脚本(XSS)攻击"/>
实战项目如何抵御即跨站脚本(XSS)攻击
一、XSS攻击的危害
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML,攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
例如用户在发帖或者注册的时候,在文本框中输入<script>alert('xss')</script>
,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>
标签的内容就会被执行。
通常情况下,我们登陆到某个网站。如果网站使用HttpSession
保存登陆凭证,那么SessionId
会以Cookie
的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的Javascript
代码是用来获取Cookie
内容的,并且把Cookie
内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie
信息就泄露了。黑客在自己的电脑上构建出Cookie
,就可以冒充已经登陆的用户。
即便很多网站使用了JWT,登陆凭证(Token令牌)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token,黑客依然可以轻松的冒充已经登陆的用户。
所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。
二、解决思路
对Http请求中的数据转义,即可以设置过滤器,来覆盖Http请求的方法,可参考如下两个方法:
实现HttpServletRequest接口,各家服务器厂商会实现它。但问题是如果直接继承各厂商的请求父类,那么我们的程序就跟厂商绑定在一起
继承HttpServletRequestWrapper类。HttpServletRequestWrapper类使用了装饰器模式;装饰器封装了厂商的Request;只需实现类只需要覆盖Wrapper类的方法,就能做
最后创建过滤器,把Requestx对象传入Wrapper对象
三、代码实现
1、导入Hutool依赖库
因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。
<dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.8.0</version></dependency>
2、定义请求包装类
我们平时写Web项目遇到的HttpServletRequest,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为HttpServletRequest接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承HttpServletRequestWrapper父类。
JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了HttpServletRequest接口的实现类。同时JavaEE规范还定义了HttpServletRequestWrapper,这个类是请求类的包装类,用上了装饰器模式。这里用到的设计模式装饰器模式,无论各家应用服务器厂商怎么去实现HttpServletRequest接口,用户想要自定义请求,只需要继承HttpServletRequestwrapper,对应覆盖某个方法即可,然后把请求传入请求包装类,装饰器模式就会替代请求对象中对应的某个方法。用户的代码和服务器厂商的代码完全解耦,我们不用关心HttpServletRequest接口是怎么实现的,借助于包装类我们可以随意修改请求中的方法。
XssHttpServletRequestWrapper
/*** @description: 抵御跨站脚本XSS攻击* @Title: XssHttpServletRequestWrapper* @Package com.vector.server.config.xss* @Author 芝士汉堡* @Date 2022/12/4 7:54*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {/*getInputStream方法* springMVC是通过这个方法,从请求里面提取客户端提交的数据,* 然后把这些数据封装到from对象里面,然后把这个from对象传递给控制器方法,* 如果不对getInputStream方法读取的数据进行转译,后端就不具备防御XSS攻击的能力。** *//*** The default behavior of this method is to return getInputStream() on the* wrapped request object.*/@Overridepublic ServletInputStream getInputStream() throws IOException {InputStream inputStream = super.getInputStream();InputStreamReader reader = new InputStreamReader(inputStream, Charset.forName("UTF-8"));BufferedReader buffer = new BufferedReader(reader);// 读取的高效性StringBuffer body = new StringBuffer();String line = buffer.readLine();while (line != null) {body.append(line);line = buffer.readLine();}buffer.close();reader.close();inputStream.close();/*将读取的body进行数据转换,因为客户端提交是json格式的,java是不支持原生json格式,需将json格式数据转为map对象*/Map<String, Object> map = JSONUtil.parseObj(body.toString());/*对map进行转译*/Map<String, Object> result = new LinkedHashMap<>();for (String key : map.keySet()) {Object val = map.get(key);if (val instanceof String) {if (!StrUtil.hasEmpty(val.toString())) {result.put(key, HtmlUtil.filter(val.toString()));}} else {result.put(key, val);}}String json = JSONUtil.toJsonStr(result);ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());return new ServletInputStream() {@Overridepublic int read() throws IOException {return bain.read();}@Overridepublic boolean isFinished() {return false;}@Overridepublic boolean isReady() {return false;}@Overridepublic void setReadListener(ReadListener readListener) {}};}/*** Constructs a request object wrapping the given request.** @param request The request to wrap* @throws IllegalArgumentException if the request is null*/public XssHttpServletRequestWrapper(HttpServletRequest request) {super(request);}/*** The default behavior of this method is to return getParameter(String* name) on the wrapped request object.* 重写getParameter方法,将参数名和参数值都做xss过滤。** @param name*/@Overridepublic String getParameter(String name) {String value = super.getParameter(name);if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}return value;}/*** The default behavior of this method is to return* getParameterValues(String name) on the wrapped request object.* 做转译处理** @param name*/@Overridepublic String[] getParameterValues(String name) {String[] values = super.getParameterValues(name);if (values != null) {for (int i = 0; i < values.length; i++) {String value = values[i];if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}values[i] = value;}}return values;}/*** The default behavior of this method is to return getParameterMap() on the* wrapped request object.*/@Overridepublic Map<String, String[]> getParameterMap() {Map<String, String[]> parameters = super.getParameterMap();LinkedHashMap<String, String[]> map = new LinkedHashMap();if (parameters != null) {for (String key : parameters.keySet()) {String[] values = parameters.get(key);for (int i = 0; i < values.length; i++) {String value = values[i];if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}values[i] = value;}map.put(key, values);}}return map;}/*** The default behavior of this method is to return getHeader(String name)* on the wrapped request object.** @param name*/@Overridepublic String getHeader(String name) {String value = super.getHeader(name);if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}return value;}
}
3、创建过滤器,把Requestx对象传入Wrapper对象
/*** @description: 将拦截下的请求封装为XssHttpServletRequestWrapper对象* @Title: XssFilter* @Package com.vector.server.config.xss* @Author 芝士汉堡* @Date 2022/12/4 8:47*/
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);}@Overridepublic void destroy() {}}
四、测试
向后端发送数据
{"name": "<script>alert(1234)</script>"
}
接口逻辑
@RestController
@RequestMapping("/test")
@Api("测试Web接口")
public class TestController {@PostMapping("/sayHello")@ApiOperation("最简单的测试方法")public R sayHello(@Valid @RequestBody TestSayHelloForm form){return R.ok().put("message", "Hello"+form.getName());}
}
测试结果
将JavaScript代码屏蔽。
更多推荐
实战项目如何抵御即跨站脚本(XSS)攻击
发布评论