SpringBoot去除参数前后空格和XSS过滤

去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了&lt;&gt;,存库里面的就是转义后的字符串了。取出来的时候需要转一下。

比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455

过滤处理了后,到后台接口里面就成了:[12&lt;&gt;3455]

如果上面的结果能接受,那么这个工具类就可以用。

引入依赖 jsoup

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.12.1</version>
</dependency>

JsoupUtil.java工具类:

import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-08-19 15:47
 *
 * 描述: 过滤 HTML 标签中 XSS 代码
 */
public class JsoupUtil {
    /**
     * 使用自带的 basicWithImages 白名单
     * 允许的便签有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img
     * 以及 a 标签的 href,img 标签的 src,align,alt,height,width,title 属性
     */
    private static final Whitelist whitelist = Whitelist.basicWithImages();
    /** 配置过滤化参数, 不对代码进行格式化 */
    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
    static {
        // 富文本编辑时一些样式是使用 style 来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加 style 属性
        whitelist.addAttributes(":all", "style");
    }
    public static String clean(String content) {
        return Jsoup.clean(content, "", whitelist, outputSettings);
    }
}

首先是定义参数过滤器:ParamsFilter 实现 Filter 类

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * Description : 参数过滤器
 *
 */
public class ParamsFilter implements Filter {

    @Override
    public void doFilter(ServletRequest arg0, ServletResponse arg1,
                         FilterChain arg2) throws IOException, ServletException {
        ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper(
                (HttpServletRequest) arg0);
        arg2.doFilter(parmsRequest, arg1);
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {

    }

    @Override
    public void destroy() {

    }
}

添加参数过滤配置文件:

import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import javax.servlet.DispatcherType;

@Configuration
public class ParameterTrimConfig {

    /**
     * 去除参数头尾空格过滤器
     * @return
     */
    @Bean
    public FilterRegistrationBean parmsFilterRegistration() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setDispatcherTypes(DispatcherType.REQUEST);
        registration.setFilter(new ParamsFilter());
        registration.addUrlPatterns("/*");
        registration.setName("paramsFilter");
        registration.setOrder(Integer.MAX_VALUE-1);
        return registration;
    }
}

处理都交给了这货:

import com.alibaba.fastjson.JSON;
import gc.cnnvd.framework.config.converter.JsonValueTrimUtil;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

/**
 *
 * @Auther linmengmeng
 * @Date 2021-03-25 15:47
 *
 * Description : 请求参数的处理,
 *  1. 去除参数前后空格
 *  2. 过滤XSS非法字符
 *
 */
public class ParameterRequestWrapper extends HttpServletRequestWrapper {

    private Map<String , String[]> params = new HashMap<>();

    public ParameterRequestWrapper(HttpServletRequest request) {
        // 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
        super(request);
        //将参数表,赋予给当前的Map以便于持有request中的参数
        Map<String, String[]> requestMap=request.getParameterMap();

        this.params.putAll(requestMap);
        this.modifyParameterValues();

    }
    /**
     * 重写getInputStream方法  post类型的请求参数必须通过流才能获取到值
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        //非json类型,直接返回
        if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){
            return super.getInputStream();
        }
        //为空,直接返回
        String json = IOUtils.toString(super.getInputStream(), StandardCharsets.UTF_8);
        if (StringUtils.isEmpty(json)) {
            return super.getInputStream();
        }
        Object resultObject = JsonValueTrimUtil.jsonStrTrim(json);//这里处理的是json传参的参数
        ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(resultObject).getBytes(StandardCharsets.UTF_8));
        return new CustomServletInputStream(bis);

