目录介绍：

• 1、SpringMVC过滤字符防御xss攻击
• 2、Spring MVC 如何防止XSS、SQL注入攻击
• 3、SpringBoot 防止SQL注入、XSS攻击、CSRF/CROS恶意访问
• 4、【快学springboot】15、SpringBoot过滤XSS脚本攻击
• 5、Struct2+Spring 架构JavaWeb项目，出现xss跨站脚本攻击漏洞解决方案？？
• 6、Spring MVC中，遇到XSS、SQL注入攻击怎么处理？

SpringMVC过滤字符防御xss攻击

1.参数重写类ParameterRequestWrapper

2.读取body参数类RepeatedlyRequestWrapper

3.将字节数组转换为字符串HttpHelper

4.过滤器RepeatableFilter

5.web.xml配置过滤器

Spring MVC 如何防止XSS、SQL注入攻击

在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原 在显示的时候对非法字符进行转义 如果项目还处在起步阶段，建议使用第二种，直接使用jstl的c:out标签即可解决非法字符的问题。当然，对于Javascript还需要自己处理一下，写一个方法，在解析从服务器端获取的数据时执行以下escapeHTML()即可。 附：Javascript方法： String.prototype.escapeHTML = function () { return this.replace(//g, ‘’).replace(//g, ‘’).replace(//g, ‘’).replace(/”/g, ‘"’);} 如果项目已经开发完成了，又不想大批量改动页面的话，可以采用第一种方法，此时需要借助Spring MVC的@InitBinder以及org.apache.commons.lang.PropertyEditorSupport、org.apache.commons.lang.StringEscapeUtils public class StringEscapeEditor extends PropertyEditorSupport { private boolean escapeHTML; private boolean escapeJavaScript; private boolean escapeSQL; public StringEscapeEditor() { super(); } public StringEscapeEditor(boolean escapeHTML, boolean escapeJavaScript, boolean escapeSQL) {super();this.escapeHTML = escapeHTML; this.escapeJavaScript = escapeJavaScript; this.escapeSQL = escapeSQL;}@Overridepublic void setAsText(String text) { if (text == null) { setValue(null);} else {String value = text; if (escapeHTML) { value = StringEscapeUtils.escapeHtml(value); } if (escapeJavaScript) { value = StringEscapeUtils.escapeJavaScript(value); } if (escapeSQL) { value = StringEscapeUtils.escapeSql(value); } setValue(value); }}@Overridepublic String getAsText() { Object value = getValue(); return value != null ? value.toString() : “”; }} 在上面我们做了一个EscapeEditor，下面还要将这个Editor和Spring的Controller绑定，使服务器端接收到数据之后能够自动转移特殊字符。 下面我们在@Controller中注册@InitBinder @InitBinder public void initBinder(WebDataBinder binder) { 这个方法可以直接放到abstract Controller类中，这样子每个Controller实例都能够拥有该方法。至此第二种方法完成，但是在还原的方法暂时还没有。

SpringBoot 防止SQL注入、XSS攻击、CSRF/CROS恶意访问

一、SQL 注入问题

SQL 注入即是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

简单来说，就是将大部分 SQL 语句当参数传入系统中，从而获取系统中的数据。下面简单举例说明

系统中有这样一条信息 SQL 语句执行，分页查询所有用户，每页查询 20 条，并且根据指定字段进行排序，也就是说排序字段也是参数传递过来的

SQL 注入问题分析：

这样很简单的一句话 SQL，就可以把系统搞炸掉，这种方式可以实现删库跑路

以上语句会把整个 test 数据库所有内容都删掉

尽量用预编译机制，少用字符串拼接的方式传参，它是 sql 注入问题的根源。

有些特殊字符，比如：%作为 like 语句中的参数时，要对其进行转义处理。

需要对所有的异常情况进行捕获，切记接口直接返回异常信息，因为有些异常信息中包含了 sql 信息，包括：库名，表名，字段名等。攻击者拿着这些信息，就能通过 sql 注入随心所欲地攻击你的数据库了。目前比较主流的做法是，有个专门的网关服务，它统一暴露对外接口。用户请求接口时先经过它，再由它将请求转发给业务服务。这样做的好处是：能统一封装返回数据的返回体，并且如果出现异常，能返回统一的异常信息，隐藏敏感信息。此外还能做限流和权限控制。

