xss过滤json请求（php xss过滤）

hacker 安全防御 2023-03-27 98 4 xss过滤json请求

spring mvc 注解怎么连接所有进入controler的请求并过滤其中的xss

由于只需要对content-type=application/json;charset=UTF-8的json请求进行处理，所以需要重写MappingJacksonHttpMessageConverter部分 *** 。

注意：如果使用的是MappingJackson2HttpMessageConverter，需要重写MappingJackson2HttpMessageConverter部分 *** 。

xss过滤json请求（php xss过滤）

【快学springboot】15、SpringBoot过滤XSS脚本攻击

XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

简而言之，就是作恶用户通过表单提交一些前端代码，如果不做处理的话，这些前端代码将会在展示的时候被浏览器执行。

解决XSS攻击，可以通过后端对输入的数据做过滤或者转义，使XSS攻击代码失效。

对于过滤XSS脚本的代码，通过搜索引擎可以搜索到很多，但似乎都不是那么全面。基本上都是只能过滤querystring（表单类型）类型的入参，而不能过滤json类型的入参。其实，在现在的开发中，更多的是使用json类型做数据交互。下面就直接贴代码了：

这里重写了两个 *** ：getParameter和getParameterValues，getParameter *** 是直接通过request获得querystring类型的入参调用的 *** 。如果是通过springMVC注解类型来获得参数的话，走的是getParameterValues的 *** 。大家可以通过打印一个输出来验证一下。

StringEscapeUtils.escapeHtml4这个 *** 来自Apache的工具类，maven坐标如下：

过滤的代码写完了，下面就是在一个filter中应用该代码。

过滤表单类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码：

代码如下：

这里是通过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也可以通过之一种 *** ，重写getInputStream *** 来实现，这里我就不做演示了(通过json类型传参会走getInputStream *** ，通过重写该 *** 打印输出可以证明)。

TestController.java

下面通过postman测试下效果：

可以看到，js代码已经经过转义。转义过后的代码，即使前端读取过去了，也不会被浏览器执行的。

2019-08-22/XSS过滤器

做后端的同学都知道，XSS过滤器，防sql注入过滤器等是常用的。关于什么是XSS攻击，网上的说法很多，自己百度一下吧。我们只需要加入一个xss过滤器就可以了。但大部分的文章都是针对普通的get/post请求进行的参数xss过滤，如果是post+appliccation/json等提交方式就显得无能为力了。很显然，对于普通的get/post,就按照之前的方式过滤参数就可以了（对于multipart等文件上传之类的参数做校验，这里暂时没有提供）。

为了方便起见，首先定义一些常量吧：

接下来需要分别针对不同的表单提交类型写包装类，对于普通的get/post请求的包装类：

对于post+application/json的请求，对应的包装类：

接下来就是校验啦：