    }
    /**
     * 将parameter的值去除空格后重写回去
     */
    public void modifyParameterValues(){
        Set<String> set = params.keySet();
        Iterator<String> it = set.iterator();
        while(it.hasNext()){
            String key = it.next();
            String[] values = params.get(key);
            values[0] = values[0].trim();
            values[0] = JsoupUtil.clean(values[0]);//这里处理的是form传参的参数
            params.put(key, values);
        }
    }
    /**
     * 重写getParameter 参数从当前类中的map获取
     */
    @Override
    public String getParameter(String name) {
        String[]values = params.get(name);
        if(values == null || values.length == 0) {
            return null;
        }
        return values[0];
    }
    /**
     * 重写getParameterValues
     */
    @Override
    public String[] getParameterValues(String name) {//同上
        return params.get(name);
    }

    class CustomServletInputStream extends  ServletInputStream{
        private ByteArrayInputStream bis;
        public CustomServletInputStream(ByteArrayInputStream bis){
            this.bis=bis;
        }
        @Override
        public boolean isFinished() {
            return true;
        }

        @Override
        public boolean isReady() {
            return true;
        }

        @Override
        public void setReadListener(ReadListener listener) {

        }
        @Override
        public int read() throws IOException {
            return bis.read();
        }
    }
}

上面form传的参数直接处理了,那么要是JSON传的参数,就要借助下面的工具类了:

import cn.hutool.json.JSONTokener;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.lang3.StringUtils;

import java.util.Map;
import java.util.Set;

/**
 * @Auther linmengmeng
 * @Date 2021-03-25 15:47
 * 1. 去除Json字符串中的属性值前后空格的工具类
 * 2. 去除 XSS 攻击字符
 */

public class JsonValueTrimUtil {

    public static Object jsonStrTrim(String jsonStr){
        if (StringUtils.isBlank(jsonStr)){
            return "";
        }
        Object typeObject = new JSONTokener(jsonStr).nextValue();
        if (typeObject instanceof cn.hutool.json.JSONObject){
            return jsonObjectTrim(JSONObject.parseObject(jsonStr));
        }
        if (typeObject instanceof cn.hutool.json.JSONArray){
            return jsonArrayTrim(JSONArray.parseArray(jsonStr));
        }
        jsonStr = JsoupUtil.clean(jsonStr);
        return jsonStr.trim();
    }

    /**
     * @Description: 传入jsonObject 去除当中的空格
     * @param jsonObject
     * @return
     */
    public static JSONObject jsonObjectTrim(JSONObject jsonObject){
        // 取出 jsonObject 中的字段的值的空格
        Set<Map.Entry<String, Object>> entrySets = jsonObject.entrySet();
        entrySets.forEach(entry -> {
            Object value = entry.getValue();
            if (value == null){
                return;
            }
            if (value instanceof String) {
                String resultValue = (String) value;
                if (StringUtils.isNotBlank(resultValue)){
                    resultValue = resultValue.trim();
                    resultValue = JsoupUtil.clean(resultValue);
                    jsonObject.put(entry.getKey(), resultValue);
                }
                return;
            }
            if (value instanceof JSONObject){
                jsonObject.put(entry.getKey(), jsonObjectTrim((JSONObject) value));
                return;
            }
            if (value instanceof JSONArray){
                jsonObject.put(entry.getKey(), jsonArrayTrim((JSONArray) value));
                return;
            }
        });
        return jsonObject;
    }

    /**
     * @Description: 将 jsonarry 的jsonObject 中的value值去处前后空格
     * @param arr
     * @return
     */
    public static JSONArray jsonArrayTrim(JSONArray arr){
        if( arr != null && arr.size() > 0){
            Object tempObject = null;
            for (int i = 0; i < arr.size(); i++) {
                tempObject = arr.get(i);
                if (tempObject instanceof String){
                    arr.set(i,  tempObject );
                    continue;
                }
                JSONObject jsonObject = (JSONObject) arr.get(i);
                // 取出 jsonObject 中的字段的值的空格
                jsonObject = jsonObjectTrim(jsonObject);
                arr.set(i,  jsonObject );
            }
        }
        return arr;
    }
}

