1. 什么是XSS注入

XSS（跨站脚本攻击，Cross-Site Scripting）是一种常见的Web安全漏洞，通过注入恶意代码（通常是JavaScript）到目标网站的网页中，以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息（如Cookie、会话令牌）或控制用户浏览器的行为，进而造成信息泄露、身份冒用等严重后果。

2. XSS攻击类型

2.1 存储型XSS

存储型XSS 是指攻击者通过输入恶意脚本，存储在服务器端的数据库中。当其他用户从数据库中读取数据时，恶意脚本被执行。

案例示例： 假设一个电商系统允许用户在其个人资料中输入“个人简介”：

<form action="/updateProfile" method="POST">
    <textarea name="bio" placeholder="Enter your bio"></textarea>
    <button type="submit">Update</button>
</form>

用户提交的个人简介数据被存储在数据库中。如果用户输入恶意脚本：

<script>alert('This is a stored XSS attack');</script>

当其他用户访问该用户的个人资料页面时，这段脚本会被执行。代码如下：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>User Profile</title>
</head>
<body>
    <h1>User Profile</h1>
    <div id="bio">
        <!-- User's bio is rendered here -->
    </div>
</body>
</html>

在这个例子中，bio内容直接插入到HTML中，导致脚本被执行。

防护措施：

• 对用户输入进行HTML转义。
• 在用户输入内容之前使用输入验证机制。
• 使用内容安全策略（CSP）来限制执行的脚本来源。

2.2 反射型XSS

反射型XSS 是指攻击者通过构造恶意URL，将其发送给用户。当用户点击这个URL时，恶意脚本被执行。攻击者利用URL中的参数直接在页面上插入恶意代码。

案例示例： 假设电商系统有一个搜索功能，用户可以通过URL中的查询参数来搜索商品：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Search</title>
</head>
<body>
    <h2>Search Results for: <span id="search"></span></h2>
    <script>
        // 从URL中获取查询参数
        var searchQuery = new URLSearchParams(window.location.search).get('q');
        // 直接插入到HTML中
        document.getElementById('search').innerHTML = searchQuery;
    </script>
</body>
</html>

如果攻击者通过如下链接引导用户：

http://example.com/search?q=<script>alert('This is a reflected XSS attack');</script>

该脚本会在页面上执行。

防护措施：

• 对所有动态插入到HTML中的内容进行HTML编码。
• 使用安全的API进行参数插入，如 textContent 替代 innerHTML。

2.3 基于DOM的XSS

基于DOM的XSS 是指攻击者通过操控客户端JavaScript，使得恶意脚本被执行。这种攻击不依赖于服务器端，而是通过修改浏览器中运行的JavaScript来实现。

案例示例： 假设电商系统的用户可以通过URL中的查询参数进行商品筛选：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Filter Products</title>
</head>
<body>
    <h2>Filter Results for: <span id="filter"></span></h2>
    <script>
        // 从URL中获取筛选参数
        var filterQuery = new URLSearchParams(window.location.search).get('filter');
        // 直接插入到HTML中
        document.getElementById('filter').innerHTML = filterQuery;
    </script>
</body>
</html>

如果攻击者通过如下链接引导用户：

http://example.com/filter?filter=<img src=x onerror=alert('This is a DOM-based XSS attack')>

该脚本会在页面上执行，利用图像加载失败的事件触发XSS攻击。

防护措施：

• 使用适当的JavaScript编码函数，如 textContent 替代 innerHTML。
• 使用现有的库或工具进行XSS防护。
• 实施内容安全策略（CSP）来限制页面上可执行的脚本。

3. 常见XSS安全问题

3.1 用户输入未经过滤或转义

XSS的根本原因是服务器未对用户输入进行过滤或转义，导致恶意脚本直接在页面中执行。

3.2 动态生成HTML内容

在Java中，动态生成HTML时，如果直接将用户输入嵌入到HTML片段中，而没有进行任何转义，极易造成XSS漏洞。

3.3 在客户端过滤而非服务器端过滤

有些开发者试图通过客户端JavaScript来过滤恶意输入，这是一种非常不安全的做法，因为攻击者可以绕过客户端检查。

4. XSS防护方案

4.1 输入过滤

服务器端应严格过滤用户输入，去除或转义所有不安全的字符。可以通过白名单的方式，确保只允许合法的字符输入。

代码示例：

public String filterInput(String input) {
    return input.replaceAll("[<>]", ""); // 简单的过滤示例
}