使用 sqlMap 等待代码检测工具，它能检测 sql 注入漏洞。

需要对数据库 sql 的执行情况进行监控，有异常情况，及时邮件或短信提醒。

对生产环境的数据库建立单独的账号，只分配 DML 相关权限，且不能访问系统表。切勿在程序中直接使用管理员账号。

建立代码 review 机制，能找出部分隐藏的问题，提升代码质量。

对于不能使用预编译传参时，要么开启 druid 的 filter 防火墙，要么自己写代码逻辑过滤掉所有可能的注入关键字。

XSS 攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和 cookie 等各种内容。

通常情况下，被用来盗用 Cookie、破坏页面结构、重定向到其他网站等

对用户输入的表单信息进行检测过滤

CSRF - Cross-Site Request Forgery - 跨站请求伪造:

攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点，从而在未授权的情况下执行在权限保护之下的操作，CORS - Cross Origin Resourse-Sharing - 跨站资源共享，恶意访问内网敏感资源。

有效的解决办法是通过多种条件屏蔽掉非法的请求，例如 HTTP 头、参数等：

防止大规模的恶意请求，niginx 反向代理可以配置请求频率，对 ip 做限制。nginx 可以很方便地做访问控制，特别是一些偶发性的大量恶意请求，需要屏蔽处理。

屏蔽 ip 地址

屏蔽 user-agent

屏蔽代理 ip

有两种情形会需要屏蔽代理 ip：一是代理 ip 访问，二是负载均衡（real-ip 请求负载均衡服务器，再代理给后端 server）

创建 XssAndSqlHttpServletRequestWrapper 包装器，这是实现 XSS 过滤的关键，在其内重写了 getParameter，getParameterValues，getHeader 等方法，对 http 请求内的参数进行了过滤

【快学springboot】15、SpringBoot过滤XSS脚本攻击

XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

简而言之，就是作恶用户通过表单提交一些前端代码，如果不做处理的话，这些前端代码将会在展示的时候被浏览器执行。

解决XSS攻击，可以通过后端对输入的数据做过滤或者转义，使XSS攻击代码失效。

对于过滤XSS脚本的代码，通过搜索引擎可以搜索到很多，但似乎都不是那么全面。基本上都是只能过滤querystring（表单类型）类型的入参，而不能过滤json类型的入参。其实，在现在的开发中，更多的是使用json类型做数据交互。下面就直接贴代码了：

这里重写了两个方法：getParameter和getParameterValues，getParameter方法是直接通过request获得querystring类型的入参调用的方法。如果是通过springMVC注解类型来获得参数的话，走的是getParameterValues的方法。大家可以通过打印一个输出来验证一下。

StringEscapeUtils.escapeHtml4这个方法来自Apache的工具类，maven坐标如下：

过滤的代码写完了，下面就是在一个filter中应用该代码。

过滤表单类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码：

代码如下：

这里是通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过第一种方法，重写getInputStream方法来实现，这里我就不做演示了(通过json类型传参会走getInputStream方法，通过重写该方法打印输出可以证明)。

TestController.java

下面通过postman测试下效果：

可以看到，js代码已经经过转义。转义过后的代码，即使前端读取过去了，也不会被浏览器执行的。

Struct2+Spring 架构JavaWeb项目，出现xss跨站脚本攻击漏洞解决方案？？

没用到富文本的话可以用spring里的HtmlUtils.htmlEscape(string str)来对parameter转码。是用filter还是其他方式都可以

Spring MVC中，遇到XSS、SQL注入攻击怎么处理？

1、在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原；

2、在显示的时候对非法字符进行转义；

如果项目还处在起步阶段，建议使用第二种，直接使用jstl的标签即可解决非法字符的问题。在解析从服务器端获取的数据时执行以下escapeHTML()即可。

来源：麦子学院