Java解决xss转义导致转码的问题
更新时间:2023年08月31日 10:54:58 作者:熟透的蜗牛
跨站脚本攻击XSS是最普遍的Web应用安全漏洞,本文主要介绍了Java解决xss转义导致转码的问题,具有一定的参考价值,感兴趣的可以了解一下
一、xss简介
人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。
二、解决方式
解决方式有很多,这里介绍将内容经过转义然后再存储到服务器上。
package com.wssnail.xss.config;
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.apache.commons.lang3.StringUtils;
import org.apache.commons.text.StringEscapeUtils;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.MediaType;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.web.servlet.config.annotation.ContentNegotiationConfigurer;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;
import java.io.IOException;
import java.util.List;
import java.util.ListIterator;
/**
* @author 熟透的蜗牛
* @version 1.0
* @description: 配置xss攻击过滤
* @date 2023/8/14 23:48
*/
@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {
@Override
protected void extendMessageConverters(List<HttpMessageConverter<?>> messageConverters) {
/**
* 替换默认的MappingJackson2HttpMessageConverter,过滤(json请求参数)xss
*/
ListIterator<HttpMessageConverter<?>> listIterator = messageConverters.listIterator();
while (listIterator.hasNext()) {
HttpMessageConverter<?> next = listIterator.next();
if (next instanceof MappingJackson2HttpMessageConverter) {
listIterator.remove();
break;
}
}
messageConverters.add(getMappingJackson2HttpMessageConverter());
}
public MappingJackson2HttpMessageConverter getMappingJackson2HttpMessageConverter() {
// 创建自定义ObjectMapper
SimpleModule module = new SimpleModule();
module.addDeserializer(String.class, new JsonHtmlXssDeserializer(String.class));
ObjectMapper objectMapper = Jackson2ObjectMapperBuilder.json().applicationContext(this.getApplicationContext()).build();
objectMapper.registerModule(module);
// 创建自定义消息转换器
MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter = new MappingJackson2HttpMessageConverter();
mappingJackson2HttpMessageConverter.setObjectMapper(objectMapper);
return mappingJackson2HttpMessageConverter;
}
/**
* 添加默认请求类型
*/
@Override
public void configureContentNegotiation(ContentNegotiationConfigurer configurer) {
configurer.ignoreAcceptHeader(true).
defaultContentType(MediaType.APPLICATION_JSON, MediaType.TEXT_XML, MediaType.APPLICATION_XML);
}
}
/**
* @author 熟透的蜗牛
* @version 1.0
* @description: 对xss进行过滤
* @date 2023/8/14 23:49
*/
class JsonHtmlXssDeserializer extends JsonDeserializer<String> {
public JsonHtmlXssDeserializer(Class<String> string) {
super();
}
@Override
public Class<String> handledType() {
return String.class;
}
@Override
public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext)
throws IOException {
String value = jsonParser.getValueAsString();
if (!StringUtils.isEmpty(value)) {
return StringEscapeUtils.escapeHtml4(value);
}
return value;
}
}
请求如上接口,经过转义之后,存到数据库的内容就不再是我们传参的数据,而是经过转义的内容
经过查询之后内容就回显成转义之后的内容了,如下图
三、解决转义的内容
先说一下思路,自定义一个注解,作用在实体类或者字段上,当查询的时候,在数据返回之前,对数据进行反转义。下面直接上代码。
自定义注解
package com.wssnail.xss.annotation;
import java.lang.annotation.*;
