一、XSS攻击的危害
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML,攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
例如用户在发帖或者注册的时候,在文本框中输入<script>alert('xss')</script>,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>标签的内容就会被执行。
通常情况下,我们登陆到某个网站。如果网站使用HttpSession保存登陆凭证,那么SessionId会以Cookie的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的Javascript代码是用来获取Cookie内容的,并且把Cookie内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie信息就泄露了。黑客在自己的电脑上构建出Cookie,就可以冒充已经登陆的用户。
即便很多网站使用了JWT,登陆凭证(Token令牌)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token,黑客依然可以轻松的冒充已经登陆的用户。
所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。
二、解决思路
对Http请求中的数据转义,即可以设置过滤器,来覆盖Http请求的方法,可参考如下两个方法:
实现HttpServletRequest接口,各家服务器厂商会实现它。但问题是如果直接继承各厂商的请求父类,那么我们的程序就跟厂商绑定在一起
继承HttpServletRequestWrapper类。HttpServletRequestWrapper类使用了装饰器模式;装饰器封装了厂商的Request;只需实现类只需要覆盖Wrapper类的方法,就能做
最后创建过滤器,把Requestx对象传入Wrapper>对象
三、代码实现
1、导入Hutool依赖库
因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.8.0</version>
</dependency>
2、定义请求包装类
我们平时写Web项目遇到的HttpServletRequest,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为HttpServletRequest接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承HttpServletRequestWrapper父类。
JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了HttpServletRequest接口的实现类。同时JavaEE规范还定义了HttpServletRequestWrapper,这个类是请求类的包装类,用上了装饰器模式。这里用到的设计模式装饰器模式,无论各家应用服务器厂商怎么去实现HttpServletRequest接口,用户想要自定义请求,只需要继承HttpServletRequestwrapper,对应覆盖某个方法即可,然后把请求传入请求包装类,装饰器模式就会替代请求对象中对应的某个方法。用户的代码和服务器厂商的代码完全解耦,我们不用关心HttpServletRequest接口是怎么实现的,借助于包装类我们可以随意修改请求中的方法。
XssHttpServletRequestWrapper
/**
* @description: 抵御跨站脚本XSS攻击
* @Title: XssHttpServletRequestWrapper
* @Package com.vector.server.config.xss
* @Author 芝士汉堡
* @Date 2022/12/4 7:54
*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
/*getInputStream方法
* springMVC是通过这个方法,从请求里面提取客户端提交的数据,
* 然后把这些数据封装到from对象里面,然后把这个from对象传递给控制器方法,
* 如果不对getInputStream方法读取的数据进行转译,后端就不具备防御XSS攻击的能力。
*
* */
/**
* The default behavior of this method is to return getInputStream() on the
* wrapped request object.
*/
@Override
public ServletInputStream getInputStream() throws IOException {
InputStream inputStream = super.getInputStream();
InputStreamReader reader = new InputStreamReader(inputStream, Charset.forName("UTF-8"));
BufferedReader buffer = new BufferedReader(reader);// 读取的高效性
StringBuffer body = new StringBuffer();
String line = buffer.readLine();
while (line != null) {
body.append(line);
line = buffer.readLine();
}
buffer.close();
reader.close();
inputStream.close();
/*将读取的body进行数据转换,因为客户端提交是json格式的,
java是不支持原生json格式,需将json格式数据转为map对象*/
Map<String, Object> map = JSONUtil.parseObj(body.toString());
/*对map进行转译*/
Map<String, Object> result = new LinkedHashMap<>();
for (String key : map.keySet()) {
Object val = map.get(key);
if (val instanceof String) {
if (!StrUtil.hasEmpty(val.toString())) {
result.put(key, HtmlUtil.filter(val.toString()));
}
} else {
result.put(key, val);
}
}
String json = JSONUtil.toJsonStr(result);
ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() {
@Override
public int read() throws IOException {
return bain.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
};
}
/**
* Constructs a request object wrapping the given request.
*
* @param request The request to wrap
* @throws IllegalArgumentException if the request is null
*/
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
/**
* The default behavior of this method is to return getParameter(String
* name) on the wrapped request object.
* 重写getParameter方法,将参数名和参数值都做xss过滤。
*
* @param name
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
return value;
}
/**
* The default behavior of this method is to return
* getParameterValues(String name) on the wrapped request object.
* 做转译处理
*
* @param name
*/
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values != null) {
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
values[i] = value;
}
}
return values;
}
/**
* The default behavior of this method is to return getParameterMap() on the
* wrapped request object.
*/
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> parameters = super.getParameterMap();
LinkedHashMap<String, String[]> map = new LinkedHashMap();
if (parameters != null) {
for (String key : parameters.keySet()) {
String[] values = parameters.get(key);
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
values[i] = value;
}
map.put(key, values);
}
}
return map;
}
/**
* The default behavior of this method is to return getHeader(String name)
* on the wrapped request object.
*
* @param name
*/
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.filter(value);
}
return value;
}
}
3、创建过滤器,把Requestx对象传入Wrapper>对象
/**
* @description: 将拦截下的请求封装为XssHttpServletRequestWrapper对象
* @Title: XssFilter
* @Package com.vector.server.config.xss
* @Author 芝士汉堡
* @Date 2022/12/4 8:47
*/
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
}
@Override
public void destroy() {
}
}
四、测试
向后端发送数据
{
"name": "<script>alert(1234)</script>"
}
接口逻辑
@RestController
@RequestMapping("/test")
@Api("测试Web接口")
public class TestController {
@PostMapping("/sayHello")
@ApiOperation("最简单的测试方法")
public R sayHello(@Valid @RequestBody TestSayHelloForm form){
return R.ok().put("message", "Hello"+form.getName());
}
}
测试结果
将JavaScript代码屏蔽。
![[附源码]JAVA毕业设计桔子酒店客房管理系统(系统+LW)](https://img-blog.csdnimg.cn/14af9a5a840d477388d27f6ab949e044.png)
![[附源码]计算机毕业设计springboot疫情防控平台](https://img-blog.csdnimg.cn/ee284f80aadc4e9b82ea7cf836d14837.png)
