前言:XSS,老生常谈?安全攻防的“万年背锅侠”?
Web 应用安全,一个永远不会过时的话题。XSS,跨站脚本攻击,更是安全界的“常青树”,年年讲,月月谈,但似乎总也防不胜防。要我说,XSS 就像是 Web 应用的“青春痘”,时不时冒出来恶心你一下。
这篇文章?没错,又要聊 XSS 防御了。但别指望我给你喂一堆教科书式的概念,咱们直接上“硬菜”,看看在 Spring Boot 里,怎么用一些“骚操作”来搞定这个老家伙。
XSS 攻击:别跟我扯定义,先搞清楚它怎么“搞事情”!
XSS 攻击,说白了,就是黑客往你的网站里塞了一段恶意代码,然后忽悠用户去点击,这段代码就能在用户的浏览器上执行,盗取 cookie、篡改页面,甚至冒充用户干坏事。
1.1 XSS 攻击的本质:信任危机?还是代码的“自由泳”?
XSS 的核心问题,在于 Web 应用对用户输入“过于信任”,没有进行严格的过滤和转义。这就好比你家大门没锁,小偷随便进,想干啥干啥。
1.2 XSS 攻击“三板斧”:存储、反射、DOM,哪个才是你的“软肋”?
XSS 攻击,按照攻击方式,可以分为三种:
- 存储型 XSS: 恶意脚本直接“住”在服务器上,比如数据库里。只要有人访问包含恶意脚本的页面,就会中招。这种攻击危害最大,影响范围也最广。
- 反射型 XSS: 恶意脚本不“落地”,而是通过 URL 参数等方式,临时“反射”到页面上。这种攻击需要诱使用户点击恶意链接,才能生效。
- DOM 型 XSS: 恶意脚本完全在客户端执行,不经过服务器。这种攻击利用 JavaScript 代码漏洞,修改页面的 DOM 结构,实现攻击。
1.3 攻防演练:XSS 攻击的“花式”玩法,你能 hold 住吗?
来,咱们模拟一下 XSS 攻击的场景:
- 存储型 XSS: 想象一下,你在一个论坛里发帖,内容是:
<script>alert('XSS')</script>。如果论坛没有对这段代码进行过滤,那么所有浏览这个帖子的人,都会弹出一个 "XSS" 的警告框。 - 反射型 XSS: 黑客构造一个这样的 URL:
http://example.com/search?keyword=<script>alert('XSS')</script>。如果你点击了这个链接,页面会显示一个 "XSS" 的警告框。 - DOM 型 XSS: 假设你的网站有这样的 JavaScript 代码:
document.getElementById('output').innerHTML = location.hash.substring(1);。黑客可以构造一个这样的 URL:http://example.com/#<img src=x onerror=alert('XSS')>。当用户访问这个 URL 时,页面会弹出一个 "XSS" 的警告框。
Spring Boot 防 XSS:别再用“老掉牙”的招数了,试试这些“黑科技”!
在 Spring Boot 中,防御 XSS 攻击的方法有很多,但核心思想都是:对用户输入进行严格的过滤和转义。
2.1 注解式 XSS 防御:优雅?高效?还是“花架子”?
注解,是一种简单粗暴的防御手段。你可以在需要校验的字段上,加上一个 @XSS 注解,然后 Spring Boot 就会自动对这个字段进行 XSS 过滤。
2.1.1 引入依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-validation</artifactId>
</dependency>
2.1.2 自定义 @XSS 注解:
@Target({ElementType.METHOD, ElementType.FIELD, ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = XssValidator.class)
public @interface XSS {
String message() default "检测到 XSS 攻击!";
Class<?>[] groups() default {};
Class<? extends Payload>[] payload() default {};
}
2.1.3 实现 XssValidator 类:
public class XssValidator implements ConstraintValidator<XSS, String> {
private static final Safelist whitelist = Safelist.basicWithImages();
@Override
public boolean isValid(String value, ConstraintValidatorContext context) {
if (value == null || value.isEmpty()) {
return true;
}
String cleanValue = Jsoup.clean(value, whitelist);
return cleanValue.equals(value);
}
}
2.1.4 使用 @XSS 注解:
public class User {
@XSS
private String username;
@XSS
private String comment;
}
在 Controller 中,使用 @Validated 注解,开启参数校验:
@PostMapping("/user")
public String createUser(@Validated @RequestBody User user) {
// ...