@Target({ElementType.TYPE,ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface StringEscapeCode {
}工具类
package com.wssnail.xss.utils;
import com.wssnail.xss.annotation.StringEscapeCode;
import org.apache.commons.text.StringEscapeUtils;
import java.lang.reflect.Field;
/**
* @author 熟透的蜗牛
* @version 1.0
* @description: 配置字符串格式文本处理工具
* @date 2023/8/14 23:50
*/
public class StringEscapeCodeUtil {
public static void stringEscape(Class<?> clazz, Object obj) throws IllegalAccessException {
StringEscapeCode declaredAnnotation = clazz.getDeclaredAnnotation(StringEscapeCode.class);
if (declaredAnnotation != null) {
Field[] fields = clazz.getDeclaredFields();
for (int i = 0; i < fields.length; i++) {
if (fields[i].getGenericType().toString().endsWith("String")) {
//有注解,设置字段
fields[i].setAccessible(true);
String value = StringEscapeUtils.unescapeHtml4((String) fields[i].get(obj));
fields[i].set(obj, value);
}
}
} else {
Field[] fields = clazz.getDeclaredFields();
for (int i = 0; i < fields.length; i++) {
StringEscapeCode annotation = fields[i].getAnnotation(StringEscapeCode.class);
if (fields[i].getGenericType().toString().endsWith("String")) {
if (annotation != null) {
//有注解,设置字段
fields[i].setAccessible(true);
String value = StringEscapeUtils.unescapeHtml4((String) fields[i].get(obj));
fields[i].set(obj, value);
}
}
}
}
}
}实际使用
package com.wssnail.xss.annotation;
import java.lang.annotation.*;
/**
* @author 熟透的蜗牛
* @version 1.0
* @description: 自定义注解
* 使用方法 将该注解添加到类上,或者属性上,只有作用在、string类型的属性上,注解才会生效
* @date 2023/8/15 0:13
*/
@Target({ElementType.TYPE, ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface StringEscapeCode {
} public User getById(Integer id) {
try {
User user = userMapper.findByID(id);
Class<? extends User> clazz = user.getClass();
StringEscapeCodeUtil.unStringEscape(clazz, user);
return user;
} catch (IllegalAccessException e) {
throw new RuntimeException(e);
}
}然后查询的时候,就会正常显示内容了。
到此这篇关于Java解决xss转义导致转码的问题的文章就介绍到这了,更多相关Java xss转义内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要介绍了java文件输出流写文件的几种方法,需要的朋友可以参考下2014-04-04
AQS(AbstractQueuedSynchronizer)抽象队列同步器及工作原理解析
AQS是用来构建锁或者其他同步器组件的重量级基础框架及整个JUC体系的基石,通过内置的FIFO对列来完成资源获取线程的排队工作,并通过一个int类型变量表示持有锁的状态,本文给大家详细介绍下AQS抽象队列同步器的相关知识,感兴趣的朋友一起看看吧2022-03-03
这篇文章主要介绍了java实现对map的字典序排序操作,结合实例形式分析了java参照微信官网算法实现的字典序排序操作相关实现技巧,需要的朋友可以参考下2019-07-07
这篇文章我们要讲的是拓扑排序,这是一个针对有向无环图的算法,主要是为了解决前驱后继的关系,感兴趣的小伙伴可以跟随小编一起学习一下2022-05-05
jmeter是apache公司基于java开发的一款开源压力测试工具,体积小,功能全,使用方便,是一个比较轻量级的测试工具,使用起来非常简单。本文就简单的介绍一下如何使用,感兴趣的2021-11-11
这篇文章主要为大家详细介绍了Java实现记事本功能,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-06-06
这篇文章主要介绍了java 中动态代理机制的实例讲解的相关资料,希望通过本文大家能够理解掌握动态代理机制,需要的朋友可以参考下2017-09-09
mybatis-plus 自定义 Service Vo接口实现数据库实体与 vo
这篇文章主要介绍了mybatis-plus 自定义 Service Vo接口实现数据库实体与 vo 对象转换返回功能,本文通过实例图文相结合给大家介绍的非常详细,感兴趣的朋友跟随小编一起看看吧2024-08-08
Spring MVC是个灵活的框架,返回JSON数据的也有很多五花八门的方式,下面这篇文章主要给大家介绍了关于Spring MVC中JSON数据处理方式的相关资料,需要的朋友可以参考下2024-01-01
这篇文章主要介绍了SpringBoot的监控及使用详解,Spring Boot提供了一系列的监控功能,方便开发人员对应用程序进行监控和管理,本文将讨论 Spring Boot中的监控功能及其使用方法,需要的朋友可以参考下2023-07-07
最新评论