SpringBoot如何防护XSSSQL注入攻击？终于懂了！

　　1。XSS跨站脚本攻击XSS漏洞介绍
　　跨站脚本攻击XSS是指攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被解析执行，从而达到恶意攻击用户的目的。XSS攻击针对的是用户层面的攻击！
　　XSS漏洞分类
　　存储型XSS：存储型XSS，持久化，代码是存储在服务器中的，如在个人信息或发表文章等地方，插入代码，如果没有过滤或过滤不严，那么这些代码将储存到服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫，盗窃cookie
　　反射型XSS：非持久化，需要欺骗用户自己去点击链接才能触发XSS代码（服务器中没有这样的页面和内容），一般容易出现在搜索页面
　　DOM型XSS：不经过后端，DOMXSS漏洞是基于文档对象模型（DocumentObjeetModel，DOM）的一种漏洞，DOMXSS是通过url传入参数去控制触发的，其实也属于反射型XSS。防护建议限制用户输入，表单数据规定值得类型，例如年龄只能是int，name为字母数字组合。对数据进行htmlencode处理。过滤或移除特殊的html标签。过滤javascript事件的标签。2。SQL注入攻击SQL注入漏洞介绍
　　SQL注入（SQLi）是一种注入攻击，可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询，使攻击者能够完全控制Web应用程序后面的数据库服务器。攻击者可以使用SQL注入漏洞绕过应用程序安全措施；可以绕过网页或Web应用程序的身份验证和授权，并检索整个SQL数据库的内容；还可以使用SQL注入来添加，修改和删除数据库中的记录；关注公众号：码猿技术专栏，回复关键词：1111获取阿里内部Java性能优化手册！
　　SQL注入漏洞可能会影响使用SQL数据库（如MySQL，Oracle，SQLServer或其他）的任何网站或Web应用程序。犯罪分子可能会利用它来未经授权访问用户的敏感数据：客户信息，个人数据，商业机密，知识产权等。SQL注入攻击是最古老，最流行，最危险的Web应用程序漏洞之一。防护建议
　　使用mybatis中｛｝可以有效防止sql注入。
　　使用｛｝时：selectidgetBlogByIdresultTypeBlogparameterTypeintselectid，title，author，contentfromblogwhereid｛id｝select
　　打印出执行的sql语句，会看到sql是这样的：selectid，title，author，contentfromblogwhereid？
　　不管输入什么参数，打印出的sql都是这样的。这是因为mybatis启用了预编译功能，在sql执行前，会先将上面的sql发送给数据库进行编译，执行时，直接使用编译好的sql，替换占位符？就可以了。因为sql注入只能对编译过程起作用，所以像｛｝这样预编译成？的方式就很好地避免了sql注入的问题。
　　mybatis是如何做到sql预编译的呢？
　　其实在框架底层，是jdbc中的PreparedStatement类在起作用，PreparedStatement是我们很熟悉的Statement的子类，它的对象包含了编译好的sql语句。这种准备好的方式不仅能提高安全性，而且在多次执行一个sql时，能够提高效率，原因是sql已编译好，再次执行时无需再编译。
　　使用｛｝时selectidorderBlogresultTypeBlogparameterTypemapselectid，title，author，contentfromblogorderby｛orderParam｝select
　　仔细观察，内联参数的格式由｛xxx｝变为了｛xxx｝。如果我们给参数orderParam赋值为id，将sql打印出来，是这样的：selectid，title，author，contetfromblogorderbyid
　　显然，这样是无法阻止sql注入的，参数会直接参与sql编译，从而不能避免注入攻击。但涉及到动态表名和列名时，只能使用｛｝这样的参数格式，所以，这样的参数需要我们在代码中手工进行处理来防止注入。
　　其实，这些都在Java面试库小程序上都有答案，如果你近期准备面试跳槽，建议在上面刷题，涵盖2000道Java面试题，几乎覆盖了所有主流技术面试题。3。SpringBoot中如何防止XSS攻击和sql注入
　　对于Xss攻击和Sql注入，我们可以通过过滤器来搞定，可根据业务需要排除部分请求创建Xss请求过滤类XssHttpServletRequestWraper
　　代码如下：publicclassXssHttpServletRequestWraperextendsHttpServletRequestWrapper｛LoggerlogLoggerFactory。getLogger（this。getClass（））；publicXssHttpServletRequestWraper（）｛super（null）；｝publicXssHttpServletRequestWraper（HttpServletRequesthttpservletrequest）｛super（httpservletrequest）；｝过滤springmvc中的RequestParam注解中的参数publicString〔〕getParameterValues（Strings）｛Stringstr〔〕super。getParameterValues（s）；if（strnull）｛returnnull；｝intistr。length；Stringas1〔〕newString〔i〕；for（intj0；ji；j）｛System。out。println（getParameterValues：str〔j〕）；as1〔j〕cleanXSS（cleanSQLInject（str〔j〕））；｝log。info（XssHttpServletRequestWraper净化后的请求为：as1）；returnas1；｝过滤request。getParameter的参数publicStringgetParameter（Strings）｛Strings1super。getParameter（s）；if（s1null）｛returnnull；｝else｛Strings2cleanXSS（cleanSQLInject（s1））；log。info（XssHttpServletRequestWraper净化后的请求为：s2）；returns2；｝｝过滤请求体json格式的OverridepublicServletInputStreamgetInputStream（）throwsIOException｛finalByteArrayInputStreambaisnewByteArrayInputStream（inputHandlers（super。