什么是 XSS 攻击手段
XSS 攻击 使用的是 JavaScript 脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。
XSS 攻击原理
使用 JS 脚本语言,因为浏览器模特让你支持脚本语言执行,如果在表单提交的时候,提交一些脚本参数,可能浏览器直接执行
XSS 攻击防御手段
像一些特殊字符,比如<、>如果不进行特殊字符处理的话,很可能受到 XSS 攻击
用户如果提交 < 转换成 <;
如何防御XSS攻击
将脚本特殊字符,转换成html源代码进行展示。
步骤:
- 编写过滤器拦截所有 getParamter 参数,重写 HttpServletWrapper 方法
- 将参数特殊字符转换成 html 原代码保存
重写HttpServletRequestWrapper 防止XSS攻击
// 重写HttpServletRequestWrapper 防止XSS攻击
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
private HttpServletRequest request;
/**
* @param request
*/
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
@Override
public String getParameter(String name) {
// 过滤getParameter参数 检查是否有特殊字符
String value = super.getParameter(name);
System.out.println("value:" + value);
if (!StringUtils.isEmpty(value)) {
// 将中文转换为字符编码格式,将特殊字符变为html源代码保存
value = StringEscapeUtils.escapeHtml(value);
System.out.println("newValue:" + value);
}
return value;
}
}
SpringBoot启动加上@ServletComponentScan
@MapperScan(basePackages = { "com.xiaoming.mapper" })
@SpringBootApplication
@ServletComponentScan
public class App {
public static void main(String[] args) {
SpringApplication.run(App.class, args);
}
}
过滤器XssFilter
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
//程序防止XSS攻击原理
//1.使用过滤器拦截所有参数
HttpServletRequest req = (HttpServletRequest) servletRequest;
//2.重写 getParamter 方法 HttpServletRequestWrapper
//3.使用 StringEscapeUtils.escapeHtml() 转换特殊参数
XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(req);
//放行程序,继续往下执行
filterChain.doFilter(wrapper, servletResponse);
}
@Override
public void destroy() {
}
}