}
2.2 过滤器:全局拦截?还是“一刀切”?
过滤器,是一种全局性的防御手段。你可以配置一个 XSS 过滤器,对所有请求的参数进行过滤。
2.2.1 引入依赖:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.17.2</version>
</dependency>
2.2.2 配置 FilterConfig 类:
@Configuration
@ConfigurationProperties(prefix = "xss")
public class FilterConfig {
private boolean enabled;
private String excludes;
private String urlPatterns;
@Bean
public FilterRegistrationBean xssFilterRegistration() {
FilterRegistrationBean registration = new FilterRegistrationBean();
registration.setDispatcherTypes(DispatcherType.REQUEST);
registration.setFilter(new XssFilter());
registration.addUrlPatterns(StringUtils.split(urlPatterns, ","));
registration.setName("xssFilter");
registration.setOrder(9999);
Map<String, String> initParameters = new HashMap<>();
initParameters.put("excludes", excludes);
initParameters.put("enabled", String.valueOf(enabled));
registration.setInitParameters(initParameters);
return registration;
}
}
2.2.3 配置 XssFilter 类:
public class XssFilter implements Filter {
private List<String> excludes = new ArrayList<>();
private boolean enabled = false;
@Override
public void init(FilterConfig filterConfig) throws ServletException {
String strExcludes = filterConfig.getInitParameter("excludes");
String strEnabled = filterConfig.getInitParameter("enabled");
if (StringUtils.isNotEmpty(strExcludes)) {
String[] urls = strExcludes.split(",");
excludes.addAll(Arrays.asList(urls));
}
if (StringUtils.isNotEmpty(strEnabled)) {
enabled = Boolean.parseBoolean(strEnabled);
}
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
if (isExcludeUrl(req.getServletPath())) {
chain.doFilter(request, response);
return;
}
chain.doFilter(new XssWrapper(req), resp);
}
private boolean isExcludeUrl(String urlPath) {
if (!enabled) {
return true;
}
if (excludes == null || excludes.isEmpty()) {
return false;
}
String url = urlPath;
for (String pattern : excludes) {
Pattern p = Pattern.compile("^" + pattern);
Matcher m = p.matcher(url);
if (m.find()) {
return true;
}
}
return false;
}
}
2.2.4 配置 XssWrapper 类:
public class XssWrapper extends HttpServletRequestWrapper {
public XssWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (StringUtils.isBlank(value)) {
return value;
}
return cleanXSS(value);
}
private String cleanXSS(String value) {
return Jsoup.clean(value, Safelist.basicWithImages());
}
}
2.3 JSON 数据 XSS 防御:HttpMessageConverter “大显身手”!
对于 JSON 数据,可以使用 HttpMessageConverter 来进行 XSS 过滤。
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
converters.add(new XssStringJsonSerializer());
}
}
public class XssStringJsonSerializer extends MappingJackson2HttpMessageConverter {
@Override
protected void writeInternal(Object object, Type type, HttpOutputMessage outputMessage) throws IOException, HttpMessageNotWritableException {
String json = new ObjectMapper().writeValueAsString(object);
String encodedJson = Jsoup.clean(json, Safelist.basicWithImages());
outputMessage.getBody().write(encodedJson.getBytes());
}
}
实战演练:XSS 防御效果“大 PK”,谁才是“真英雄”?
3.1 注解式 XSS 防御:
如果你提交包含 XSS 攻击的参数,比如 <script>alert('XSS')</script>,那么 Spring Boot 会抛出一个异常,提示你输入非法。
3.2 过滤器:
如果你提交包含 XSS 攻击的参数,比如 <script>alert('XSS')</script>,那么过滤器会自动将这段代码过滤掉,保证你的应用安全。
3.3 JSON 数据 XSS 防御:
如果你提交包含 XSS 攻击的 JSON 数据,那么 HttpMessageConverter 会自动将这段数据过滤掉,保证你的应用安全。
总结:XSS 防御,没有“一劳永逸”,只有“持续进化”!
XSS 攻击,是一种永远不会过时的安全威胁。防御 XSS 攻击,需要我们不断学习新的技术,不断改进防御策略。
希望这篇文章能帮助你更好地理解 XSS 攻击,并在 Spring Boot 应用中有效地防御 XSS 攻击。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************
扫一扫
3514
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