getInputStream（））。getBytes（））；returnnewServletInputStream（）｛Overridepublicintread（）throwsIOException｛returnbais。read（）；｝OverridepublicbooleanisFinished（）｛returnfalse；｝OverridepublicbooleanisReady（）｛returnfalse；｝OverridepublicvoidsetReadListener（ReadListenerreadListener）｛｝｝；｝publicStringinputHandlers（ServletInputStreamservletInputStream）｛StringBuildersbnewStringBuilder（）；BufferedReaderreadernull；try｛readernewBufferedReader（newInputStreamReader（servletInputStream，Charset。forName（UTF8）））；Stringline；while（（linereader。readLine（））！null）｛sb。append（line）；｝｝catch（IOExceptione）｛e。printStackTrace（）；｝finally｛if（servletInputStream！null）｛try｛servletInputStream。close（）；｝catch（IOExceptione）｛e。printStackTrace（）；｝｝if（reader！null）｛try｛reader。close（）；｝catch（IOExceptione）｛e。printStackTrace（）；｝｝｝returncleanXSS（sb。toString（））；｝publicStringcleanXSS（Stringsrc）｛Stringtempsrc；srcsrc。replaceAll（，）。replaceAll（，）；srcsrc。replaceAll（（，（）。replaceAll（），））；srcsrc。replaceAll（，）；srcsrc。replaceAll（；，；）；bgh20180530新增startsrcsrc。replaceAll（，lt；）。replaceAll（，gt；）；srcsrc。replaceAll（（，40；）。replaceAll（），41）；srcsrc。replaceAll（eval（（。）），）；srcsrc。replaceAll（〔〕〔s〕javascript：（。）〔〕，）；srcsrc。replaceAll（script，）；srcsrc。replaceAll（link，）；srcsrc。replaceAll（frame，）；endPatternpatternPattern。compile（（eval（（。））script），Pattern。CASEINSENSITIVE）；Matchermatcherpattern。matcher（src）；srcmatcher。replaceAll（）；patternPattern。compile（〔〕〔s〕javascript：（。）〔〕，Pattern。CASEINSENSITIVE）；matcherpattern。matcher（src）；srcmatcher。replaceAll（）；增加脚本srcsrc。replaceAll（script，）。replaceAll（；，）。replaceAll（，）。replaceAll（，）。replaceAll（0x0d，）。replaceAll（0x0a，）；if（！temp。equals（src））｛System。out。println（输入信息存在xss攻击！）；System。out。println（原始输入信息temp）；System。out。println（处理后信息src）；log。error（xss攻击检查：参数含有非法攻击字符，已禁止继续访问！！）；log。error（原始输入信息temp）；thrownewCustomerException（xss攻击检查：参数含有非法攻击字符，已禁止继续访问！！）；｝returnsrc；｝输出publicvoidoutputMsgByOutputStream（HttpServletResponseresponse，Stringmsg）throwsIOException｛ServletOutputStreamoutputStreamresponse。getOutputStream（）；获取输出流response。setHeader（contenttype，texthtml；charsetUTF8）；通过设置响应头控制浏览器以UTF8的编码显示数据，如果不加这句话，那么浏览器显示的将是乱码byte〔〕dataByteArrmsg。getBytes（UTF8）；将字符转换成字节数组，指定以UTF8编码进行转换outputStream。write（dataByteArr）；使用OutputStream流向客户端输出字节数组｝需要增加通配，过滤大小写组合publicStringcleanSQLInject（Stringsrc）｛StringlowSrcsrc。toLowerCase（）；Stringtempsrc；StringlowSrcAfterlowSrc。replaceAll（insert，forbidI）。replaceAll（select，forbidS）。replaceAll（update，forbidU）。replaceAll（delete，forbidD）。replaceAll（and，forbidA）。replaceAll（or，forbidO）；if（！lowSrcAfter。equals（lowSrc））｛log。error（sql注入检查：输入信息存在SQL攻击！）；log。error（原始输入信息temp）；log。error（处理后信息lowSrc）；thrownewCustomerException（sql注入检查：参数含有非法攻击字符，已禁止继续访问！！）；｝returnsrc；｝｝把请求过滤类XssHttpServletRequestWraper添加到Filter中，注入容器ComponentpublicclassXssFilterimplementsFilter｛LoggerlogLoggerFactory。getLogger（this。