【九月打卡】第5天 实战wiki知识库系统笔记5

课程名称：Spring Boot+Vue3前后端分离，实战wiki知识库系统
课程章节：9-13 前端接口增加登录校验
主讲老师：甲蛙

课程内容：

·未登录时，管理菜单要隐藏
·对路由做判断，防止用户通过手敲url访问管理页面

课程收获

了解了常见入侵系统的攻击方式以及对系统的前后台拦截方法

抵御 即跨站脚本(XSS)攻击

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括Java、 VBScript、 Activex、 Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和 cookie等各种内容

通常情况下,我们登陆到某个网站。如果网站使用 Httpsession 保存登陆凭证,那么 Sessionid 会以 Cookie 的形式保存在浏果黑客在这个网页发帖的时候,填写的 Javascript 代码是用来获取 Cookie 内容的,并且把 Cookie 内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子
视图层渲染HTML就会执行注入的XSS脚本,于是你的 Cookie 信息就泄露了。黑客自己的电脑上构建出 Cookie,就可以冒充已经登陆的用户

总结：恶意脚本都是来自用户的输入。因此，可以使用过滤用户输入的方法对恶意脚本进行过滤

解决

自定义Servlet过滤器

• 在客户端的请求访问后端资源之前，拦截这些请求。
• 在服务器的响应发送回客户端之前，处理这些响应。

继承 HttpServletRequestWrapper 父类

创建XssFilter过滤器，拦截所有请求，然后把请求传入包装类，这样包装类就能覆盖所有请求的参数方法，用户从请求中获得数据，全都经过转义.

给SpringBoot主类添加@ServletComponentScan注解.