SpringBoot 如何防护 XSS 攻击 ??(javascript怎么开启) |
您所在的位置:网站首页 › xss类型区别 › SpringBoot 如何防护 XSS 攻击 ??(javascript怎么开启) |
文章目录
XSS跨站脚本攻击
①:XSS漏洞介绍
②:XSS漏洞分类
③:防护建议
SQL注入攻击
①:SQL注入漏洞介绍
②:防护建议
springBoot中如何防止XSS攻击和sql注入
1. XSS跨站脚本攻击
①:XSS漏洞介绍
跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被解析执行,从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击! ②:XSS漏洞分类存储型XSS: 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。这种XSS比较危险,容易造成蠕虫,盗窃cookie ![]() 反射型XSS: 非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面 ![]() DOM型XSS: 不经过后端,DOM-XSS漏洞是基于文档对象模型(Document Objeet Model,DOM)的一种漏洞,DOM-XSS是通过url传入参数去控制触发的,其实也属于反射型XSS。 ③:防护建议 限制用户输入,表单数据规定值得类型,例如年龄只能是int,name为字母数字组合。 对数据进行html encode处理。 过滤或移除特殊的html标签。 过滤javascript事件的标签。 2. SQL注入攻击 ①:SQL注入漏洞介绍SQL注入(SQLi)是一种注入攻击,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录 SQL注入漏洞可能会影响使用SQL数据库(如MySQL,Oracle,SQL Server或其他)的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据:客户信息,个人数据,商业机密,知识产权等。SQL注入攻击是最古老,最流行,最危险的Web应用程序漏洞之一。 ②:防护建议使用mybatis中#{}可以有效防止sql注入 使用#{}时: select id,title,author,content from blog where id=#{id}打印出执行的sql语句,会看到sql是这样的: select id,title,author,content from blog where id = ?不管输入什么参数,打印出的sql都是这样的。这是因为mybatis启用了预编译功能,在sql执行前,会先将上面的sql发送给数据库进行编译,执行时,直接使用编译好的sql,替换占位符“?”就可以了。因为sql注入只能对编译过程起作用,所以像#{}这样预编译成?的方式就很好地避免了sql注入的问题。 mybatis是如何做到sql预编译的呢? 其实在框架底层,是jdbc中的PreparedStatement类在起作用,PreparedStatement是我们很熟悉的Statement的子类,它的对象包含了编译好的sql语句。这种“准备好”的方式不仅能提高安全性,而且在多次执行一个sql时,能够提高效率,原因是sql已编译好,再次执行时无需再编译。 使用${}时 select id,title,author,content from blog order by ${orderParam}仔细观察,内联参数的格式由“#{xxx}”变为了${xxx}。如果我们给参数“orderParam”赋值为”id”,将sql打印出来,是这样的: select id,title,author,contet from blog order by id显然,这样是无法阻止sql注入的,参数会直接参与sql编译,从而不能避免注入攻击。但涉及到动态表名和列名时,只能使用“${}”这样的参数格式,所以,这样的参数需要我们在代码中手工进行处理来防止注入。 3. springboot中如何防止XSS攻击和sql注入话不多说,上代码 对于Xss攻击和Sql注入,我们可以通过过滤器来搞定,可根据业务需要排除部分请求 ①:创建Xss请求过滤类XssHttpServletRequestWraper![]() 代码如下: public class XssHttpServletRequestWraper extends HttpServletRequestWrapper { Logger log = LoggerFactory.getLogger(this.getClass()); public XssHttpServletRequestWraper() { super(null); } public XssHttpServletRequestWraper(HttpServletRequest httpservletrequest) { super(httpservletrequest); } //过滤springmvc中的 @RequestParam 注解中的参数 public String[] getParameterValues(String s) { String str[] = super.getParameterValues(s); if (str == null) { return null; } int i = str.length; String as1[] = new String[i]; for (int j = 0; j |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |