环境
- Ubuntu 22.04
- IntelliJ IDEA 2022.1.3
- JDK 17.0.3.1
- Spring Boot 3.0.1
- Firefox 108.0.2
问题和分析
在IntelliJ IDEA中创建Spring Boot项目 test0116 ,并选中 Spring Web 依赖。
在 src/main/java 下创建 MyController.java 如下:
package com.example.test0116.controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class MyController {
@RequestMapping("/test")
public String test(String data) {
String result = "<h1>The input data is:</h1>" + data;
return result;
}
}
运行程序,测试一下效果:
➜ ~ curl --silent "http://localhost:8080/test?data=abcdefg"
<h1>The input data is:</h1>abcdefg
➜ ~
同理,用浏览器来测试一下:
看起来没有什么问题。API请求包含了 data=xxxxx 的参数,服务器返回的response里也包含了该参数值。
但是,如果 xxxxx 是一段script或者HTML元素的文本,那么实际在页面上显示时,并不是只显示 xxxxx 的文本,而是会把 xxxxx 当作script或者HTML来解析。
例如,令 xxxxx 为 <button onclick="alert('haha')">click me</button> ,如下:
点击按钮,如下:
可见,这个API有潜在的风险。比如黑客可以把这个链接发给别人,同时把 xxxxx 替换为一段恶意代码,则其他人如果打开该链接,就会遭受恶意攻击。
比如,黑客给别人的链接里,令 xxxxx 为 <a href="http://bad_link">hello</a> ,则别人打开该链接,页面上就会出现一个恶意网站的链接:
若点击页面上的链接,就会遭受恶意网站攻击。
同理,网站的页面也可能会被攻击。比如,在 src/main/resources/static 目录下创建HTML文件 test.html :
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<input id="input1"></input>
<button id="btn1">btn1</button>
<div id="div1"></div>
<script>
const btn1 = document.getElementById('btn1');
btn1.onclick = function () {
const xhr = new XMLHttpRequest();
const input = document.getElementById('input1').value;
xhr.open('GET', "http://localhost:8080/test?data=" + input);
xhr.send();
xhr.onreadystatechange = function () {
if (xhr.readyState === 4 && xhr.status === 200) {
const data = xhr.responseText;
const div1 = document.getElementById("div1");
div1.innerHTML = data;
}
}
}
</script>
</body>
</html>
打开浏览器,访问 http://localhost:8080/test.html ,如下:
在输入框中输入一些文本,然后点击 btn1 按钮,如下:
看起来没有问题,但是,类似的,也可以在输入框中输入恶意代码(当然,本例中攻击的是自己的浏览器,这只是一个示例):
可见,页面上出现了一个恶意链接。
这种攻击手段称为“Cross Site Scripting”,简称“XSS”。
常见的XSS攻击有:
- 存储型:持久化在服务器中,例如评论功能,发表的评论会存储在服务器,评论本来应该是纯文本,但如果包含了恶意代码,将来就有可能运行并造成攻击。比如在评论中包含JavaScript代码,这样别人在获取评论时,就可能遭受攻击;
- 反射型:刚才的例子就是反射型,利用用户恶意输入的请求内容,在响应里包含恶意代码;
- DOM型:不经过服务器,比如发送请求时,本地的脚本会先解析请求的参数,脚本只把参数值看作纯文本,而实际上参数值可能包含了恶意代码,如果脚本处理不当,就有可能造成攻击;
其它
之所以研究这个话题,是因为在代码里,后端代码里会对API请求做参数验证,如果参数值不符合要求,会返回error,以及一个message,大意是“输入参数有误,请检查并更改。参数值:xxxxxx”。也就是说,会把用户不符合条件的参数原封不动的返回给用户。这就跟本文中的例子有点类似,有遭受恶意代码攻击的风险。
如何解决
在网上搜“XSS”,有很多讨论和解决办法,有待深入研究。
如果是像本文中的例子,API返回的是字符串,而且response里既包含HTML或脚本,又包含纯文本,那么很难控制,这应该算是程序设计上的缺陷,因为在服务器端的字符串里,已经把代码和纯文本混在一起,没法区分了。
一个变通的办法是把数据编码,也就是利用转义,强制令其为纯文本,这就不会有代码注入的风险。但是这样一来,前端得到的数据就变了,需要再对其解码,恢复为原先的文本。比如参数验证,明明用户的参数A有误,服务器却告诉用户参数B不正确,这貌似不太合理,不是完美的解决办法。
如果仅返回数据,那么编码/解码应该是OK的。
其实如果返回的是纯文本,比如字符串或者JSON数据,那么只要前端正确的处理,严格把返回数据当作文本,不给其运行的机会,应该也还好吧。
