【Springboot】@RequestBody参数过滤Xss

最新推荐文章于 2026-05-22 06:36:00 发布
原创 最新推荐文章于 2026-05-22 06:36:00 发布 · 5.2k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#SpringBoot #Xss
本文介绍了在SpringBoot中,针对@RequestBody注解处理请求参数时,由于参数以流形式存在,无法直接通过常规方式过滤Xss。文中提供了一种过滤方案,包括实现Xss过滤的filter及配置步骤,测试验证可以有效阻止script,alert等Xss攻击。" 112585190,10544741,5G双连接技术:5G与LTE协同增强网络性能,"['5G网络', '双连接技术', '网络规划', '移动通信']

在使用@RequestBody情况SpringBoot 参数并不是封装在parameter里面,所以重写getParameterValues和getParameterValue并不能解决问题,@RequestBody是流的形式,所以写Xss过滤如下:

import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.Charset;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.commons.lang.StringUtils;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.nodes.Document.OutputSettings;
import org.jsoup.safety.Whitelist;
import org.springframework.util.StreamUtils;

import com.alibaba.fastjson.JSONObject;

/**
 * XSS过滤处理
 *
 * @author ruoyi
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
	
    private static final Whitelist whitelist = createWhitelist();
    
    private static final OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    
    private byte[] requestBody;
    private Charset charSet;
     
	private static Whitelist createWhitelist() {
		return Whitelist.relaxed()
		.removeProtocols("a", "href", "ftp", "http", "https", "mailto")
		.removeProtocols("img", "src", "http", "https")

		.addAttributes("a", "href", "title", "target")  // 官方默认会将 target 给过滤掉

		/**
		 * 在 Whitelist.relaxed() 之外添加额外的白名单规则
         */
		.addTags("div", "span", "embed", "object", "param")
		.addAttributes(":all", "style", "class", "id", "name")
		.addAttributes("object", "width", "height", "classid", "codebase")
		.addAttributes("param", "name", "value")
		.addAttributes("embed", "src", "quality", "width", "height", "allowFullScreen", "allowScriptAccess", "flashvars", "name", "type", "pluginspage");
	}
	
	private static String[] filter(String[] values) {
		if ( values != null ) {
			for ( int i = 0, len = values.length; i < len; i++ ) {
				if ( values[i] != null && !"".equals(values[i]) ) {
					values[i] = Jsoup.clean(values[i], "", whitelist, outputSettings).trim();
				}
	    	}
		}
		return values;
	}
	
	private static String filter(String value) {
		if(value!=null) {
			value = Jsoup.clean(value, "", whitelist, outputSettings).trim();
		}
		return value;
	}

    /**
     * @param request
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        //缓存请求body
        try {
            String requestBodyStr = getRequestPostStr(request);
            if (StringUtils.isNotBlank(requestBodyStr)) {
            	requestBodyStr=filter(requestBodyStr);
                JSONObject resultJson = JSONObject.parseObject(requestBodyStr);
                requestBody = resultJson.toString().getBytes(charSet);
            } else {
                requestBody = new byte[0];
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    
    public String getRequestPostStr(HttpServletRequest request)
            throws IOException {
        String charSetStr = request.getCharacterEncoding();
        if (charSetStr == null) {
            charSetStr = "UTF-8";
        }
        charSet = Charset.forName(charSetStr);

        return StreamUtils.copyToString(request.getInputStream(), charSet);
    }
    
    public ServletInputStream getInputStream() {
        if (requestBody == null) {
            requestBody = new byte[0];
        }

        final ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(requestBody);

        return new ServletInputStream() {
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
            @Override
            public int read() {
                return byteArrayInputStream.read();
            }
        };
    }

再加上个filter:

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;

/**
 * xss 过滤器
 *
 * @author imsjw
 * Create Time: 2018/8/10
 */
public class XssFilter implements Filter {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request);
        chain.doFilter(xssRequest, response);
    }
    @Override
    public void destroy() {
    }
	@Override
	public void init(FilterConfig filterConfig) throws ServletException {
	}

配置filter的地方:

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class FilterConfig {
	
    @Bean
    public FilterRegistrationBean filterRegist() {
        FilterRegistrationBean frBean = new FilterRegistrationBean();
        frBean.setFilter(new XssFilter());
        frBean.addUrlPatterns("/*");
        return frBean;
    }

}

OK,大功告成。测试一下,确实是可以过滤掉script,alert这种东西。

Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式参数
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取参数的方法进行重写,对参数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
保姆级教程:用R语言ggplot2绘制染色体区间图,轻松标注QTL与基因位置
最新发布
weixin_30892889的博客
05-22 449
本文提供了一份详细的R语言ggplot2教程,教你如何绘制染色体区间图并标注QTL与基因位置。通过使用ggplot2和ggchicklet包,从数据准备到图层叠加,再到高级美化技巧,手把手教你打造专业级的生物信息学可视化图表,解决科研中的实际绘图难题。
对 Spring 中的 @RequestBody json 请求数据做 XSS 过滤
【欢迎关注公众号:冬瓜白】
11-17 3334
关于xss过滤,网上大都是是对 param的,这个很多文章了 定义过滤器。XSSFilter 不说了, 参考 https://blog.csdn.net/yucaifu1989/article/details/61616554 还有就是对所有@ResponseBody 返回内容做XSS过滤的方案: MappingJackson2HttpMessageConverter 的objectMapper 做设置 参考 百度 那么对 @RequestBody 的 json 数据怎么过滤呢: spring处
Spring Boot 3 一行代码解决通过 @RequestBody 接收 JSON 格式请求数据的 XSS 攻击
x201206030的博客
05-21 620
最近在做一个 Spring Boot 3 + Vue 3 前后端分离的开源项目。对于 POST 和 PUT 类型的请求方法,后端基本都是通过 @RequestBody 注解接收 application/json 格式的请求数据,所以以前通过过滤器 + 装饰器 HttpServletRequestWrapper 来解决 XSS 攻击的方式并不适用。
SpringBoot+Xss过滤@RequestBody参数过滤Xss
Answer0902的博客
07-07 3778
记一次SpringBoot+Xss过滤 XssFilter过滤器 import org.springframework.stereotype.Component; import org.springframework.web.multipart.MultipartHttpServletRequest; import org.springframework.web.multipart.commons.CommonsMultipartResolver; import javax.servlet.*; im.
详解XssSpringBoot 防范Xss攻击(附全部代码)
xxxzzzqqq_的博客
03-23 6382
百度百科:​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括JavaVBScriptActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。目前,XSS是黑客最常用来攻击互联网的技术之一。
Springboot过滤xss
Time_Point的博客
04-26 3897
Springboot过滤xss 两种xss类型:存储型xss、反射型xss。 简介: 存储型:持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie等 反射型:非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 问题产生: 公司代码发布前需要进行3部分安全扫描,其中第一个就出现这种
Springboot 阻止XSS攻击
果然的博客
11-24 1万+
Springboot中阻止XSS攻击 写在前面 写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。 XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。 看看问题 XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=a
SpringBoot实战:轻松实现XSS攻击防御(注解和过滤器)
weixin_73588491的博客
07-05 1万+
XSS攻击,全称为跨站脚本攻击(Cross-Site Scripting),是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足,允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。/*** 使用自带的 basicWithImages 白名单。
XssFilter过滤之后导致@RequestBody无法解析的参数的问题
SugarSunset的博客
05-19 4032
问题: 我们遇到的问题是,使用XssFilter对请求参数过滤之后,接口无法再接受到请求参数。 原因:在工程中定义了处理请求的MessageConverter。而定义的Converter对编码有要求。 本质:(以下为个人理解) spring在处理消息时,先循环内部的messageConverter,找出可用的并且可读的。然后根据对应的解析类去解析对应的输入流。我们使用fastJsonMessag...
关于XSS过滤
lanisa的专栏
10-30 1850
