“XSS 攻击全称跨站脚本攻击,是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在 web 应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。
”
你可以自己做个简单尝试:
1. 在任何一个表单内,你输入一段简单的 js 代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库;
2. 在页面上一个 div 元素内直接展示第一步内存入的值,你会发现弹出框出现了;
以上 XSS 攻击只算一个小恶作剧,但如果这玩意被发到了网站的首页上,我估计老板一定会因为频繁的投诉而和你来场愉快的谈话…
以上两个示例仅仅算是恶作剧,恶意用户能做的更多,如获取用户信息,进行 “网络钓鱼” 攻击等。
应对 XSS 攻击的其中一个方式就是后端对输入内容进行过滤,输入内容里面的敏感信息直接过滤,如<script>标签等,以下来说明如何在 spring boot 项目内方便快捷的实现 XSS 过滤。
1、Jsoup 组件
Jsoup 使用标签白名单的机制用来进行防止 XSS 攻击, 假设白名单中只允许 p 标签存在, 此时在一段 HTML 代码中, 只能存在 p 标签 , 其他标签将会被清除只保留被标签所包裹的内容,因此使用 Jsoup 组件来进行内容过滤。
添加 maven 依赖:
<!-- xss过滤组件 -->
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.9.2</version>
</dependency>
JsoupUtil 提供基于 Jsoup 过滤非法标签的工具类:
/**
* xss非法标签过滤
* {@link http://www.jianshu.com/p/32abc12a175a?nomobile=yes}
*/
public class JsoupUtil {
/**
* 使用自带的basicWithImages 白名单
* 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
* strike,strong,sub,sup,u,ul,img
* 以及a标签的href,img标签的src,align,alt,height,width,title属性
*/
private static final Whitelist whitelist = Whitelist.basicWithImages();
/** 配置过滤化参数,不对代码进行格式化 */
private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
static {
// 富文本编辑时一些样式是使用style来进行实现的
// 比如红色字体 style="color:red;"
// 所以需要给所有标签添加style属性
whitelist.addAttributes(":all", "style");
}
public static String clean(String content) {
return Jsoup.clean(content, "", whitelist, outputSettings);
}
public static void main(String[] args) throws FileNotFoundException, IOException {
String text = "<a href=\"http://www.baidu.com/a\" onclick=\"alert(1);\">sss</a><script>alert(0);</script>sss";
System.out.println(clean(text));
}
}
2、创建 XssHttpServletRequestWrapper
这是实现 XSS 过滤的关键,在其内重写了 getParameter,getParameterValues,getHeader 等方法,对 http 请求内的参数进行了过滤。
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;
private boolean isIncludeRichText = false;
public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
super(request);
orgRequest = request;
this.isIncludeRichText = isIncludeRichText;
}
/**
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/>
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
if(("content".equals(name) || name.endsWith("WithHtml")) && !isIncludeRichText){
return super.getParameter(name);
}
name = JsoupUtil.clean(name);
String value = super.getParameter(name);
if (StringUtils.isNotBlank(value)) {
value = JsoupUtil.clean(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] arr = super.getParameterValues(name);
if(arr != null){
for (int i=0;i<arr.length;i++) {
arr[i] = JsoupUtil.clean(arr[i]);
}
}
return arr;
}
/**
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
* getHeaderNames 也可能需要覆盖
*/
@Override
public String getHeader(String name) {
name = JsoupUtil.clean(name);
String value = super.getHeader(name);
if (StringUtils.isNotBlank(value)) {
value = JsoupUtil.clean(value);
}
return value;
}
/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if (req instanceof XssHttpServletRequestWrapper) {
return ((XssHttpServletRequestWrapper) req).getOrgRequest();
}
return req;
}
}
3、创建 XssFilter
XssFilter 是过滤 XSS 请求的入口,在这里通过 XssHttpServletRequestWrapper 将 HttpServletRequest 进行了封装,filterChain.doFilter(xssRequest, response);保证了后续代码执行 request.getParameter,request.getParameterValues,request.getHeader 时调用的都是 XssHttpServletRequestWrapper 内重写的方法,获取到的参数是已经进行过标签过滤的内容,从而消除了敏感信息。
/**
* 拦截防止xss注入
* 通过Jsoup过滤请求参数内的特定字符
* @author yangwk
*/
public class XssFilter implements Filter {
private static Logger logger = LoggerFactory.getLogger(XssFilter.class);
private static boolean IS_INCLUDE_RICH_TEXT = false;//是否过滤富文本内容
public List<String> excludes = new ArrayList<String>();
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException {
if(logger.isDebugEnabled()){
logger.debug("xss filter is open");
}
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
if(handleExcludeURL(req, resp)){
filterChain.doFilter(request, response);
return;
}
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT);
filterChain.doFilter(xssRequest, response);
}
private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
if (excludes == null || excludes.isEmpty()) {
return false;
}
String url = request.getServletPath();
for (String pattern : excludes) {
Pattern p = Pattern.compile("^" + pattern);
Matcher m = p.matcher(url);
if (m.find()) {
return true;
}
}
return false;
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
if(logger.isDebugEnabled()){
logger.debug("xss filter init~~~~~~~~~~~~");
}
String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
if(StringUtils.isNotBlank(isIncludeRichText)){
IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
}
String temp = filterConfig.getInitParameter("excludes");
if (temp != null) {
String[] url = temp.split(",");
for (int i = 0; url != null && i < url.length; i++) {
excludes.add(url[i]);
}
}
}
@Override
public void destroy() {}
}
4、注册 XssFilter
通过 java config 的方式注册 XSSFilter,使其生效。
/**
* xss过滤拦截器
*/
@Bean
public FilterRegistrationBean xssFilterRegistrationBean() {
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
filterRegistrationBean.setFilter(new XssFilter());
filterRegistrationBean.setOrder(1);
filterRegistrationBean.setEnabled(true);
filterRegistrationBean.addUrlPatterns("/*");
Map<String, String> initParameters = Maps.newHashMap();
initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
initParameters.put("isIncludeRichText", "true");
filterRegistrationBean.setInitParameters(initParameters);
return filterRegistrationBean;
}
excludes 用于配置不需要参数过滤的请求 url
isIncludeRichText 默认为 true,主要用于设置富文本(项目内约束以 content 为名或以 WithHtml 结尾)内容是否需要过滤,该选项可根据公司具体情况调整,建议约束富文本编辑框支持的标签并开启改约束,减少安全隐患
小结
防御 XSS 攻击,可以通过后端统一进行标签过滤,去掉所有输入内容中包含的类似于<script>这样的非法标签来实现。
1. 标签过滤实现可使用 Jsoup,功能强大,使用方便,更多内容可参考 Jsoup 防止富文本 XSS 攻击http://www.jianshu.com/p/32abc12a175a?nomobile=yes;
2. 继承 HttpServletRequestWrapper,重写从 request 内获取参数的方法,在其内调用 JsoupUtil 的方法,进行参数脱敏处理;
3. 通过 XssFilter 将 XssHttpServletRequestWrapper 设置入处理链中,从而达到后续处理类内通过 Request 获取参数时调用的是重写后的获取参数的方法,进而达成业务代码无感知的实现了 XSS 过滤的目的。
本人搭建好的 spring boot web 后端开发框架已上传至 GitHub,包含本文内的全部代码示例。源码地址:https://github.com/q7322068/rest-base
已用于多个正式项目,当前可能因为版本问题不是很完善,后续持续优化,希望你能有所收获!
作者:思与学
来源链接:
https://blog.csdn.net/u014411966/article/details/78164752
7329
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
