SpringBoot实现防XSS攻击超详细教程.pdfVIP

SpringBoot实现防XSS攻击超详细教程 前⾔： 最近在熟悉公司的项⽬框架，看到这⼀块内容时深⼊了解了⼀下，在这⾥总结⼀下。 XSS攻击通常指的是通过利⽤⽹页开发时留下的漏洞，通过巧妙的⽅法注⼊恶意指令代码到⽹页，使⽤户加载并执⾏攻击者恶意制造的⽹页 程序。 跨站脚本攻击（XSS），是最普遍的Web应⽤安全漏洞。这类漏洞能够使得攻击者嵌⼊恶意脚本代码到正常⽤户会访问到的页⾯中，当正 常⽤户访问该页⾯时，则可导致嵌⼊的恶意脚本代码的执⾏，从⽽达到恶意攻击⽤户的⽬的。 实现教程： 1. 教程中会涉及到⼏个⼯具类的依赖，所以需要提前引⼊⼀下，在pom⽂件中新加 !--io常⽤⼯具类 -- dependency groupIdcommons-io/groupId artifactIdcommons-io/artifactId version2.5/version /dependency !--commons-lang3 ⼯具类 -- dependency groupIdmons/groupId artifactIdcommons-lang3/artifactId version3.5/version /dependency 2. 然后我们将两个所需⼯具类引⼊到项⽬中，直接ctrl+c、ctrl+v粘到项⽬中即可 这个⼯具类⽤来转义和反转义、清除所有HTML的标签。 package ; import StringUtils; /** * 转义和反转义⼯具类 * @author LiWT * @Date 2021/6/23 */ public class EscapeUtil { public static final String RE_HTML_MARK = ([^]*?)|([\\s]*?/[^]*?)|([^]*?/[\\s]*?); private static final char[][] TEXT = new char[64][]; static { for (int i = 0; i 64; i++) { TEXT[i] = new char[]{(char) i}; } // special HTML characters TEXT[\] = #039;.toCharArray(); // 单引号 TEXT[] = #34;.toCharArray(); // 单引号 TEXT[] = #38;.toCharArray(); // 符 TEXT[] = #60;.toCharArray(); // ⼩于号 TEXT[] = #62;.toCharArray(); // ⼤于号 } /** 转义⽂本中的 字符为安全的字符 * HTML * 被转义的⽂本 * @param text * @return 转义后的⽂本 */ */ public static String escape(String text) { return encode(text); } /** 还原被转义的 特殊字符 * HTML * 包含转义符的 内容 * @param content HTML 转换后的字符串 * @return */ public static String unescape(String content) { return decode(content); } /** 清除所有 标签，但是不删除标签内的内容 * HTML * ⽂本 * @param content 清除标签后的⽂本 * @return */ public static String clean(String content) {