XSS攻击绕过过滤方法大全(约100种) XSS攻击绕过过滤方法大全(约100种) - 付杰博客 解决办法: 1.增加前端过滤 可参考:https://www.cnblogs.com/caizhenbo/p/6836390.html 【前端安全】JavaScript防XSS攻击 xss前端过滤工具:https://cdn.bootcdn.net/ajax/libs/js-xss/0.3.3/xss.min.js 使用方法:https://www.cnblogs.com/fyjz/p/11905.
参数有空格_使用SpringBoot使用过滤器去除@RequestBody参数两端的空格
weixin_39676633的博客
12-24 840
使用SpringBoot使用过滤器去除@RequestBody参数两端的空格使用SpringBoot使用过滤器去除@RequestBody参数两端的空格;一般我们去普通的请求我们都会对请求参数进行验证。Java也提供了@notNull和@notBlank这种验证方式,但是对@RequestBody 这种只能验证是不是非空,对数据两端的空格未进行处理,同时大家也不想遍历一遍参数然后再处理再...
springboot 防止xss 和sql 注入 改写 http 请求 getParameter,getParameterValues,getHeader等方法 有点东西
银河系天城知识宝库_技术专家蒋浩宇
06-12 2115
1.springboot 启动类 引入 过滤器配置 package com.superman; import java.util.HashMap; import java.util.Map; import org.apache.log4j.BasicConfigurator; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplic
SpringBoot读取@RequestBody参数
qq_37634156的博客
11-15 4692
之前在开发中遇到了切面中获取@RequestBody参数问题,查阅网上资料后写了下面这篇文章SpringBoot AOP获取@RequestBody参数。但是在实际环境下如果在别的地方调用比如HandlerInterceptor拦截器中调用获取接口参数的方法会报错。下面对方法进行优化,因为@RequestBody 是流的形式进行读取,流读了一次就没有了,所以可以写一个过滤器,在过滤器里面 把流数据 copy一份出来用,别的地方调用的时候使用我们复写的流数据就行。@Bean}}
spring boot rest api,控制返回json数据,过滤部分字段
qq_32352777的博客
03-23 7072
前言 spirng boot:2.4.5 fastjson:1.2.7 当我们使用spring boot作为web服务端,接口采用restful api时,需要控制前端请求api的json数据格式,同时也需要控制服务端响应的json数据内容,可能出现以下场景: json中某些属性,请求api和api响应中都需要忽略 json中某些属性,请求api时忽略接收,api响应时需要携带 json中某些属性,请求api时接收,api响应时忽略 json中某些null值的属性,在api响应中忽略 j
防止XSS跨站脚本攻击:Java过滤
热门推荐
琦彦
01-25 2万+
XSS问题描述 跨站脚本(Cross site script,简称xss)是一种“HTML注入”,由于攻击的脚本多数时候是跨域的,所以称之为“跨域脚本”。 我们常常听到“注入”(Injection),如SQL注入,那么到底“注入”是什么?注入本质上就是把输入的数据变成可执行的程序语句。SQL注入是如此,XSS也如此,只不过XSS一般注入的是恶意的脚本代码,这些脚本代码可以用来获取合法用户的数...
用自定义注解替代@RequestBody实现xss过滤的尝试
weixin_34026484的博客
03-07 1966
需求背景 post请求中的body参数,会解析成 @RequestBody 注解的对象。现在需要把该对象的所有string属性进行XSS过滤XSS过滤是已有的轮子。 设计思路 面向扩展开放,面向修改关闭原则。新定义一个注解解决这类问题:@XssCleaned @Target(ElementType.PARAMETER) @Retention(RetentionPolicy.RUNTIME) ...
java 知识点 14(ssm:springMVC、@RequestBody、@ResponseBody、传json、校验、引入配置文件、文件上传、拦截器)
这里的分享,都是干货
08-18 715
文章目录1、springmvc1.1、传自定义格式传参 1、springmvc 1.1、传自定义格式传参 新建包、包下新建user.java 当前包下、新建UerController 1、在参数类型前不加@RequestBody,就会使用默认注入方式,也就是application/x-www-form-urlencoded,且必须为它。 2、在参数类型前加@RequestBody,就会使用HttpMessagerConverter来注入。 把spring-servlet.xml复制到当前包下,更改
漏洞警告:SpringBoot 该如何预防 XSS 攻击 ??
方志朋的博客
08-10 340
点击关注公众号,Java干货及时送达????blog.csdn.net/sinat_31420295/article/details/121519010写此文章的目的是为了记录一下在工作中解决的 XSS漏洞 问题。XSS漏洞是生产上比较常见的问题。虽然是比较常见并且是基本的安全问题,但是我们没有做????️ ,也怪我没有安全意识。于是终于有一天被制裁了。所以这次就补上了,记录一下。看看问题XSS 漏洞到底是什...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值