SpringBoot去除参数前后空格和XSS过滤
作者:linmengmeng 发布时间:2023-07-27 02:33:56
标签:SpringBoot,去除前后空格,XSS过滤
去除XSS字符串需要借助工具类 jsoup ,这里jsoup有一点需要注意的是,jsoup的功能可能有点太强大了,能把xss攻击的内容直接过滤掉了不说,也会对英文尖括号<>转义,到接口里面拿到的参数就变成了<>,存库里面的就是转义后的字符串了。取出来的时候需要转一下。
比如前台传的参数传的是: 12<>3<script>alter('11111111')</script>455
过滤处理了后,到后台接口里面就成了:[12<>3455]
如果上面的结果能接受,那么这个工具类就可以用。
引入依赖 jsoup
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.12.1</version>
</dependency>
JsoupUtil.java工具类:
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;
/**
*
* @Auther linmengmeng
* @Date 2021-08-19 15:47
*
* 描述: 过滤 HTML 标签中 XSS 代码
*/
public class JsoupUtil {
/**
* 使用自带的 basicWithImages 白名单
* 允许的便签有 a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,strike,strong,sub,sup,u,ul,img
* 以及 a 标签的 href,img 标签的 src,align,alt,height,width,title 属性
*/
private static final Whitelist whitelist = Whitelist.basicWithImages();
/** 配置过滤化参数, 不对代码进行格式化 */
private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
static {
// 富文本编辑时一些样式是使用 style 来进行实现的
// 比如红色字体 style="color:red;"
// 所以需要给所有标签添加 style 属性
whitelist.addAttributes(":all", "style");
}
public static String clean(String content) {
return Jsoup.clean(content, "", whitelist, outputSettings);
}
}
首先是定义参数过滤器:ParamsFilter 实现 Filter 类
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
/**
* Description : 参数过滤器
*
*/
public class ParamsFilter implements Filter {
@Override
public void doFilter(ServletRequest arg0, ServletResponse arg1,
FilterChain arg2) throws IOException, ServletException {
ParameterRequestWrapper parmsRequest = new ParameterRequestWrapper(
(HttpServletRequest) arg0);
arg2.doFilter(parmsRequest, arg1);
}
@Override
public void init(FilterConfig arg0) throws ServletException {
}
@Override
public void destroy() {
}
}
添加参数过滤配置文件:
import gc.cnnvd.framework.core.filter.ParamsFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import javax.servlet.DispatcherType;
@Configuration
public class ParameterTrimConfig {
/**
* 去除参数头尾空格过滤器
* @return
*/
@Bean
public FilterRegistrationBean parmsFilterRegistration() {
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setDispatcherTypes(DispatcherType.REQUEST);
registration.setFilter(new ParamsFilter());
registration.addUrlPatterns("/*");
registration.setName("paramsFilter");
registration.setOrder(Integer.MAX_VALUE-1);
return registration;
}
}
处理都交给了这货:
import com.alibaba.fastjson.JSON;
import gc.cnnvd.framework.config.converter.JsonValueTrimUtil;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.io.IOUtils;
import org.apache.commons.lang3.StringUtils;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.ByteArrayInputStream;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
import java.util.HashMap;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
/**
*
* @Auther linmengmeng
* @Date 2021-03-25 15:47
*
* Description : 请求参数的处理,
* 1. 去除参数前后空格
* 2. 过滤XSS非法字符
*
*/
public class ParameterRequestWrapper extends HttpServletRequestWrapper {
private Map<String , String[]> params = new HashMap<>();
public ParameterRequestWrapper(HttpServletRequest request) {
// 将request交给父类,以便于调用对应方法的时候,将其输出,其实父亲类的实现方式和第一种new的方式类似
super(request);
//将参数表,赋予给当前的Map以便于持有request中的参数
Map<String, String[]> requestMap=request.getParameterMap();
this.params.putAll(requestMap);
this.modifyParameterValues();
}
/**
* 重写getInputStream方法 post类型的请求参数必须通过流才能获取到值
*/
@Override
public ServletInputStream getInputStream() throws IOException {
//非json类型,直接返回
if (!MediaType.APPLICATION_JSON_VALUE.equalsIgnoreCase(super.getHeader(HttpHeaders.CONTENT_TYPE))){
