最近在重构老项目的部分功能,发现项目中没有对XSS攻击防护的过滤,做了XSS过滤器,顺带整理一下内容。
SQL注入
一个SQL注入例子
我们举一个简单的sql注入例子,来解释其是如何进行注入的。假设现有一个登录功能,提交时需要验证用户名和密码,后台的验证是通过查库中的USER表完成的:
String sql = "select * from USER where username= ' "+userName+" ' and password=' "+password+" '";
这是一条简单的sql语句,看起来也没有什么语法问题,正常情况下,也可以实现登录验证的功能。但若是用户在前台姓名框那里输入了’’ 1’ or 1=1 --",密码那里随便输入,都会查询出数据来,进而登录成功。我们看一下这种情况下拼出的sql:
String sql = "select * from USER where username= '1' or 1=1 --' and password='pwd'";
如果你不信可以执行就去数据库尝试一下,保准把所有数据都查出来。通过上面这个简单的例子,说了SQL是如何注入的,在最初学习写程序时JDBC推荐使用PreparedStatement而不是Statement的原因。
如何防止SQL注入
数据库层
在数据库层,我们能做的就是JDBC的预编译、Mybatis中尽量使用#{XXX}而不是${XXX}。
使用正则表达式
这种方法其实就是在与数据库交互之前,校验一下传入值是否有可能造成SQL注入的特殊字符,如果有的话,前台给出提示,方法return,不与数据库交互。
使用Filter+HttpServletRequestWrapper替换非法字符
HttpServletRequestWrapper类继承了ServletRequestWrapper,后者是ServletRequest的装饰类,
public class ServletRequestWrapper implements ServletRequest {
private ServletRequest request;
}
// HttpServletRequestWrapper构造器传入的是HttpServletRequest对象,起到了HttpServletRequest装饰类的作用。
public class HttpServletRequestWrapper extends ServletRequestWrapper implements HttpServletRequest {
public HttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
}
我们可以写一个自定义的类来继承HttpServletRequestWrapper,重写其getParameterValues、getParameter、getHeader等方法来对非法字符进行替换
public class MyHttpServletRequestWrapper extends HttpServletRequestWrapper {
public MyHttpServletRequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = 自定义过滤方法(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
return 自定义过滤方法(value);
}
public String getHeader(String name) {
String value = super.getHeader(name);
if (value == null) {
return null;
}
return 自定义过滤方法(value);
}
}
上面的方法可以对form表单,获取input框的值然后进行过滤,request请求中的Content-Type: application/x-www-form-urlencoded; charset=UTF-8。但是对于我的项目还是不行,因为以前后分离是用json进行数据交互的,根本没法取parameter,后来又参考了别人的博客,有一种方法是重写getInputStream()方法,从流中读取前台传过来的内容转为String,进行过滤,再转回输入流写到request中,这种方法我没有采用,因为觉得效率可能有点慢。
转换层进行处理
这种方式是数据从前台传入后,在进行业务逻辑处理之前,先对json转的对象进行一步处理,将可能的敏感字符转为特殊字符,然后再入库。同理,从数据库到前台,也需要对从库中取出的数据进行处理,要不然前台的敏感字符会显示乱码。
@JsonDeserialize和@JsonSerialize
在数据到达Controller层之前进行过滤,通过重写serialize方法对json进行过滤。
@JsonSerialize(using = StringSeriaLizer.class)
@JsonDeserialize(using = StringDeserializer.class)
private String pwd;
public class StringSeriaLizer extends JsonSerializer<String> {
@Override
public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider)
throws IOException, JsonProcessingException {
jsonGenerator.writeString(自定义过滤方法(s));
}
}
XSS
XSS攻击是在网页中嵌入客户端恶意脚本代码,恶意代码一般都是javascript编写的。想要深入研究XSS,必须精通javascript。javascript可以获取用户的cookie、改变网页内容、URL跳转,所以,存在XSS漏洞的网站,就可以盗取Cookie、黑掉页面、跳转到恶意网站。
在存在XSS漏洞的地方输入之间输入恶意javascript代码,就会造成相应的恶意攻击。盗取Cookie、监控键盘记录等。
xss防护与上面总结的sql防注入3、4、5点都可以通用,只是过滤逻辑需要注意替换一下。自定义过滤逻辑实现时,可以先看看StringEscapeUtils.escapeHtml()方法和HtmlUtils.htmlEscape()两个方法是否满足你的需求。