转自:https://blog.csdn.net/qq_38892496/article/details/91582868
作者:y_mk
什么是Xss攻击?
那么该如何防止XSS攻击呢?
实现思路:
使用转义解决。将<转义为< >转义为>
①使用过滤器,拦截所有请求,重写request
②重写获取值的方法,将特殊代码转换成html
首先,这个词实际上是CSS(Cross Site Scripting),但它与CSS同名。所以名字是XSS。
——摘自百度百科 https://baijiahao.baidu.com/sid=1618267672561552800&wfr=spider&for=pc
其实就是使用Javascript脚本注入进行攻击
例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。
Demo:
<script>alert('这是黑客攻击')</script>
如何防止Xss攻击
通过装饰类转换成Html代码
把上方的Demo代码通过装饰类转换成如下html元素代码
<script>alert('这是黑客攻击')</script>
- 创建修饰类,重写getParameter方法
public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest request;
public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
this.request = request;
}
//需要重写getParameter(name)方法,将value进行转义
public String getParameter(String name) {
String value = request.getParameter(name);
System.out.println("name: " + name + "," + value);
if (!StringUtils.isEmpty(value)) {
//转化为html,<script>标签都会转化为html格式 <script>
//工具类来自于org.apache.commons.lang3.StringEscapeUtils
value = StringEscapeUtils.escapeHtml4(value);
}
return value;
}
}
- 创建过滤器拦截,需要重写doFilter方法
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
// 拦截request请求
HttpServletRequest req = (HttpServletRequest) request;
// 创建修饰类
XssAndSqlHttpServletRequestWrapper xssAndSqlWrapper = new XssAndSqlHttpServletRequestWrapper(req);
// 不返回就不放行
chain.doFilter(xssAndSqlWrapper, response);
}
@Override
public void destroy() {
}
- 配置filter(注解配置,也可以直接在web.xml写)
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
- 如果是SpringBoot项目,记得加 @ServletComponentScan 注解
- 只要是文本框、表单等,需要提交并在页面展示的,一般都需要做防XSS攻击。