Índice
Um filtro de definição XssFillter herda Fillter para interceptar solicitações http
Três classes de inicialização de configuração
definição
XSS é uma abreviação de Cross Site Scripting. O método de ataque xss é executado quando o usuário usa o navegador e rouba informações do usuário (como cookies, etc.) incorporando scripts. É mais difícil de detectar do que um site de phishing e geralmente é implementado com JavaScript.
Solução
- Configurações de front-end, como usar vue para definir httponly
- A solicitação http de back-end executa uma operação de escape ( isso é introduzido principalmente aqui )
A ideia é a seguinte:
um filtro de definição XssFillter herda o Fillter para interceptar requisições http
package com.example.wechatdemo.config.xss;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
//拦截请求
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request= (HttpServletRequest) servletRequest;
//先进行转义在把请求返回
XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
filterChain.doFilter(wrapper,servletResponse);
}
@Override
public void destroy() {
}
}Em segundo lugar, use a classe de ferramenta para herdar HttpServletRequestWrapper para escape de solicitação
O sistema de herança de HttpServletRquestWrapper é mostrado na figura abaixo. A classe de ferramenta herda HttpServletRequestWrapper e sobrescreve getParameterNames, getParameter, getParameterValues e outros métodos para simplesmente executar o escape de solicitação http
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
//思路是使用 HttpServletRequestWrapper 实现后端
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
//提取请求参数
@Override
public String getParameter(String name) {
String value= super.getParameter(name);
if(!StrUtil.hasEmpty(value)){
value=HtmlUtil.filter(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] values= super.getParameterValues(name);
if(values!=null){
for (int i=0;i<values.length;i++){
String value=values[i];
if(!StrUtil.hasEmpty(value)){
value=HtmlUtil.filter(value);
}
values[i]=value;
}
}
return values;
}
//转义数据
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> parameters = super.getParameterMap();
LinkedHashMap<String, String[]> map=new LinkedHashMap();
if(parameters!=null){
for (String key:parameters.keySet()){
String[] values=parameters.get(key);
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
//导入Hutool的依赖,进行html转义
value = HtmlUtil.filter(value);
}
values[i] = value;
}
map.put(key,values);
}
}
return map;
}
@Override
public String getHeader(String name) {
String value= super.getHeader(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
return value;
}
@Override
public ServletInputStream getInputStream() throws IOException {
InputStream in= super.getInputStream();
//指定字符集编码
InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
BufferedReader buffer=new BufferedReader(reader);
StringBuffer body=new StringBuffer();
String line=buffer.readLine();
while(line!=null){
body.append(line);
line=buffer.readLine();
}
buffer.close();
reader.close();
in.close();
Map<String,Object> map=JSONUtil.parseObj(body.toString());
Map<String,Object> result=new LinkedHashMap<>();
for(String key:map.keySet()){
Object val=map.get(key);
if(val instanceof String){
if(!StrUtil.hasEmpty(val.toString())){
result.put(key,HtmlUtil.filter(val.toString()));
}
}
else {
result.put(key,val);
}
}
String json=JSONUtil.toJsonStr(result);
ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
//匿名类实现IO流
return new ServletInputStream() {
@Override
public int read() throws IOException {
return bain.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
};
}
}Três classes de inicialização de configuração
A classe de inicialização deve ativar a verificação do servlet
@SpringBootApplication
@EnableScheduling
@ServletComponentScan
public class SpringBootBaseApplication {
public static void main(String[] args) throws IOException {
SpringApplication.run(SpringBootBaseApplication.class, args);
}
}Quatro camadas de controle
import com.example.wechatdemo.common.util.R;
import com.example.wechatdemo.controller.form.TestFrom;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.web.bind.annotation.*;
import javax.validation.Valid;
@RestController
@RequestMapping
@Api("测试web接口")
public class TestController {
@PostMapping("/sayhello")
@ApiOperation("简单的测试方法")
public R sayHello(@Valid @RequestBody TestFrom testFrom){
return R.ok().put("message",testFrom.getName());
}
}teste
A captura de tela do teste swagger2 é a seguinte
