XSS攻擊是什么
XSS攻擊全稱跨站腳本攻擊,是為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站腳本攻擊縮寫為XSS,XSS是一種在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
簡而言之,就是作惡用戶通過表單提交一些前端代碼,如果不做處理的話,這些前端代碼將會在展示的時候被瀏覽器執行。
如何避免XSS攻擊
這里我根據個人經驗做一個總結,可能經驗也有不足之處。我個人解決XSS攻擊是通過后端轉譯的辦法來解決的。在實際項目中,react、vue等前后端完全分離的框架似乎已經幫我們處理了XSS腳本,這個本人對於前端略懂皮毛而已,這里就不做探討了。下面主要實現以后端做XSS過濾。
代碼實現
對於過濾XSS腳本的代碼,通過搜索引擎可以搜索到很多,但似乎都不是那么全面。基本上都是只能過濾querystring類型的入參,而不能過濾json類型的入參。其實,在現在的開發中,更多的是使用json類型做數據交互。下面就直接貼代碼了:
XssAndSqlHttpServletRequestWrapper.java
package com.loger.filter; import org.apache.commons.lang3.StringUtils; import org.apache.commons.text.StringEscapeUtils; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; /** * @author wbs * 防止XSS攻擊 */ public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper { private HttpServletRequest request; public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) { super(request); this.request = request; } @Override public String getParameter(String name) { String value = request.getParameter(name); if (!StringUtils.isEmpty(value)) { value = StringEscapeUtils.escapeHtml4(value); } return value; } @Override public String[] getParameterValues(String name) { String[] parameterValues = super.getParameterValues(name); if (parameterValues == null) { return null; } for (int i = 0; i < parameterValues.length; i++) { String value = parameterValues[i];
//這個過濾xss攻擊的工具類,現在是借助第三方插件使用的。 也可以自己寫一個工具類 比如下面的 XssUtil parameterValues[i] = StringEscapeUtils.escapeHtml4(value);
//自定義工具類
//parameterValues[i] = XssUtil.xssEncode(parameterValues[i]);
} return parameterValues; } } 簡單講解下,這里重寫了兩個方法:getParameter和getParameterValues,getParameter方法是直接通過request獲得querystring類型的入參調用的方法。如果是通過springMVC注解類型來獲得參數的話,走的是getParameterValues的方法。
StringEscapeUtils.escapeHtml4這個方法來自Apache的工具類,maven坐標如下:
<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.4</version> </dependency>
//如果使用的是上面黃色的自定義工具類,來過濾xss 關鍵字,就需要導入下面XssUtils工具類,如果不使用的話下面這個工具類,就直接跳過不需要管。 但是有些人說為啥有第三方工具類,還要使用自定義工具類呢,
應為使用第三方插件時,進行代碼掃描時(我們公司項目上線需要進行代碼掃描)會有問題(這個問題不影響代碼使用),所以我用的是自定義類。總之這兩種 工具類都可以用,不影響功能的實現。
/**
* @Author wbs
* @Description Web防火牆工具類
*/
public class XssUtil {
public static final String REPLACE_STRING = "*";
private XssUtil() {
}
/**
* xss校驗
* @param s
* @return
*/
public static String xssEncode(String s) {
if (StringUtils.isEmpty(s)) {
return s;
} else {
s = stripXSSAndSql(s);
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '>':
sb.append(">");// 轉義大於號
break;
case '<':
sb.append("<");// 轉義小於號
break;
case '\'':
sb.append("'");// 轉義單引號
break;
case '\"':
sb.append(""");// 轉義雙引號
break;
case '&':
sb.append("&");// 轉義&
break;
case '#':
sb.append("#");// 轉義#
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}
/**
* xss校驗
* @param value
* @return
*/
public static String stripXSSAndSql(String value) {
if (StringUtils.isNotEmpty(value)) {
// Avoid null characters
value = value.replaceAll(" ", REPLACE_STRING);
// Avoid anything between script tags
Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Remove any lonesome </script> tag
scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Remove any lonesome <script ...> tag
scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid eval(...) expressions
scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid e-xpression(...) expressions
scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid javascript:... expressions
scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid vbscript:... expressions
scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid onload= expressions
scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid /r /n:... expressions
scriptPattern = Pattern.compile("\"\\\\s*|\\t|\\r|\\n\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
}
return value;
}
}
過濾的代碼寫完了,下面就是在一個filter中應用該代碼。
XssFilter.java
package com.loger.filter; import com.fasterxml.jackson.databind.ObjectMapper; import com.fasterxml.jackson.databind.module.SimpleModule; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Primary; import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * @author wbs */ @WebFilter(filterName = "xssFilter", urlPatterns = "/*", asyncSupported = true)
@Component public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req); chain.doFilter(xssRequestWrapper, response); } @Override public void destroy() { } /** * 過濾json類型的 * @param builder * @return */ @Bean @Primary public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) { //解析器 ObjectMapper objectMapper = builder.createXmlMapper(false).build(); //注冊xss解析器 SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer"); xssModule.addSerializer(new XssStringJsonSerializer()); objectMapper.registerModule(xssModule); //返回 return objectMapper; } } 就這樣,過濾querystring類型的代碼已經完成(xssObjectMapper這個是后面過濾json類型才用到的)。下面來實現過濾json類型的代碼:
XssStringJsonSerializer.java
package com.loger.filter; import com.fasterxml.jackson.core.JsonGenerator; import com.fasterxml.jackson.databind.JsonSerializer; import com.fasterxml.jackson.databind.SerializerProvider; import org.apache.commons.text.StringEscapeUtils; import java.io.IOException; public class XssStringJsonSerializer extends JsonSerializer<String> { @Override public Class<String> handledType() { return String.class; } @Override public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException { if (value != null) { String encodedValue = StringEscapeUtils.escapeHtml4(value); jsonGenerator.writeString(encodedValue); } } } 這里通過修改SpringMVC的json序列化來達到過濾xss的目的的。其實也可以通過第一種方法,重寫getInputStream方法來實現,但由於得到的是ServletInputStream,不太好處理。(通過json類型傳參會走getInputStream方法,通過重寫該方法打印輸出可以證明)
下面可以通過幾個例子驗證下是否成功:
簡單寫一個controller
TestController.java
package com.loger.controller; import org.springframework.web.bind.annotation.*; import org.springframework.web.multipart.MultipartFile; /** * @author wbs * Description : */ @RestController @RequestMapping(value = "/test") public class TestController { @PostMapping(value = "/xss") public Object test(String name) { System.out.println(name); return name; } @PostMapping(value = "/json") public Object testJSON(@RequestBody Param param) { return param; } @GetMapping(value = "/query") public Object testQuery(String q){ return q; } @PostMapping(value = "/upload") public Object upload(MultipartFile file){ System.out.println(file.getOriginalFilename()); return "OK"; } }
下面通過postman測試下效果:
圖片.png
圖片.png
