淘先锋技术网

首页 1 2 3 4 5 6 7

1、XSS攻击的危害

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

例如用户在发帖或者注册的时候,在文本框中输入<script>各种js代码</script>,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>标签的内容就会被执行。

通常情况下,我们登陆到某个网站。如果网站使用HttpSession保存登陆凭证,那么SessionId会以Cookie的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的JavaScript代码是用来获取Cookie内容的,并且把Cookie内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie信息就泄露了。黑客在自己的电脑上构建出Cookie,就可以冒充已经登陆的用户。

即便很多网站使用了JWT,登陆凭证(Token令牌)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token,黑客依然可以轻松的冒充已经登陆的用户。

所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。

2、抵御XSS的实现

因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。

1、导入Hutool的依赖库

<dependency>
	<groupId>cn.hutool</groupId>
	<artifactId>hutool-all</artifactId>
	<version>5.4.0</version>
</dependency>

2、定义请求包装类

package com.zhao.config.xss;

import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;

import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.LinkedHashMap;
import java.util.Map;

/**
 * @Author: 
 * @Date: 
 * @Description: 对请求的数据进行转移,以达到抵御XSS攻击
 */
public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XSSHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        Map<String, String[]> map = new LinkedHashMap<>();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }

    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream in = super.getInputStream();
        StringBuffer body = new StringBuffer();
        InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        in.close();

        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        Map<String, Object> resultMap = new HashMap(map.size());
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (map.get(key) instanceof String) {
                resultMap.put(key, HtmlUtil.filter(val.toString()));
            } else {
                resultMap.put(key, val);
            }
        }
        String str = JSONUtil.toJsonStr(resultMap);
        final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }

            @Override
            public boolean isFinished() {
                return false;
            }

            @Override
            public boolean isReady() {
                return false;
            }

            @Override
            public void setReadListener(ReadListener listener) {
            }
        };
    }

}

使用过滤器调用包装类XSSHttpServletRequestWrapper,以进行数据转义,达到抵御XSS攻击

过滤器为:

package com.zhao.config.xss;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;

/**
 * @Author: 
 * @Date: 
 * @Description: 过滤器拦截所有请求,然后把请求传入包装类,
 *               这样包装类就能覆盖所有请求的参数方法,用户从请求中获得数据,全都经过转义。
 */
@WebFilter(urlPatterns = "/*")
public class XSSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        Filter.super.init(filterConfig);
    }

    @Override
    public void doFilter(ServletRequest servletRequest,
                         ServletResponse servletResponse,
                         FilterChain filterChain) throws IOException, ServletException {
        //创建XSS包装类对象
        XSSHttpServletRequestWrapper xssHttpServletRequestWrapper = new XSSHttpServletRequestWrapper((HttpServletRequest) servletRequest);
        //将包装,转以后的数据 再进行继续执行
        filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);
    }

    @Override
    public void destroy() {
        Filter.super.destroy();
    }
}

3、给主类上添加**@ServletComponentScan注解**,扫描我们的过滤器,让过滤器起作用

3、测试

测试类:(你也可以自己定义一个controller进行接口测试就可以了,然后再浏览器中输入你的地址加上参数,判断是否将数据转义即可。

package com.zhao.controler;

import com.zhao.common.util.R;
import com.zhao.controler.form.ValidationTestForm;
import io.swagger.annotations.Api;
import io.swagger.annotations.ApiOperation;
import org.springframework.web.bind.annotation.*;

import javax.validation.Valid;

/**
 * @Author: 
 * @Date: 
 * @Description:
 */
//定义指定,返回的是Json数据
@RestController
//定义 访问的相对路径
@RequestMapping("/swagger")
@Api("Swagger的测试类")
public class SwaggerTestController {

    //定义方法的  访问相对路径
    @PostMapping("/test")
    //APIOperation的注解是在配置Swagger的时候定义的,作用是:当添加了这个注解的方法会被Swagger扫描到
    @ApiOperation("Swagger接口的测试方法带的注解")
    public R swaggerTest(@Valid @RequestBody ValidationTestForm form){
        return R.ok("Swagger接口,接通了"+ form.getName());
    }
}

这里的R是Web数据封装对象,可以不用管,直接就改为返回@responsebody就可以了
测试结果:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WpLZvuiR-1677472812727)(C:\Users\admin\AppData\Roaming\Typora\typora-user-images\image-20230227123827885.png)]

从结果可以看到,数据已经转义

如果有疑问,可以在评论区提出,我们共同探讨,解决问题。
如果有帮助,点个关注,共同进步。