测试一下:

import gc.cnnvd.framework.common.api.ApiResult;
import gc.cnnvd.framework.log.annotation.OperationLogIgnore;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import io.swagger.annotations.ApiOperation;
import lombok.Data;
import lombok.experimental.Accessors;
import lombok.extern.slf4j.Slf4j;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.validation.constraints.NotBlank;
import java.io.Serializable;

/**
 * @Auther linmengmeng
 * @Date 2021-03-30 16:24
 */
@Slf4j
@RestController
@RequestMapping("/tourist")
@Api(value = "测试游客页面xss", tags = {"游客页面xss"})
public class TouristTestXssController {

    @PostMapping("/testXssForm")
    @OperationLogIgnore
    @ApiOperation(value = "测试放开游客页面接口xssForm", notes = "测试放开游客页面接口xssForm", response = String.class)
    public ApiResult<String> testXss(TestXssFormParam testXssFormParam) {
        log.info("form param testStr:[{}]", testXssFormParam.getTestStr());
        // from 不好使
        return ApiResult.ok(testXssFormParam.getTestStr());
    }

    @PostMapping("/testXssJson")
    @OperationLogIgnore
    @ApiOperation(value = "测试放开游客页面接口xssJson", notes = "测试放开游客页面接口xssJson", response = String.class)
    public ApiResult<String> testXssJson(@Validated @RequestBody TestXssFormParam testXssFormParam) {
        log.info("json param testStr:[{}]", testXssFormParam.getTestStr());
        return ApiResult.ok(testXssFormParam.getTestStr());
    }

    @Data
    @Accessors(chain = true)
    @ApiModel(value = "testXss参数")
    public static class TestXssFormParam implements Serializable {

        private static final long serialVersionUID = 1L;

        @NotBlank(message = "testStr不能为空")
        @ApiModelProperty("testStr")
        private String testStr;
    }

}

上面接口里面的ApiResult为自定义封装的返回数据格式,可以直接修改接口返回类型改为String,就是为了看下后台处理后,返回前台是什么样的。

form传参,过滤成功。

JSON传参,也没毛病。

到此这篇关于SpringBoot去除参数前后空格和XSS过滤的文章就介绍到这了,更多相关SpringBoot去除参数前后空格和XSS过滤内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Springboot实现XSS漏洞过滤的示例代码

    背景 前阵子做了几个项目,终于开发完毕,进入了测试阶段,信心满满将项目部署到测试环境,然后做了安全测评之后..... ​(什么!你竟然说我代码不安全???) 然后测出了 Xss漏洞 安全的问题 解决方案 场景:可以在页面输入框输入JS脚本, 攻击者可以利用此漏洞执行恶意的代码 ! 问题演示 ​ ​ 所以我们要对于前端传输的参数做处理,做统一全局过滤处理 既然要过滤处理,我们首先需要实现一个自定义过滤器 总共包含以下四部分 XssUtil XssFilterAutoConfig XssHttpSe

  • SpringBoot去除参数前后空格和XSS过滤

    去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了<>,存库里面的就是转义后的字符串了.取出来的时候需要转一下. 比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455 过滤处理了后,到后台接口里面就成了:[12<>3455]

  • springboot清除字符串前后空格与防xss攻击方法

    目录 springboot清除字符串前后空格与防xss攻击 一.查看WebMvcAutoConfiguration.class中的方法源码 二.自定义属性编辑器 三.创建WebBindingInitializerConfiguration类 springboot去除参数中前后空格说明 一. 需求 二. 解决方法 三. 完美解决 springboot清除字符串前后空格与防xss攻击 一.查看WebMvcAutoConfiguration.class中的方法源码 protected Configur

  • 使用SpringBoot请求参数过滤空格

    目录 SpringBoot请求参数过滤空格 1.参数修改SpaceHttpServletRequestWrapper 2.空格过滤器 3.过滤器初始化 SpringBoot指定执行参数,参数值包含空格问题 方式一(错误): 方式二(错误): 方式三(错误): 方式四(错误): 方式五(正确): SpringBoot请求参数过滤空格 1.参数修改SpaceHttpServletRequestWrapper public class SpaceHttpServletRequestWrapper ex

