @Configuration类开始。你可以使用附加的 @ImportResource注解加载XML配置文件。

[email protected]注解该类,等价与XML中配置beans;用@Bean标注方法等价于XML中配置bean

[email protected](basePackages= "com.hyxt",includeFilters = {@ComponentScan.Filter(Aspect.class)})?

@Bean:

??相当于XML中的<bean></bean>,放在方法的上面,而不是类,意思是产生一个bean,并交给spring管理。

@EnableAutoConfiguration:

??让 Spring Boot根据应用所声明的依赖来对 Spring框架进行自动配置,一般加在主类上。

??这个注解告诉Spring Boot根据添加的jar依赖猜测你想如何配置Spring。由于 spring-boot-starter-web 添加了Tomcat和Spring MVC,所以auto-configuration将假定你正在开发一个web应用并相应地对Spring进行设置。Starter POMs和Auto-Configuration:设计auto-configuration的目的是更好的使用"StarterPOMs",但这两个概念没有直接的联系。你可以自由地挑选starter POMs以外的jar依赖,并且Spring Boot将仍旧尽最大努力去自动配置你的应用。

??你可以通过将@EnableAutoConfiguration或@SpringBootApplication注解添加到一个 @Configuration类上来选择自动配置。
??注:你只需要添加一个 @EnableAutoConfiguration注解。我们建议你将它添加到主 @Configuration类上。

??如果发现应用了你不想要的特定自动配置类,你可以使用 @EnableAutoConfiguration注解的排除属性来禁用它们。

@AutoWired:

??byType方式。把配置好的Bean拿来用,完成属性、方法的组装,它可以对类成员变量、方法及构造函数进行标注,完成自动装配的工作。当加上(required=false)时,就算找不到bean也不报错。

@Qualifier:

??当有多个同一类型的Bean时,可以用@Qualifier("name")来指定。与@Autowired配合使用

@Resource(name="name",type="type"):

??没有括号内内容的话,默认byName。与@Autowired干类似的事。

@RequestMapping:

??RequestMapping是一个用来处理请求地址映射的注解,可用于类或方法上。用于类上,表示类中的所有响应请求的方法都是以该地址作为父路径。

该注解有六个属性:

    params:指定request中必须包含某些参数值是,才让该方法处理。

    headers:指定request中必须包含某些指定的header值,才能让该方法处理请求。

    value:指定请求的实际地址,指定的地址可以是URI Template模式

    method:指定请求的method类型, GET、POST、PUT、DELETE等

    consumes:指定处理请求的提交内容类型(Content-Type),如application/json,text/html;

    produces:指定返回的内容类型,仅当request请求头中的(Accept)类型中包含该指定类型才返回

@RequestParam:

??用在方法的参数前面。@RequestParam Stringa=request.getParameter("a")。

@PathVariable:

??路径变量。参数与大括号里的名字一样要相同。

RequestMapping("user/get/mac/{macAddress}")
public String getByMacAddress(@PathVariable StringmacAddress){
//do something;
}

@Profiles

??Spring Profiles提供了一种隔离应用程序配置的方式,并让这些配置只能在特定的环境下生效。

??任何@Component或@Configuration都能被@Profile标记,从而限制加载它的时机。

@Configuration

@Profile("prod")

publicclass ProductionConfiguration {

// ...

}

@ConfigurationProperties

??Spring Boot将尝试校验外部的配置,默认使用JSR-303(如果在classpath路径中)。你可以轻松的为你的@ConfigurationProperties类添加JSR-303javax.validation约束注解:全局异常处理

@ControllerAdvice:
??包含@Component。可以被扫描到。统一处理异常。

@ExceptionHandler(Exception.class):
??用在方法上面表示遇到这个异常就执行以下方法。

@ControllerAdvice:
??包含@Component。可以被扫描到。统一处理异常。

@ExceptionHandler(Exception.class):

??用在方法上面表示遇到这个异常就执行以下方法。


/**

*全局异常处理

*/?

@ControllerAdvice?

classGlobalDefaultExceptionHandler {?

public static final StringDEFAULT_ERROR_VIEW = "error";?

@ExceptionHandler({TypeMismatchException.class,NumberFormatException.class})?
publicModelAndView formatErrorHandler(HttpServletRequest req, Exception e)throws Exception {?
    ModelAndView mav =new ModelAndView();?
    mav.addObject("error","参数类型错误");?
    mav.addObject("exception", e);?
    mav.addObject("url",RequestUtils.getCompleteRequestUrl(req));?
    mav.addObject("timestamp",newDate());?
    mav.setViewName(DEFAULT_ERROR_VIEW);?
    return mav;?
}}?

通过@value注解来读取application.properties里面的配置

    # face++ key?
    face_api_key =R9Z3Vxc7ZcxfewgVrjOyrvu1d-qR****?
    face_api_secret=D9WUQGCYLvOCIdsbX35uTH********?

    @Value("${face_api_key}")?
    privateString API_KEY;?

    @Value("${face_api_secret}")?
    privateString API_SECRET;?

所以一般常用的配置都是配置在application.properties文件的

文章来源: https://blog.csdn.net/qq_35098526/article/details/78921190

以上是关于【快学springboot】15、SpringBoot过滤XSS脚本攻击的主要内容,如果未能解决你的问题,请参考以下文章

「快学springboot」SpringBoot整合freeMark模板引擎

SpringBoot入门基础:介绍

Springboot 常用注解

SpringBoot技术优点

SpringBoot(17)---SpringBoot整合RocketMQ

SpringBoot入门知识