北京国炬信息技术有限公司

  • 首页
  • 产品方案
    • 低代码平台
    • 流程设计器
    • 微服务方案
    • 表单设计器
    • 大屏设计器
    • 报表设计器
    • 流程数据中台
    • 移动APP方案
  • 新闻动态
    • 公司动态
    • 技术博客
    • 学习视频
  • 关于我们
    • 公司简介
    • 发展历程
    • 公司荣誉
    • 联系我们
  • 人才招聘
首页 > 新闻动态 > 公司动态

JeecgBoot抵御XSS攻击实现方案

作者:admin 发布时间:2022-05-12 点击数:

1. 问题描述

jeecgboot后台启动后,在浏览器输入地址

http://localhost:8080/jeecg-boot/jmreport/view/')%22οnmοuseοver=alert('hacking')%20%20(

弹出对话框在这里插入图片描述

2. 试验环境

jeecgboot 3.0

3. 增加配置类

  • 在jeecg-boot-module-system的config包下,新建xss包,并新增几个类在这里插入图片描述
  • 类的具体代码如下:
package org.jeecg.config.xss;
 
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
 
/**
 * Created by sunh on 2012/12/29.
 * xss 过滤器只能过滤form表单形式提交的参数
 */

public class XssFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
 
    }
 
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        System.out.println("***********开始过滤");
        XssHttpServletRequestWrapper xssRequest =
                new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        filterChain.doFilter(xssRequest, servletResponse);
    }
 
    @Override
    public void destroy() {
 
    }
}
package org.jeecg.config.xss;
 
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Primary;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
 
/**
 * Created by sunh on 2012/12/29.
 * xss 自动配置类
 */

@Configuration
public class XssFilterAtuoConfig {
 
    @Bean
    public FilterRegistrationBean xssFiltrRegister() {
        FilterRegistrationBean registration = new FilterRegistrationBean();
        registration.setFilter(new XssFilter());
        registration.addUrlPatterns("/*");
        registration.setName("XssFilter");
        registration.setOrder(1);
        return registration;
    }
 
 
    @Bean
    @Primary
    public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
        SimpleModule module = new SimpleModule();
        module.addDeserializer(String.class, new XssStringJsonDeserializer());
        ObjectMapper objectMapper = Jackson2ObjectMapperBuilder.json().build();
        objectMapper.registerModule(module);
        return new MappingJackson2HttpMessageConverter(objectMapper);
    }
}
package org.jeecg.config.xss;
 
import org.springframework.web.servlet.HandlerMapping;
 
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.util.LinkedHashMap;
import java.util.Map;
import java.util.Objects;
 
/**
 * Created by sunh on 2012/12/29.
 * xss 包装
 */

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
 
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return XssUtil.cleanXSS(value);
    }
 
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        return XssUtil.cleanXSS(value);
    }
 
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            int length = values.length;
            String[] escapseValues = new String[length];
            for (int i = 0; i < length; i++) {
                escapseValues[i] = XssUtil.cleanXSS(values[i]);
            }
            return escapseValues;
        }
        return super.getParameterValues(name);
    }
 
    /**
     * 主要是针对HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE 获取pathvalue的时候把原来的pathvalue经过xss过滤掉
     */

    @Override
    public Object getAttribute(String name) {
        // 获取pathvalue的值
        if (HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE.equals(name)) {
            Map uriTemplateVars = (Map) super.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);
            if (Objects.isNull(uriTemplateVars)) {
                return uriTemplateVars;
            }
            Map newMap = new LinkedHashMap<>();
            uriTemplateVars.forEach((key, value) -> {
                if (value instanceof String) {
                    newMap.put(key, XssUtil.cleanXSS((String) value));
                } else {
                    newMap.put(key, value);
 
                }
            });
            return newMap;
        } else {
            return super.getAttribute(name);
        }
    }
}
package org.jeecg.config.xss;
 
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
 
/**
 * Created by sunh on 2012/12/29.
 * 创建xss的json转换器
 */

public class XssObjectMapper extends ObjectMapper {
 
    public XssObjectMapper() {
        SimpleModule module = new SimpleModule("XSS JsonDeserializer");
        module.addDeserializer(String.class, new XssStringJsonDeserializer());
        this.registerModule(module);
    }
}
package org.jeecg.config.xss;
 
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.DeserializationContext;
import com.fasterxml.jackson.databind.JsonDeserializer;
import org.springframework.web.util.HtmlUtils;
 
import java.io.IOException;
 
/**
 * Created by sunh on 2012/12/29.
 * 基于xss的JsonDeserializer
 */

public class XssStringJsonDeserializer extends JsonDeserializer<String> {
 
 
    @Override
    public Class<String> handledType() {
        return String.class;
    }
 
    @Override
    public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException {
        return HtmlUtils.htmlEscape(jsonParser.getValueAsString());
    }
}
package org.jeecg.config.xss;
 
 
import java.util.Objects;
 
/**
 * Created by sunh on 2012/12/29
 * xss工具类
 */

public class XssUtil {
 
    public static String cleanXSS(String value) {
        if (Objects.isNull(value)) {
            return value;
        }
        //You'll need to remove the spaces from the html entities below
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }
}

4. 测试结果

启动后端,在浏览器访问地址

http://localhost:8080/jeecg-boot/jmreport/view/')%22οnmοuseοver=alert('hacking')%20%20(

未弹出对话框在这里插入图片描述启动前端,原来的服务能正常访问。


加入收藏
上一篇:JeecgBoot关于websocket的改进方案
下一篇:jenkins部署jeecg-boot3.1(前后端)自动化
返回列表

随便看看

  • JimuReport积木报表 v1.4.3版本发布,免费的可视化低代码报表
  • JimuBI 积木报表 v1.9.5发布,大屏和仪表盘,免费数据可视化
  • Jeecgboot-Vue3 v1.2.0 版本正式发布,企业级低代码平台
  • JeecgBoot 3.5.0 版本发布,开源的企业级低代码平台
  • 大屏设计器新版本v2.3发布—积木报表官网
  • JimuReport与deepseek结合,颠覆现有BI模式
  • 2022年度国内主流低代码平台介绍
  • 『开源资讯』低代码平台—JeecgBoot v3.6.1 版本发布,Online表单专项升级
  • 十分钟搞定JeecgBoot 单体升级微服务!
  • JeeWx 捷微 V3.3 版本发布,支持微信公众号、微信

  • 公司产品
  • JeecgBoot低代码平台
  • 敲敲云零代码
  • 大屏设计器
  • 流程设计器
  • 表单设计器
  • 源码下载
  • JeecgBoot低代码平台
  • 积木报表平台
  • 移动开发平台
  • 微信管家平台
  • 更多信息
  • JEECG官方论坛
  • JEECG插件市场
  • 仪表盘设计器
  • 积木报表官网
  • 联系我们
  • 中国·北京·朝阳区科荟前街1号院奥林佳泰大厦9层
  • 商务QQ: 69893005、418799587
  • 商务热线: 010-64808099(5*8小时)
  • 项目外包: 18611788525(5*8小时)
  • 扫码关注我们
Copyright © 2015 北京国炬软件 All Rights Reserved Powered by JEECG 京ICP备2023027727号