4.2 输出编码

对所有动态生成的HTML内容进行输出编码，可以使用HtmlUtils.htmlEscape()或第三方库，如OWASP Java Encoder。

代码示例：

String safeContent = HtmlUtils.htmlEscape(userInput);

4.3 配置 Spring Security 的 HTTP 头部

CSP是一种浏览器安全机制，通过限制页面中可以执行的脚本，进一步防止XSS攻击。可以在HTTP响应头中配置CSP策略。

Spring Security 提供了对安全头部的支持，可以增强 XSS 防护，尤其是通过启用 Content-Security-Policy（CSP） 和 X-XSS-Protection 等 HTTP 头部。

你可以在 HttpSecurity 中配置安全头部来减少 XSS 攻击的风险：

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;

@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .headers()
                // 启用X-XSS-Protection头部，阻止浏览器加载XSS攻击的页面
                .xssProtection()
                .block(true)
                .and()
                // 启用Content-Security-Policy头部，指定允许的内容源
                .contentSecurityPolicy("script-src 'self'; object-src 'none';");

        http
            .authorizeRequests()
                .anyRequest().authenticated();

        return http.build();
    }
}

• X-XSS-Protection 头部：启用浏览器的 XSS 过滤机制（注意，一些现代浏览器已逐渐弃用此头部）。
• Content-Security-Policy (CSP) 头部：定义允许的内容源，防止恶意脚本加载。

4.4 验证码防护

对于可能被攻击的表单或重要操作（如登录、评论），引入验证码可以有效防止自动化的XSS攻击脚本。

4.5 统一处理：使用Spring的过滤器

在Spring应用中，使用过滤器（Filter）是一个常见的方式，能够拦截所有HTTP请求，在请求到达控制器之前对请求数据进行统一的XSS防护处理。

实现步骤

1. 创建XSS过滤器类
   我们可以创建一个自定义的XSSFilter来拦截所有请求，并在其中对请求中的参数进行转义或过滤。

   代码示例：

   import javax.servlet.Filter;
   import javax.servlet.FilterChain;
   import javax.servlet.FilterConfig;
   import javax.servlet.ServletException;
   import javax.servlet.ServletRequest;
   import javax.servlet.ServletResponse;
   import java.io.IOException;
   
   public class XSSFilter implements Filter {
   
       @Override
       public void init(FilterConfig filterConfig) throws ServletException {
           // 初始化过滤器配置
       }
   
       @Override
       public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
               throws IOException, ServletException {
           // 对请求参数进行XSS转义
           XSSRequestWrapper xssRequestWrapper = new XSSRequestWrapper(request);
           // 继续请求链
           chain.doFilter(xssRequestWrapper, response);
       }
   
       @Override
       public void destroy() {
           // 销毁时的清理工作
       }
   }
   

2. 创建XSSRequestWrapper类
   这个类是对ServletRequest的包装，用于对请求中的所有参数进行过滤或转义。

   代码示例：

   import javax.servlet.http.HttpServletRequest;
   import javax.servlet.http.HttpServletRequestWrapper;
   import org.springframework.web.util.HtmlUtils;
   
   public class XSSRequestWrapper extends HttpServletRequestWrapper {
   
       public XSSRequestWrapper(HttpServletRequest request) {
           super(request);
       }
   
       @Override
       public String getParameter(String name) {
           String value = super.getParameter(name);
           return HtmlUtils.htmlEscape(value); // 转义HTML特殊字符
       }
   
       @Override
       public String[] getParameterValues(String name) {
           String[] values = super.getParameterValues(name);
           if (values == null) {
               return null;
           }
           String[] escapedValues = new String[values.length];
           for (int i = 0; i < values.length; i++) {
               escapedValues[i] = HtmlUtils.htmlEscape(values[i]);
           }
           return escapedValues;
       }
   }
   