  • 使用Springboot自定义转换器实现参数去空格功能

    目录 自定义转换器实现参数去空格 1.自定义转换器类 2.将转换器交给spring容器处理 SpringBoot请求参数过滤空格 1.参数修改SpaceHttpServletRequestWrapper 2.空格过滤器 3.过滤器初始化 自定义转换器实现参数去空格 1.自定义转换器类 实现Converter<S, T>类,重写convert()方法,直接上代码. /** * 自定义转换器 * 去掉前后空格 * @author liuy * @version 2018年11月13日 */ pub

  • Java去除字符串中空格的方法详解

    昨天写了一个关于Excel文件处理的脚本,在字符串匹配功能上总是出现多余不正确的匹配,debug调试之后,发现一个坑. ------->代码中字符串使用了replaceAll()方法,去除了所有空格(其中包括:首尾空格.中间空格) 遂整理下java关于字符串去除空格的方法. 1.方法分类 str.trim(); //去掉首尾空格 str.replace(" ",""); //去除所有空格,包括首尾.中间 str.replaceAll(" "

  • SpringBoot JVM参数调优方式

    目录 SpringBoot JVM参数调优 各种参数 SpringBoot jar包启动设置JVM参数 配置初始化堆和最大堆的大小 SpringBoot JVM参数调优 各种参数 参数名称 含义 默认值 说明 -Xms 初始堆大小 物理内存的1/64(<1GB) 默认(MinHeapFreeRatio参数可以调整)空余堆内存小于40%时,JVM就会增大堆直到-Xmx的最大限制. -Xmx 最大堆大小 物理内存的1/4(<1GB) 默认(MaxHeapFreeRatio参数可以调整)空余堆内存大

  • Spring Cloud Gateway网关XSS过滤方式

    目录 1.创建一个Filter 2. 处理XSS字符串 3.其它使用到的工具 修改 XSS是一种经常出现在web应用中的计算机安全漏洞,具体信息请自行Google.本文只分享在Spring Cloud Gateway中执行通用的XSS防范.首次作文,全是代码,若有遗漏不明之处,请各位看官原谅指点. 使用版本 Spring Cloud版本为 Greenwich.SR4 Spring Boot版本为 2.1.11.RELEASE 1.创建一个Filter 特别注意的是在处理完成之后需要重新构造请求,

  • JS去除字符串中空格的方法

    本文实例讲述了JS去除字符串中空格的方法.分享给大家供大家参考,具体如下: 去掉字符串中的所有空格,不仅仅包含前后空格: text = text.replace(/\s/ig,''); 去掉前后空格: 第一种方法: 使用trim() function Trim(m){ while((m.length>0)&&(m.charAt(0)==' ')) m = m.substring(1, m.length); while((m.length>0)&&(m.charA

  • python去除文件中空格、Tab及回车的方法

    本文实例讲述了python去除文件中空格.Tab及回车的方法.分享给大家供大家参考,具体如下: 在最近的开发工作中,为了应付比赛赶进度,服务端的json文件都是人工写的,写完之后发现格式都是十分规整,易于人阅读的json,但是客户端请求不需要那些为了格式而在json里面添加的空格.tab.回车等等没用的字符,遂用python写一脚本,去除文件中的空格.回车.换行. 原json文件: { "amount" : "2", "content" : [

  • PHP使用trim函数去除字符串左右空格及特殊字符实例

    本文实例讲述了PHP使用trim函数去除字符串左右空格及特殊字符的方法.分享给大家供大家参考,具体如下: PHP中trim()函数定义如下: trim(string,charlist) 参数说明如下: string 必需.规定要检查的字符串. charlist 可选.规定从字符串中删除哪些字符.如果被省略,则移除以下所有字符: "\0" - NULL "\t" - 制表符 "\n" - 换行 "\x0B" - 垂直制表符 &q

随机推荐