Spring Boot XSS 防护:自动清洗参数与 JSON 请求体

最新推荐文章于 2026-06-20 15:16:06 发布
原创 最新推荐文章于 2026-06-20 15:16:06 发布 · 166 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#spring boot #xss #json 

/**
 * XSS 防护配置类
 *
 * 该类用于注册一个全局的 XSS 过滤器(XssFilter),对所有进入系统的 HTTP 请求进行 XSS 攻击防护。
 * 通过 Spring 的 FilterRegistrationBean 将 XssFilter 注册为高优先级过滤器(order=1),
 * 并作用于所有路径("/*"),确保在业务逻辑处理前完成输入内容的安全清洗。
 *
 *  
 *  
 */
@Configuration
public class XssConfig {
    @Bean
    public FilterRegistrationBean<XssFilter> xssFilterRegistration() {
        FilterRegistrationBean<XssFilter> bean = new FilterRegistrationBean<>();
        bean.setFilter(new XssFilter());
        bean.addUrlPatterns("/*");
        bean.setOrder(1);
        return bean;
    }
}
 
/**
 * XSS 请求过滤器
 *
 * 继承自 OncePerRequestFilter,确保每个请求只被过滤一次。
 * 对除白名单路径(如 Swagger 文档、静态资源、文件上传等)外的所有请求,
 * 使用 XssHttpServletRequestWrapper 包装原始 HttpServletRequest,
 * 从而在后续获取参数、Header、Body 等内容时自动进行 XSS 清洗。
 *
 * 白名单路径包括:
 *   - /swagger-ui/**
 *   - /v3/api-docs/**
 *   - /doc.html/**
 *   - /webjars/**
 *   - /uploads/**
 *   - /preview/**
 *   - /upload/**
 *
 *  
 *  
 */
public class XssFilter extends OncePerRequestFilter {
    private final AntPathMatcher matcher = new AntPathMatcher();
    private final String[] excludes = {
            "/swagger-ui/**", "/v3/api-docs/**", "/doc.html/**", "/webjars/**",
            "/uploads/**", "/preview/**", "/upload/**"
    };

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String uri = request.getRequestURI();
        if (shouldSkip(uri)) {
            chain.doFilter(request, response);
            return;
        }
        XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
        chain.doFilter(wrapper, response);
    }

    private boolean shouldSkip(String uri) {
        for (String p : excludes) {
            if (matcher.match(p, uri)) return true;
        }
        return false;
    }
}

/**
 * XSS 安全增强的 HttpServletRequest 包装类
 *
 * 重写了 HttpServletRequest 中所有可能携带用户输入的方法(如 getParameter、getHeader、getQueryString、getInputStream 等),
 * 对其中的字符串内容进行 XSS 攻击特征的清洗与转义。
 *
 * 特别支持对 application/json 和 text/* 类型的请求体进行深度解析与递归清洗:
 *   - 若为 JSON,会解析为 JsonNode 树结构,并对所有文本节点执行 sanitize;
 *   - 若为普通文本,则直接清洗整个 body。
 *
 * 清洗规则包括:
 *   - 移除 <script> 标签及其内容;
 *   - 移除 on* 事件属性(如 onclick、onload);
 *   - 阻断 javascript:、vbscript:、data: 等危险协议的 href/src;
 *   - 最终将 < 和 > 转义为 &lt; 和 &gt;,防止 HTML 注入。
 *
 * 注意:multipart/form-data 类型(如文件上传)因涉及二进制流,不进行 body 解析,仅处理参数和 Header。
 *
 *  
 *  
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    private byte[] body;
    private static final Pattern SCRIPT_TAG = Pattern.compile("(?i)<script.*?>[\\s\\S]*?</script>");
    private static final Pattern ONEVENT_ATTR = Pattern.compile("(?i)on[a-z]+\\s*=\\s*(\"[^\"]*\"|'[^']*'|[^\\s>]+)");
    private static final Pattern ATTR_JS_OR_VBS = Pattern.compile("(?i)\\b(href|src|xlink:href)\\s*=\\s*([\"']?)(\\s*(javascript|vbscript):[^\"'\\s>]*)\\2");
    private static final Pattern ATTR_DATA_NOT_IMAGE = Pattern.compile("(?i)\\b(href|src|xlink:href)\\s*=\\s*([\"']?)(\\s*data:(?!image\\/(png|jpe?g|gif|webp);base64,)[^\"'\\s>]*)\\2");