return super.getInputStream();
}
//为空,直接返回
String json = IOUtils.toString(super.getInputStream(), StandardCharsets.UTF_8);
if (StringUtils.isEmpty(json)) {
return super.getInputStream();
}
Object resultObject = JsonValueTrimUtil.jsonStrTrim(json);//这里处理的是json传参的参数
ByteArrayInputStream bis = new ByteArrayInputStream(JSON.toJSONString(resultObject).getBytes(StandardCharsets.UTF_8));
return new CustomServletInputStream(bis);
}
/**
* 将parameter的值去除空格后重写回去
*/
public void modifyParameterValues(){
Set<String> set = params.keySet();
Iterator<String> it = set.iterator();
while(it.hasNext()){
String key = it.next();
String[] values = params.get(key);
values[0] = values[0].trim();
values[0] = JsoupUtil.clean(values[0]);//这里处理的是form传参的参数
params.put(key, values);
}
}
/**
* 重写getParameter 参数从当前类中的map获取
*/
@Override
public String getParameter(String name) {
String[]values = params.get(name);
if(values == null || values.length == 0) {
return null;
}
return values[0];
}
/**
* 重写getParameterValues
*/
@Override
public String[] getParameterValues(String name) {//同上
return params.get(name);
}
class CustomServletInputStream extends ServletInputStream{
private ByteArrayInputStream bis;
public CustomServletInputStream(ByteArrayInputStream bis){
this.bis=bis;
}
@Override
public boolean isFinished() {
return true;
}
@Override
public boolean isReady() {
return true;
}
@Override
public void setReadListener(ReadListener listener) {
}
@Override
public int read() throws IOException {
return bis.read();
}
}
}
上面form传的参数直接处理了,那么要是JSON传的参数,就要借助下面的工具类了:
import cn.hutool.json.JSONTokener;
import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import gc.cnnvd.framework.util.JsoupUtil;
import org.apache.commons.lang3.StringUtils;
import java.util.Map;
import java.util.Set;
/**
* @Auther linmengmeng
* @Date 2021-03-25 15:47
* 1. 去除Json字符串中的属性值前后空格的工具类
* 2. 去除 XSS 攻击字符
*/
public class JsonValueTrimUtil {
public static Object jsonStrTrim(String jsonStr){
if (StringUtils.isBlank(jsonStr)){
return "";
}
Object typeObject = new JSONTokener(jsonStr).nextValue();
if (typeObject instanceof cn.hutool.json.JSONObject){
return jsonObjectTrim(JSONObject.parseObject(jsonStr));
}
if (typeObject instanceof cn.hutool.json.JSONArray){
return jsonArrayTrim(JSONArray.parseArray(jsonStr));
}
jsonStr = JsoupUtil.clean(jsonStr);
return jsonStr.trim();
}
/**
* @Description: 传入jsonObject 去除当中的空格
* @param jsonObject
* @return
*/
public static JSONObject jsonObjectTrim(JSONObject jsonObject){
// 取出 jsonObject 中的字段的值的空格
Set<Map.Entry<String, Object>> entrySets = jsonObject.entrySet();
entrySets.forEach(entry -> {
Object value = entry.getValue();
if (value == null){
return;
}
if (value instanceof String) {
String resultValue = (String) value;
if (StringUtils.isNotBlank(resultValue)){
resultValue = resultValue.trim();
resultValue = JsoupUtil.clean(resultValue);
jsonObject.put(entry.getKey(), resultValue);
}
return;
}
if (value instanceof JSONObject){
jsonObject.put(entry.getKey(), jsonObjectTrim((JSONObject) value));
return;
}
if (value instanceof JSONArray){
jsonObject.put(entry.getKey(), jsonArrayTrim((JSONArray) value));
return;
}
});
return jsonObject;
}
/**
* @Description: 将 jsonarry 的jsonObject 中的value值去处前后空格
* @param arr
* @return
*/
public static JSONArray jsonArrayTrim(JSONArray arr){
if( arr != null && arr.size() > 0){
Object tempObject = null;
for (int i = 0; i < arr.size(); i++) {
tempObject = arr.get(i);
if (tempObject instanceof String){
arr.set(i, tempObject );
continue;
}