3. 注册过滤器
   将自定义的XSSFilter过滤器注册到Spring应用中，这样可以确保所有请求都经过XSS过滤。

   代码示例：

   import org.springframework.boot.web.servlet.FilterRegistrationBean;
   import org.springframework.context.annotation.Bean;
   import org.springframework.context.annotation.Configuration;
   
   @Configuration
   public class FilterConfig {
   
       @Bean
       public FilterRegistrationBean<XSSFilter> xssFilterRegistrationBean() {
           FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>();
           registrationBean.setFilter(new XSSFilter());
           registrationBean.addUrlPatterns("/*");  // 拦截所有URL
           return registrationBean;
       }
   }
   

通过这种方式，XSS防护被统一处理，开发者无需在每个控制器中显式调用转义函数。这种方式简化了代码，并确保任何输入都经过过滤器的处理。

4.6 统一处理：使用Spring的全局拦截器

除了过滤器，Spring的拦截器（Interceptor）也是一种常用的方式。拦截器通常用于对请求进行全局处理，例如在进入控制器之前对数据进行处理。

实现步骤

1. 创建XSS拦截器类
   拦截器与过滤器类似，但是它工作在Spring MVC框架的处理链中。我们可以通过实现HandlerInterceptor接口来创建一个全局XSS拦截器。

   代码示例：

   import javax.servlet.http.HttpServletRequest;
   import javax.servlet.http.HttpServletResponse;
   import org.springframework.web.servlet.HandlerInterceptor;
   import org.springframework.web.util.HtmlUtils;
   
   public class XSSInterceptor implements HandlerInterceptor {
   
       @Override
       public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
               throws Exception {
           // 获取请求中的参数并进行XSS转义
           request.setAttribute("escapedQuery", HtmlUtils.htmlEscape(request.getParameter("query")));
           return true;
       }
   }
   

2. 配置拦截器
   在Spring Boot中，我们可以通过配置类来注册拦截器。

   代码示例：

   import org.springframework.context.annotation.Configuration;
   import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
   import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
   
   @Configuration
   public class WebConfig implements WebMvcConfigurer {
   
       @Override
       public void addInterceptors(InterceptorRegistry registry) {
           // 注册XSS拦截器
           registry.addInterceptor(new XSSInterceptor()).addPathPatterns("/**");
       }
   }
   

4.7 比较：过滤器 vs 拦截器

• 过滤器：工作在Servlet层面，适用于对所有HTTP请求进行预处理，无论是否进入Spring MVC处理器。过滤器通常用于对请求数据进行统一处理，适合对所有请求参数的统一安全处理。
• 拦截器：工作在Spring MVC处理链中，更适合与Spring框架的集成，可以轻松获取控制器层面的信息，适合应用逻辑的统一处理。

两者在实际应用上都能实现类似的功能，选择使用过滤器还是拦截器，取决于应用的架构设计。如果需要对所有请求统一处理，过滤器是更好的选择；而如果只需对Spring MVC请求做处理，拦截器会更加灵活。

4.8 通过统一异常处理的方式防护XSS

除了拦截器和过滤器，Spring还提供了全局异常处理的机制，通过@ControllerAdvice可以捕获和处理所有控制器中的异常，这也是一种处理非法输入和异常情况的统一方式。

代码示例：

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.servlet.ModelAndView;

@ControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(IllegalArgumentException.class)
    public ModelAndView handleIllegalArgumentException(IllegalArgumentException e) {
        // 统一处理非法输入
        ModelAndView mav = new ModelAndView();
        mav.addObject("message", "非法输入检测到: " + e.getMessage());
        mav.setViewName("error");
        return mav;
    }
}

通过这种方式，当检测到非法输入时，可以通过抛出异常来触发统一的异常处理逻辑，实现对XSS攻击的防护。

5. 流程图

6. 总结

XSS是Web应用中最常见的安全漏洞之一，通过合理的输入过滤、输出转义以及CSP等防护手段，可以有效防御此类攻击。在电商交易系统中，无论是用户评论、搜索功能还是其他输入功能，都必须确保安全，防止攻击者通过XSS获取用户信息或劫持用户会话。