    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
        String ct = request.getContentType();
        boolean isJson = ct != null && ct.toLowerCase().contains("application/json");
        boolean isText = ct != null && ct.toLowerCase().startsWith("text/");
        boolean isMultipart = ct != null && ct.toLowerCase().startsWith("multipart/");
        if (!isMultipart && (isJson || isText)) {
            try {
                String raw = readBody(super.getInputStream(), getCharset());
                if (raw != null) {
                    String sanitized = sanitizeBody(raw, isJson);
                    body = sanitized.getBytes(getCharset());
                }
            } catch (Exception ignore) {}
        }
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return sanitize(value);
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) return null;
        String[] sanitized = new String[values.length];
        for (int i = 0; i < values.length; i++) sanitized[i] = sanitize(values[i]);
        return sanitized;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> map = super.getParameterMap();
        for (Map.Entry<String, String[]> e : map.entrySet()) {
            String[] arr = e.getValue();
            if (arr == null) continue;
            for (int i = 0; i < arr.length; i++) arr[i] = sanitize(arr[i]);
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return sanitize(value);
    }

    @Override
    public java.util.Enumeration<String> getHeaders(String name) {
        java.util.Enumeration<String> values = super.getHeaders(name);
        java.util.ArrayList<String> list = new java.util.ArrayList<>();
        while (values != null && values.hasMoreElements()) {
            list.add(sanitize(values.nextElement()));
        }
        return java.util.Collections.enumeration(list);
    }

    @Override
    public String getQueryString() {
        String value = super.getQueryString();
        return sanitize(value);
    }

    @Override
    public ServletInputStream getInputStream() {
        if (body == null) {
            try {
                return super.getInputStream();
            } catch (Exception e) {
                throw new RuntimeException(e);
            }
        }

        ByteArrayInputStream bais = new ByteArrayInputStream(body);
        return new ServletInputStream() {
            @Override
            public boolean isFinished() { return bais.available() == 0; }
            @Override
            public boolean isReady() { return true; }
            @Override
            public void setReadListener(ReadListener readListener) {}
            @Override
            public int read() { return bais.read(); }
        };
    }

    @Override
    public BufferedReader getReader() {
        Charset cs = getCharset();
        return new BufferedReader(new InputStreamReader(getInputStream(), cs));
    }

    private Charset getCharset() {
        String enc = super.getCharacterEncoding();
        return enc != null ? Charset.forName(enc) : StandardCharsets.UTF_8;
    }

    private String readBody(ServletInputStream in, Charset cs) throws Exception {
        if (in == null) return null;
        BufferedReader br = new BufferedReader(new InputStreamReader(in, cs));
        StringBuilder sb = new StringBuilder();
        String line;
        boolean first = true;
        while ((line = br.readLine()) != null) {
            if (!first) sb.append('\n');
            sb.append(line);
            first = false;
        }
        return sb.length() == 0 ? null : sb.toString();
    }

    private String sanitizeBody(String raw, boolean isJson) {
        if (!isJson) return sanitize(raw);
        try {
            JsonNode node = JSONUtil.toJsonNode(raw);
            JsonNode cleaned = deepSanitize(node);
            return JSONUtil.toJson(cleaned);
        } catch (Exception e) {
            return sanitize(raw);
        }
    }

    private JsonNode deepSanitize(JsonNode node) {
        if (node == null) return null;
        if (node.isTextual()) {
            return JSONUtil.MAPPER.getNodeFactory().textNode(sanitize(node.asText()));
        }
        if (node.isObject()) {
            ObjectNode obj = (ObjectNode) node;
            Iterator<String> it = obj.fieldNames();
            while (it.hasNext()) {
                String k = it.next();
                obj.set(k, deepSanitize(obj.get(k)));
            }
            return obj;
        }
        if (node.isArray()) {
           ArrayNode arr = JSONUtil.MAPPER.createArrayNode();
            for (int i = 0; i < node.size(); i++) {
                JsonNode child = deepSanitize(node.get(i));
                arr.add(child == null ? JSONUtil.MAPPER.nullNode() : child);
            }
            return arr;
        }
        return node;
    }

