xss漏洞修复踩坑总结

一、前言

最近测试发现系统某个接口有个xss漏洞，比如，保存数据入库时，会把<a>标签保存入库；然后查看列表时，会把<a>标签显示出来；

说是这个漏洞可以构建恶意链接，点击会跳转到恶意网址，让修复掉。

二、修复方法：前端修复

这个问题之前也遇到过，于是就按照之前的修复方法，让前端加一个xss.js，过滤掉不合法的标签后，再把数据传给后台。

谁知道这次不行了，测试直接抓包，用postman直接给后台发送含有<a>标签的请求，结果又存入数据库了。

如果从前端输入含有<a>标签的请求，点击保存，那样前端就会用xss.js把<a>标签过滤后发给后台，是没有问题的；

但是如果抓包，直接给后台发请求，那还是存在xss.js漏洞。（而且抓包测试过分了吧，那样好多系统岂不是都有漏洞了）

三、修复方法：后端修复(springboot项目)

为了符合要求，准备在后端Controller处增加过滤器，判断，如果请求报文中的参数含有不合法标签（<a>标签等），就过滤掉这个请求，不继续处理，返回错误信息。

结果踩了一堆坑，才好不容易弄好。

先发下修复流程：

1.先写一个全局过滤器(/*)，用来让HttpServletRequest.getInputStream()获取的流可以重复读取，可以参考下面的文章：
https://blog.51cto.com/u_3664660/3212696

2.再写一个拦截器，拦截指定url（/save），就是保存数据库的那个url：

这个拦截器中，会使用HttpServletRequest.getInputStream()获取请求体内容(json传递的数据，就需要这样获取)；

也会使用request.getParameterNames().hasMoreElements()、request.getParameter(request.getParameterNames().nextElement())等方法，获取key-value传参中的所有value；

然后用方法pattern.matcher(value).find()匹配这些参数，如果符合匹配条件，就拦截这条请求，不继续处理，返回错误信息；

匹配规则样例为：

Pattern pattern = Pattern.compile("(?:')|(?:--)|(/\\*(?:.|[\\n\\r])*?\\*/)|(\\b(select|update|union|and|or|delete|insert|truncate|char|into|substr|ascii|declare|exec|count|master|drop|execute)\\b)|(<a)|(<abbr)|(<address)|(<area)|(<article)|(<aside)|(<audio)|(<b)|(<bdi)|(<bdo)|(<big)|(<blockquote)|(<br)|(<caption)|(<center)|(<cite)|(<code)|(<col)|(<colgroup)|(<dd)|(<del)|(<details)|(<div)|(<dl)|(<dt)|(<em)|(<figcaption)|(<figure)|(<font)|(<footer)|(<h1)|(<h2)|(<h3)|(<h4)|(<h5)|(<h6)|(<header)|(<hr)|(<i)|(<img)|(<ins)|(<li)|(<mark)|(<nav)|(<ol)|(<p)|(<pre)|(<s)|(<section)|(<small)|(<span)|(<sub)|(<summary)|(<sup)|(<strong)|(<strike)|(<table)|(<tbody)|(<td)|(<tfoot)|(<th)|(<thead)|(<tr)|(<tt)|(<u)|(<ul)|(<video)", 2);

这个规则是本人根据xss.js写的，意思是，如果请求数据中包含了这些非法标签，就拦截掉，返回错误信息，不让这些数据保存入数据库。

可以参考这个文章：https://blog.csdn.net/meser88/article/details/121211112

四、踩坑记录

修复方法按照上面的后端修复就没什么问题了，下面记录下踩过的坑。

1.@WebFilter和@Component一起使用导致urlPatterns不起作用

本来最开始是想写个过滤器过滤指定url的，结果发现这个过滤器过滤了所有路径的url；

后来才发现@WebFilter和@Component不能一起用，应该在过滤器里用@WebFilter，在启动类Application.java里用@ServletComponentScan去扫描那个过滤器才对。

可以参考这篇文章：https://blog.csdn.net/weixin_38152047/article/details/121244269

2.httpServletRequest.getInputStream()不能重复读取的坑

为了判断请求数据(json)是否包含非法标签，只能把流读取出来再判断；

可是在过滤器/拦截器里读取完流后，发现流没有问题、放行给Controller时，就会报错：流不能再次读取。

百度了好多方法，有给流设置mark()与reset()的，不过请求流不支持这样；

最后还是用了一个全局过滤器，封装了个HttpServletRequestWrapper类解决的。

可以参考这篇文章：https://blog.51cto.com/u_3664660/3212696

3.正则表达式拦截非法标签的坑

这个其实是个小坑；刚开始本人准备拦截<a>这样的；

后来才想到，这样不行，a标签里面是有参数的；

因此改为了拦截<a这样的，只要报文里匹配到这个，就拦截掉。