JSONObject jsonObject = (JSONObject) arr.get(i);
// 取出 jsonObject 中的字段的值的空格
jsonObject = jsonObjectTrim(jsonObject);
arr.set(i, jsonObject );
}
}
return arr;
}
}
测试一下:
import gc.cnnvd.framework.common.api.ApiResult;
import gc.cnnvd.framework.log.annotation.OperationLogIgnore;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiModel;
import io.swagger.annotations.ApiModelProperty;
import io.swagger.annotations.ApiOperation;
import lombok.Data;
import lombok.experimental.Accessors;
import lombok.extern.slf4j.Slf4j;
import org.springframework.validation.annotation.Validated;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestBody;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import javax.validation.constraints.NotBlank;
import java.io.Serializable;
/**
* @Auther linmengmeng
* @Date 2021-03-30 16:24
*/
@Slf4j
@RestController
@RequestMapping("/tourist")
@Api(value = "测试游客页面xss", tags = {"游客页面xss"})
public class TouristTestXssController {
@PostMapping("/testXssForm")
@OperationLogIgnore
@ApiOperation(value = "测试放开游客页面接口xssForm", notes = "测试放开游客页面接口xssForm", response = String.class)
public ApiResult<String> testXss(TestXssFormParam testXssFormParam) {
log.info("form param testStr:[{}]", testXssFormParam.getTestStr());
// from 不好使
return ApiResult.ok(testXssFormParam.getTestStr());
}
@PostMapping("/testXssJson")
@OperationLogIgnore
@ApiOperation(value = "测试放开游客页面接口xssJson", notes = "测试放开游客页面接口xssJson", response = String.class)
public ApiResult<String> testXssJson(@Validated @RequestBody TestXssFormParam testXssFormParam) {
log.info("json param testStr:[{}]", testXssFormParam.getTestStr());
return ApiResult.ok(testXssFormParam.getTestStr());
}
@Data
@Accessors(chain = true)
@ApiModel(value = "testXss参数")
public static class TestXssFormParam implements Serializable {
private static final long serialVersionUID = 1L;
@NotBlank(message = "testStr不能为空")
@ApiModelProperty("testStr")
private String testStr;
}
}
上面接口里面的ApiResult为自定义封装的返回数据格式,可以直接修改接口返回类型改为String,就是为了看下后台处理后,返回前台是什么样的。
form传参,过滤成功。
JSON传参,也没毛病。
来源:https://juejin.cn/post/7003233275288223751
0
投稿猜你喜欢
- 本文我们将要讨论Java面试中的各种不同类型的面试题,它们可以让雇主测试应聘者的Java和通用的面向对象编程的能力。下面的章节分为上下两篇,
- 本文实例讲述了JAVA中的final关键字用法。分享给大家供大家参考,具体如下:根据上下文环境,java的关键字final也存在着细微的区别
- 前端页面功能模块化拆分当一个系统的功能很多时,不可能所有功能模块的页面都写在一个页面里面,这时就需要将不同功能模块的页面拆分出去,就像模板一
场景:最新的leakCanary2.8.1:debugImplementation 'com.squareup.leakcanary- java类型转换 Integer String Long Float Double Date1如何将字串 String 转换成整数 int?
- 本文实例讲述了JDBC基础知识与技巧。分享给大家供大家参考。具体分析如下:1.什么是JDBC?通俗来讲JDBC技术就是通过java程序来发送
- 问题描述:String preStr = "a.b.c"; // 这里要把该字符串按小圆点进行分割,成"a&q
- 堆排序基本介绍1、堆排序是利用堆这种数据结构而设计的一种排序算法,堆排序是一种选择排序,它的最坏,最好,平均时间复杂度均为O(nlogn),
- 一、插入排序算法实现java版本public static int[] insert_sort(int[] a){for (int i =
- https://www.jb51.net/article/114838.htm这篇文章很详细的介绍了JS的跨域,给出的解决方案是spring
- 下面是一段大家都比较熟悉的代码:Handler handler = new Handler(); handler.post(myThread
- 背景大家在使用Selenium + Chromedriver爬取网站信息的时候,以为这样就能做到不被网站的反爬虫机制发现。但是实际上很多参数
- 谈到多线程就不得不谈到Synchronized,重要性不言而喻,今天主要谈谈Synchronized的实现原理。Synchronizedsy
- 实践过程效果代码public partial class Form1 : Form{ public Form1()
- 首先说微信企业号的开发模式分为:编辑模式(普通模式)和开发模式(回调模式) ,在编辑模式下,只能做简单的自定义菜单和自动回复消息,要想实现其
- 一、背景知识:树(Tree)在之前的笔记中,我们介绍的链表、栈、队列、数组和字符串都是以线性结构来组织数据的。本篇笔记要介绍的树采用的是树状
- 前言通过深入分析Spring源码,我们知道Spring框架包括大致六大模块, 如Web模块,数据库访问技术模块,面向切面模块,基础设施模块,
- 1. 下载Tomcat首先,下载Apache Tomcat并解压到本地计算机,可存放于任何位置。另外,需要在系统中环境JRE_H
- 上周工作中遇到一个奇怪的问题,解决之后想想还是写出来和大家分享一下。故障描述:在A程序中使用Process.Start方法调用一个B.exe
- 将SuperSocket封装成类库之后可以将其集成进各种类型的应用,而不仅仅局限于控制台应用程序了,从而应用于不同的场景。这里以Telnet