    public static String sanitize(String s) {
        if (s == null) return null;
        String v = s;
        v = SCRIPT_TAG.matcher(v).replaceAll("");
        v = ONEVENT_ATTR.matcher(v).replaceAll("");
        v = ATTR_JS_OR_VBS.matcher(v).replaceAll("");
        v = ATTR_DATA_NOT_IMAGE.matcher(v).replaceAll("");
        if (v.trim().matches("(?i)^(javascript|vbscript)\\s*:.*")) {
            v = "";
        }
        v = v.replace("<", "&lt;").replace(">", "&gt;");
        return v;
    }


}

HTML 清理(逃逸)对抗 XSS 攻击
allway2的博客
07-25 1463
在上面的例子中,被“”包围的“script”标签被清理了。它是一个HTML标签,在净化处理之前作为脚本标签运行,但在净化处理之后,“”被替换为字符串“”,因此它们显示在浏览器。通常,通常会指定“ENT_QUOTES”,它不仅会过滤“”,还会过滤“'(单引号)”和“”(双引号)。在上述函数“htmlentities”中,不仅“”,而且“”(双引号)和“&”分别被替换为不同的字符串“"我介绍了如何将“”替换为“<......
用SVM处理XSS时,数据清洗打标数据标准化处理的方法和意义
weixin_30549657的博客
03-22 211
def get_len(url): return len(url) def get_url_count(url): if re.search('(http://)|(https://)', url, re.IGNORECASE) : return 1 else: return 0 def get_evil_char(url): r...
java xss 解决,如何清理Java中的HTML代码以防止XSS攻击?
weixin_36322454的博客
02-16 430
I'm looking for class/util etc. to sanitize HTML code i.e. remove dangerous tags, attributes and values to avoid XSS and similar attacks.I get html code from rich text editor (e.g. TinyMCE) but it can...
XSS----一些方法
bylfsj的博客
09-11 1350
参考https://blog.csdn.net/qq_29277155/article/details/51320064 1.标签绕过 <anytag οnmοuseοver=alert(15)>M <anytag οnclick=alert(16)>M <a οnmοuseοver=alert(17)>M <a οnclick=al...
XSS处理方法
qq_34821979的博客
12-04 554
package cn.com.klec.sgmysql.web.action.util; import java.lang.reflect.Field; import java.lang.reflect.Method; import java.util.Arrays; import java.util.regex.Matcher; import java.util.regex.P
Spring Boot项目XSS攻击防御:全局过滤器请求包装器实战
weixin_33857679的博客
06-16 491
跨站脚本攻击(XSS)是Web应用常见的安全威胁,其原理是攻击者将恶意脚本注入到网页中,当用户浏览时执行,可能导致会话劫持、数据窃取等严重后果。在Spring Boot项目中,由于框架简化了开发流程,开发者容易忽略对用户输入的严格校验,从而留下安全隐患。为应对此问题,一种高效的技术方案是采用“自定义过滤器(Filter)结合请求包装器(HttpServletRequestWrapper)”的全局防御机制。该方案通过拦截所有HTTP请求,在数据进入业务逻辑前进行无害化处理,实现了对表单参数、请求头和JSON
Spring Boot项目XSS防护实战:从全局过滤到富文本安全处理
最新发布
cihongmo6452的博客
06-20 306
