1、XSS攻击的危害
作为Web网站来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,黑客在文本框中填写的文字信息里面包含一段JS代码,那么前端页面在显示这个信息的时候,就会执行这些JS代码了。例如我在评论上面回复某个问题的时候,填写的内容如下:
如果网页后端没有对保存的信息做XSS转义处理的话,将来某个用户打开网页,恰好翻到我的回复。这时候<script>
标签就会被当做JS脚本来执行了,于是用户的浏览器就会弹出HelloWorld这样的文字。其实弹出HelloWorld已经是危害很轻的XSS攻击了,如果黑客植入的JS脚本先读取浏览器的Cookie信息,然后把Cookie通过Ajax发送给黑客的服务器,那么远端的黑客就能用你的Cookie来模拟登陆,这多可怕啊。
防御XSS攻击的办法很简单,那就是对所有用户的数据先做转义处理,然后再保存到数据库里面。转义之后的信息,将来被加载到网页上面就丧失了作为脚本执行的能力。比如说上面文本框里面的脚本,经过转义之后就变成了<script>alert("HelloWorld")</script>
这个样子。就拿<script>
来说吧,它会被渲染成<script>
字符串,而不是当做脚本标签来执行。
2、导入依赖库
因为Hutpol工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.6.3</version>
</dependency>
3、实现XSS内容转义
首先我们要创建一个执行转义的封装类,这个类继承HttpServletRequestWrapper
父类。在Web项目中,我们无法修改HttpServletRequest
实现类的内容,因为请求的实现类是由各个Web容器厂商自己扩展的。但是有时候我们还想修改请求类中的内容,这该怎么办呢?Java语言给我们留出了缺口,我们只要继承Java Web内置的HttpServletRequestWrapper
父类,就能修改请求类的内容。如果我们能修改请求类的内容,我要修改获取请求数据的函数,返回的并不是客户端Form表单或者Ajax提交的数据,而是经过转义之后数据。
在com.example.emos.api.config.xss
包中创建XssHttpServletRequestWrapper.java
类。把获取请求头和请求体数据的方法都要重写,返回的是经过XSS转义后的数据。
package com.example.emos.api.config.xss;
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super