Antisamy(XSS防御)的学习

我爱学习呀

已于 2022-01-26 14:37:34 修改

阅读量3.4k

点赞数 3

文章标签： xss 前端 java

于 2022-01-16 15:04:15 首次发布

本文链接：https://blog.csdn.net/qq_45745964/article/details/122523450

版权

这篇博客详细介绍了XSS攻击的原理及其危害，并重点讲解了Antisamy这一OWASP开源项目，用于防御XSS攻击。通过创建过滤器、自定义starter等方式，展示了如何在Java项目中使用Antisamy进行安全防护。此外，还讨论了CSRF攻击的防御策略，包括验证HTTP Referer字段、添加token验证以及自定义HTTP头属性。最后，简要提及了SQL注入的相关概念和原理。

摘要由CSDN通过智能技术生成

Antisamy（XSS防御）的学习

此教程基于黑马程序员Java品达通用权限项目，哔哩哔哩链接：https://www.bilibili.com/video/BV1tw411f79E?p=55

1.XSS介绍

XSS：跨站脚本攻击(Cross Site Scripting)，为不和 CSS混淆，故将跨站脚本攻击缩写为XSS。XSS是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。有点类似于sql注入。

XSS攻击原理：

HTML是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是HTML标签的开始，与之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入了一段JavaScript脚本时，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生XSS漏洞。

2.AntiSamy介绍

AntiSamy是OWASP的一个开源项目，通过对用户输入的 HTML / CSS / JavaScript 等内容进行检验和清理，确保输入符合应用规范。AntiSamy被广泛应用于Web服务对存储型和反射型XSS的防御中。

AntiSamy的maven坐标：

<dependency>
  <groupId>org.owasp.antisamy</groupId>
  <artifactId>antisamy</artifactId>
  <version>1.5.7</version>
</dependency>

3.AntiSamy入门案例

第一步：创建maven工程antiSamy_demo并配置pom.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 
                             http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.2.2.RELEASE</version>
        <relativePath/>
    </parent>
    <groupId>cn.itcast</groupId>
    <artifactId>antiSamy_demo</artifactId>
    <version>1.0-SNAPSHOT</version>
    
    <dependencies>
        <!-- web依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!-- antisamy依赖 -->
        <dependency>
            <groupId>org.owasp.antisamy</groupId>
            <artifactId>antisamy</artifactId>
            <version>1.5.7</version>
        </dependency>
        <!-- lombok依赖 -->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
    </dependencies>
    
</project>

第二步：创建application.yml

server:
  port: 9000

第三步：创建策略文件/resources/antisamy-test.xml，文件内容可以从antisamy的jar包中获取

注：AntiSamy对“恶意代码”的过滤依赖于策略文件。策略文件规定了AntiSamy对各个标签、属性的处理方法，策略文件定义的严格与否，决定了AntiSamy对XSS漏洞的防御效果。在AntiSamy的jar包中，包含了几个常用的策略文件，此处我们拷贝antisamy-ebay.xml文件到resources目录下并命名为antisamy-test.xml

我们可以查看策略文件，如：

第四步：创建User实体类

package cn.itcast.entity;

import lombok.Data;

@Data
public class User {
   
    private int id;
    private String name;
    private int age;
}

第五步：创建UserController

package cn.itcast.controller;

import cn.itcast.entity.User;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/user")
public class UserController {
   
    @RequestMapping("/save")
    public String save(User user){
   
        System.out.println("UserController save.... " + user);
        return user.getName();
    }
}