Java后端XSS攻击防护和防止SQL注入

最近在重构老项目的部分功能，发现项目中没有对XSS攻击防护的过滤，做了XSS过滤器，顺带整理一下内容。

SQL注入

一个SQL注入例子

我们举一个简单的sql注入例子，来解释其是如何进行注入的。假设现有一个登录功能，提交时需要验证用户名和密码，后台的验证是通过查库中的USER表完成的:

String sql = "select * from USER where username= ' "+userName+" ' and password=' "+password+" '";

这是一条简单的sql语句，看起来也没有什么语法问题，正常情况下，也可以实现登录验证的功能。但若是用户在前台姓名框那里输入了’’ 1’ or 1=1 --"，密码那里随便输入，都会查询出数据来，进而登录成功。我们看一下这种情况下拼出的sql：

String sql = "select * from USER where username= '1' or 1=1 --' and password='pwd'";

如果你不信可以执行就去数据库尝试一下，保准把所有数据都查出来。通过上面这个简单的例子，说了SQL是如何注入的，在最初学习写程序时JDBC推荐使用PreparedStatement而不是Statement的原因。

如何防止SQL注入

数据库层

在数据库层，我们能做的就是JDBC的预编译、Mybatis中尽量使用#{XXX}而不是${XXX}。

使用正则表达式

这种方法其实就是在与数据库交互之前，校验一下传入值是否有可能造成SQL注入的特殊字符，如果有的话，前台给出提示，方法return，不与数据库交互。

使用Filter+HttpServletRequestWrapper替换非法字符

HttpServletRequestWrapper类继承了ServletRequestWrapper，后者是ServletRequest的装饰类，

public class ServletRequestWrapper implements ServletRequest {
    private ServletRequest request;
}
// HttpServletRequestWrapper构造器传入的是HttpServletRequest对象，起到了HttpServletRequest装饰类的作用。
public class HttpServletRequestWrapper extends ServletRequestWrapper implements HttpServletRequest {
    public HttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }
}

我们可以写一个自定义的类来继承HttpServletRequestWrapper，重写其getParameterValues、getParameter、getHeader等方法来对非法字符进行替换

public class MyHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public MyHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = 自定义过滤方法(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        return 自定义过滤方法(value);
    }

    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null) {
            return null;
        }
        return 自定义过滤方法(value);
    }
}

上面的方法可以对form表单，获取input框的值然后进行过滤，request请求中的Content-Type: application/x-www-form-urlencoded; charset=UTF-8。但是对于我的项目还是不行，因为以前后分离是用json进行数据交互的，根本没法取parameter，后来又参考了别人的博客，有一种方法是重写getInputStream()方法，从流中读取前台传过来的内容转为String，进行过滤，再转回输入流写到request中，这种方法我没有采用，因为觉得效率可能有点慢。

转换层进行处理

这种方式是数据从前台传入后，在进行业务逻辑处理之前，先对json转的对象进行一步处理，将可能的敏感字符转为特殊字符，然后再入库。同理，从数据库到前台，也需要对从库中取出的数据进行处理，要不然前台的敏感字符会显示乱码。

@JsonDeserialize和@JsonSerialize

在数据到达Controller层之前进行过滤，通过重写serialize方法对json进行过滤。

@JsonSerialize(using = StringSeriaLizer.class)
@JsonDeserialize(using = StringDeserializer.class)
private String pwd;

public class StringSeriaLizer extends JsonSerializer<String> {
    @Override
    public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider)
            throws IOException, JsonProcessingException {
        jsonGenerator.writeString(自定义过滤方法(s));
    }
}

XSS

XSS攻击是在网页中嵌入客户端恶意脚本代码，恶意代码一般都是javascript编写的。想要深入研究XSS，必须精通javascript。javascript可以获取用户的cookie、改变网页内容、URL跳转，所以，存在XSS漏洞的网站，就可以盗取Cookie、黑掉页面、跳转到恶意网站。

在存在XSS漏洞的地方输入之间输入恶意javascript代码，就会造成相应的恶意攻击。盗取Cookie、监控键盘记录等。
xss防护与上面总结的sql防注入3、4、5点都可以通用，只是过滤逻辑需要注意替换一下。自定义过滤逻辑实现时，可以先看看StringEscapeUtils.escapeHtml()方法和HtmlUtils.htmlEscape()两个方法是否满足你的需求。