getClass（））；忽略权限检查的url地址privatefinalString〔〕excludeUrlsnewString〔〕｛null｝；publicvoiddoFilter（ServletRequestarg0，ServletResponsearg1，FilterChainarg2）throwsIOException，ServletException｛HttpServletRequestreq（HttpServletRequest）arg0；HttpServletResponseresponse（HttpServletResponse）arg1；StringpathInforeq。getPathInfo（）null？：req。getPathInfo（）；获取请求url的后两层Stringurlreq。getServletPath（）pathInfo；获取请求你ip后的全部路径Stringurireq。getRequestURI（）；注入xss过滤器实例XssHttpServletRequestWraperreqWnewXssHttpServletRequestWraper（req）；过滤掉不需要的Xss校验的地址for（Stringstr：excludeUrls）｛if（uri。indexOf（str）0）｛arg2。doFilter（arg0，response）；return；｝｝过滤arg2。doFilter（reqW，response）；｝publicvoiddestroy（）｛｝publicvoidinit（FilterConfigfilterconfig1）throwsServletException｛｝｝
　　上述代码已经可以完成请求参数、JSON请求体的过滤，但对于json请求体还有其他的方式实现，有兴趣的请看下面的扩展！
　　扩展：还可以重写spring中的MappingJackson2HttpMessageConverter来过滤Json请求体
　　因为请求体在进出Contoroller时，会经过MappingJackson2HttpMessageConverter的一个转换，把请求体转换成我们需要的json格式，所以可以在这里边做一些修改！ConfigurationpublicclassMyConfiguration｛BeanpublicMappingJackson2HttpMessageConvertermappingJackson2HttpMessageConverter（）｛自定义转换器MappingJackson2HttpMessageConverterconverternewMappingJackson2HttpMessageConverter（）；转换器日期格式设置ObjectMapperobjectMappernewObjectMapper（）；SimpleDateFormatsmtnewSimpleDateFormat（yyyyMMddHH：mm：ss）；objectMapper。setDateFormat（smt）；converter。setObjectMapper（objectMapper）；转换器添加自定义Module扩展，主要是在这里做XSS过滤的！！，其他的是其他业务，不用看SimpleModulesimpleModulenewSimpleModule（）；添加过滤逻辑类！simpleModule。addDeserializer（String。class，newStringDeserializer（））；converter。getObjectMapper（）。registerModule（simpleModule）；设置中文编码格式ListMediaTypelistnewArrayList（）；list。add（MediaType。APPLICATIONJSONUTF8）；converter。setSupportedMediaTypes（list）；returnconverter；｝｝
　　真正的过滤逻辑类StringDeserializer：检验请求体的参数ComponentpublicclassStringDeserializerextendsJsonDeserializerString｛OverridepublicStringdeserialize（JsonParserjsonParser，DeserializationContextdeserializationContext）throwsIOException，JsonProcessingException｛StringstrjsonParser。getText（）。trim（）；sql注入拦截if（sqlInject（str））｛thrownewCustomerException（参数含有非法攻击字符，已禁止继续访问！）；｝returnxssClean（str）；｝publicbooleansqlInject（Stringstr）｛if（StringUtils。isEmpty（str））｛returnfalse；｝去掉；字符strorg。apache。commons。lang3。StringUtils。replace（str，，）；strorg。apache。commons。lang3。StringUtils。replace（str，，）；strorg。apache。commons。lang3。StringUtils。replace（str，；，）；strorg。apache。commons。lang3。StringUtils。replace（str，，）；转换成小写strstr。toLowerCase（）；非法字符String〔〕keywords｛master，truncate，insert，select，delete，update，declare，alert，alter，drop｝；判断是否包含非法字符for（Stringkeyword：keywords）｛if（str。indexOf（keyword）！1）｛returntrue；｝｝returnfalse；｝xss攻击拦截publicStringxssClean（Stringvalue）｛if（valuenull。equals（value））｛returnvalue；｝非法字符String〔〕keywords｛，，，（），），（，javascript：，script，alter，，｝；判断是否包含非法字符for（Stringkeyword：keywords）｛if（value。indexOf（keyword）！1）｛thrownewCustomerException（参数含有非法攻击字符，已禁止继续访问！）；｝｝returnvalue；｝｝
　　使用这种形式也可以完成json请求体的过滤，但个人更推荐使用XssHttpServletRequestWraper的形式来完成xss过滤！！最后说一句（别白嫖，求关注）
　　每一篇文章都是精心输出，如果这篇文章对你有所帮助，或者有所启发的话，帮忙点赞、关注、转发，你的支持就是我坚持下去的最大动力！