跨站脚本攻击(XSS)是Web开发中最常见的安全威胁之一,其原理是攻击者向网页中注入恶意脚本,当用户浏览时脚本被执行,可能导致会话劫持、数据窃取等严重后果。在技术层面,XSS防护的核心价值在于构建可信的用户输入输出通道,保障数据在传输渲染过程中的安全性。对于采用Spring Boot框架的后端项目,这通常涉及在全局请求过滤、JSON序列化以及富文本处理等关键环节实施编码、转义净化策略。特别是在处理用户提交的富文本内容时,需要借助类似OWASP Java HTML Sanitizer这样的专业库进行基于白
Spring Boot项目XSS防御实战:从原理到全局过滤器实现
weixin_28622215的博客
06-17 322
XSS(跨站脚本攻击)是Web应用中最常见的安全威胁之一,其原理是攻击者通过注入恶意脚本,在用户浏览器中执行,从而窃取Cookie、会话信息或进行其他恶意操作。防御XSS的核心技术在于对不可信数据进行输出编码,确保用户输入在渲染时被安全处理。在Spring Boot项目中,实现高效、无侵入的XSS防护具有重要工程价值,能显著提升应用安全性。本文聚焦于通过自定义FilterHttpServletRequestWrapper构建全局防御方案,该方案能自动处理表单参数JSON请求体等多种数据格式,并支持灵活配
Spring Boot项目XSS防护实战:RuoYi-Vue-Plus安全配置详解
weixin_33783283的博客
06-17 216
跨站脚本攻击(XSS)是Web应用常见的安全威胁,攻击者通过注入恶意脚本窃取用户数据。其防御原理主要基于输入验证和输出编码,在请求处理链中对用户提交的数据进行过滤或转义。在Spring Boot等Java Web框架中,通常通过Servlet Filter实现全局请求参数清洗,结合Jsoup等HTML解析库进行白名单过滤,平衡安全性功能需求。本文以RuoYi-Vue-Plus开源项目为例,详细解析如何实现**XSS过滤器**的配置优化,涵盖**Servlet Filter**、请求包装器、注解驱动等混合
Spring Boot 进阶实战:整合 MyBatis、Redis、JWT,搭一个更像真实项目的后端服务
RonieWhite的博客
06-15 322
如果说 Spring Boot 基础篇解决的是“项目怎么起起来”,那么进阶篇更关心的是:这篇文章用一个偏典型的用户认证 + 商品查询场景,把下面四块内容串起来:目标是给出一套更像真实业务系统的实现骨架,而不是只给你几个零散知识点。假设我们现在要做一个简单的后端服务,支持这些能力:一个合理的技术职责拆分大致是:先看 Maven 依赖。 3. 项目结构建议 建议按下面这种方式组织: 这么分的好处是: 说明: 5.2 业务异常 5.3 全局异常处理 6. JWT:签发、解析、校验 6.1 配置类 6.2
Spring Boot 3.x迁移指南:从2.x升级的完整流程和坑点总结
yp0to1的博客
06-17 546
Spring Boot 3.x迁移工作量不小,但这是必须做的。新项目:直接用Spring Boot 3.2 + Java 21(一步到位)老项目:制定迁移计划,逐步迁移(先迁移不重要的服务)测试优先:迁移完后一定要做充分的测试(单元测试 + 集成测试 + 压测)工具辅助:用Spring Boot Migrator和OpenRewrite自动化迁移,减少手动改代码的工作量迁移虽然麻烦,但迁移后能用上虚拟线程、Native Image这些新特性,还是很值得的。参考资料。
OpenTelemetry Java Agent 实战:零侵入接入 Spring Boot 调用链追踪并上报 OTLP Collector
xinzhiyishi的博客
06-16 300
很多 Spring Boot 项目已经接入了日志、接口耗时和基础 JVM 指标,但一到跨服务调用、下游接口变慢、偶发超时,就很难快速回答:这次请求经过了哪些服务?哪个环节最慢?TraceId 怎么串起来?本文用 OpenTelemetry Java Agent 演示一种“零侵入”接入方式:不改业务代码,通过-javaagent挂载 Agent,将 Spring Boot 应用的调用链数据通过 OTLP 上报到 OpenTelemetry Collector。
拥抱 Java 21 Spring Boot 4:Apache Grails 8 核心新特性平稳升级指南
weixin_49715102的博客
06-15 432
确认 build.gradle 中的每个 Grails 插件均已升级至兼容 Grails 8 的本。对于使用 grails-micronaut 的项目,务必确保 BOM(物料清单) 已通过 enforcedPlatform 引入(若未正确配置,Grails Gradle 插件将在构建配置阶段直接导致构建失败)。
Spring Boot + Vue + DeepSeek】从零打造一个AI驱动的智能健康分析系统
qq_55236656的博客
06-15 269
体检报告数据专业性强,普通人难以解读健康数据分散,缺乏统一的智能分析手段医患沟通效率低,专家资源分配不均IoT健康设备数据无法管理系统打通AuraHealth正是为了解决这些问题而设计——将 DeepSeek 大模型深度融入健康管理全流程,实现从数据采集 → AI分析 → 智能预警 → 医患协作 → 健康改进的完整闭环。
Spring Boot 4.1新增gRPC自动配置SSRF防护功能并支持 Kotlin 2.3
xhtdj的博客
06-20 398
2025 年 11 月发布的 Spring Boot 4.0 Spring Framework 7.0 一同推出,属于一次大本迭代重构:以 Jakarta EE 11 为基线,集成 Jackson 3,拆分式自动配置 JAR,借助 JSpecify 实现空值安全,同时新增 API 本控制 Gradle 9 支持。Spring Boot 4.1 包含面向服务器端和客户端应用的 Spring gRPC 自动配置,支持独立的 Netty 和 Servlet HTTP/2 传输。
Spring Boot 国际化(i18n)完全指南
BADAO_LIUMANG_QIZHI的博客
06-16 256
本文介绍了Spring Boot中实现国际化(i18n)的完整指南。主要内容包括:i18n的核心概念,即将用户可见文本从代码抽离到资源文件;核心组件MessageSource、LocaleResolver和资源文件的职责;资源文件的命名规范和查找优先级;两种配置方式(YAML和Java Config);以及一个完整的用户注册模块示例,展示中文和英文资源文件的定义、配置类实现和工具类封装。文章强调了UTF-8编码的重要性,并提供了缓存策略等实用技巧,帮助开发者在Spring Boot应用中高效实现多语言支持。
Spring Boot + Spring Security + RBAC:从登录鉴权到权限模型设计
RonieWhite的博客
06-15 389
Spring Boot 解决的是项目骨架问题MyBatis 解决的是 SQL 可控问题Redis 解决的是缓存和高频访问问题JWT 解决的是前后端分离下的登录态问题那么接下来一定会遇到的,就是权限控制问题。用户登录成功生成 JWT后续请求带 Token服务端能识别“这个人是谁”但很快你就会发现,这还远远不够。这个用户能访问哪些接口这个用户属于什么角色角色和菜单、按钮、数据范围如何关联接口权限和页面权限如何统一权限变更后如何生效。
Spring Boot集成电子签章的7个典型问题解决方案:从入门到生产级实践
2601_96196338的博客
06-15 411
本文针对SpringBoot项目集成电子签章服务(以爱签电子合同为例)时常见的7个技术难题进行深度剖析:1)SDK依赖冲突问题及本强制管理方案;2)HTTPS证书校验失败的两种解决路径;3)PDF签名无效的成因分析证书链完整性保障;4)高并发场景下的异步队列水平扩展架构;5)可信时间戳服务的司法合规实现;6)多环境证书管理的Profile隔离策略;7)司法存证的关键要素区块链存证方案。文章强调电子签章集成需兼顾密码学安全、性能优化和法律合规,建议优先选择具备等保三级、国密认证的成熟平台,通过标准化A
48_Spring Boot RESTful API开发
yuhou25的博客
06-20 263
在现代Web开发中,已成为前后端分离架构的标准通信方式。Spring Boot提供了强大的注解和工具支持,让开发者可以轻松构建规范的RESTful接口。为什么RESTful很重要?在前后端分离的架构中,后端只负责提供API接口、返回JSON数据,前端(Vue/React/小程序)通过HTTP请求获取数据并渲染页面。如果没有统一的API设计规范,每个人的接口风格都不一样——有人用GET创建资源、有人用POST查询数据——前后端联调时会耗费大量时间在沟通上。
Spring Boot核心组件解析:MappingJackson2HttpMessageConverter全解
窗台有只猫的博客
06-17 385
本文深入解析了Spring Boot中处理JSON数据交互的核心组件——MappingJackson2HttpMessageConverter。文章从核心定位、工作流程实战应用三个维度展开,首先阐述了其作为Jackson库Spring MVC桥梁的默认地位及底层依赖;其次剖析了其在HTTP请求中实现Java对象JSON双向自动转换的序列化机制;最后提供了基于Jackson2ObjectMapperBuilderCustomizer的全局定制方案手动配置方法,旨在帮助开发者彻底掌握该组件的原理,实现高
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yzhSWJ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值