实战项目如何抵御即跨站脚本(XSS)攻击

已于 2023-03-18 15:56:34 修改
阅读量1.4k 收藏
点赞数 1
文章标签: xss 前端
于 2022-12-04 09:35:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51596697/article/details/128169250
版权

一、XSS攻击的危害

XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML,攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

例如用户在发帖或者注册的时候,在文本框中输入<script>alert('xss')</script>,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>标签的内容就会被执行。

通常情况下,我们登陆到某个网站。如果网站使用HttpSession保存登陆凭证,那么SessionId会以Cookie的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的Javascript代码是用来获取Cookie内容的,并且把Cookie内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie信息就泄露了。黑客在自己的电脑上构建出Cookie,就可以冒充已经登陆的用户。

即便很多网站使用了JWT,登陆凭证(Token令牌)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token,黑客依然可以轻松的冒充已经登陆的用户。

所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。

二、解决思路

对Http请求中的数据转义,即可以设置过滤器,来覆盖Http请求的方法,可参考如下两个方法:

实现HttpServletRequest接口,各家服务器厂商会实现它。但问题是如果直接继承各厂商的请求父类,那么我们的程序就跟厂商绑定在一起

继承HttpServletRequestWrapper类。HttpServletRequestWrapper类使用了装饰器模式;装饰器封装了厂商的Request;只需实现类只需要覆盖Wrapper类的方法,就能做

最后创建过滤器,把Requestx对象传入Wrapper对象

三、代码实现

1、导入Hutool依赖库

因为Hutool工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。

  <dependency>
       <groupId>cn.hutool</groupId>
       <artifactId>hutool-all</artifactId>
       <version>5.8.0</version>
   </dependency>

2、定义请求包装类

我们平时写Web项目遇到的HttpServletRequest,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为HttpServletRequest接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承HttpServletRequestWrapper父类。

JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat在实现Servlet规范的时候,就自定义了HttpServletRequest接口的实现类。同时JavaEE规范还定义了HttpServletRequestWrapper,这个类是请求类的包装类,用上了装饰器模式。这里用到的设计模式装饰器模式,无论各家应用服务器厂商怎么去实现HttpServletRequest接口,用户想要自定义请求,只需要继承HttpServletRequestwrapper,对应覆盖某个方法即可,然后把请求传入请求包装类,装饰器模式就会替代请求对象中对应的某个方法。用户的代码和服务器厂商的代码完全解耦,我们不用关心HttpServletRequest接口是怎么实现的,借助于包装类我们可以随意修改请求中的方法。

XssHttpServletRequestWrapper

/**
 * @description: 抵御跨站脚本XSS攻击
 * @Title: XssHttpServletRequestWrapper
 * @Package com.vector.server.config.xss
 * @Author 芝士汉堡
 * @Date 2022/12/4 7:54
 */
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {


    /*getInputStream方法
     *  springMVC是通过这个方法,从请求里面提取客户端提交的数据,
     *  然后把这些数据封装到from对象里面,然后把这个from对象传递给控制器方法,
     *  如果不对getInputStream方法读取的数据进行转译,后端就不具备防御XSS攻击的能力。
     *
     * */

    /**
     * The default behavior of this method is to return getInputStream() on the
     * wrapped request object.
     */
    @Override
    public ServletInputStream getInputStream() throws IOException {
        InputStream inputStream = super.getInputStream();
        InputStreamReader reader = new InputStreamReader(inputStream, Charset.forName("UTF-8"));
        BufferedReader buffer = new BufferedReader(reader);// 读取的高效性
        StringBuffer body = new StringBuffer();
        String line = buffer.readLine();
        while (line != null) {
            body.append(line);
            line = buffer.readLine();
        }
        buffer.close();
        reader.close();
        inputStream.close();
        /*将读取的body进行数据转换,因为客户端提交是json格式的,
        java是不支持原生json格式,需将json格式数据转为map对象*/
        Map<String, Object> map = JSONUtil.parseObj(body.toString());
        /*对map进行转译*/
        Map<String, Object> result = new LinkedHashMap<>();
        for (String key : map.keySet()) {
            Object val = map.get(key);
            if (val instanceof String) {
                if (!StrUtil.hasEmpty(val.toString())) {
                    result.put(key, HtmlUtil.filter(val.toString()));
                }
            } else {
                result.put(key, val);
            }
        }
        String json = JSONUtil.toJsonStr(result);
        ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
        return new ServletInputStream() {
            @Override
            public int read() throws IOException {
                return bain.read();
            }
            @Override
            public boolean isFinished() {
                return false;
            }
            @Override
            public boolean isReady() {
                return false;
            }
            @Override
            public void setReadListener(ReadListener readListener) {
            }
        };
    }

    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssHttpServletRequestWrapper(HttpServletRequest request) {
        super(request);
    }

    /**
     * The default behavior of this method is to return getParameter(String
     * name) on the wrapped request object.
     * 重写getParameter方法,将参数名和参数值都做xss过滤。
     *
     * @param name
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }


    /**
     * The default behavior of this method is to return
     * getParameterValues(String name) on the wrapped request object.
     * 做转译处理
     *
     * @param name
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values != null) {
            for (int i = 0; i < values.length; i++) {
                String value = values[i];
                if (!StrUtil.hasEmpty(value)) {
                    value = HtmlUtil.filter(value);
                }
                values[i] = value;
            }
        }
        return values;
    }

    /**
     * The default behavior of this method is to return getParameterMap() on the
     * wrapped request object.
     */
    @Override
    public Map<String, String[]> getParameterMap() {
        Map<String, String[]> parameters = super.getParameterMap();
        LinkedHashMap<String, String[]> map = new LinkedHashMap();
        if (parameters != null) {
            for (String key : parameters.keySet()) {
                String[] values = parameters.get(key);
                for (int i = 0; i < values.length; i++) {
                    String value = values[i];
                    if (!StrUtil.hasEmpty(value)) {
                        value = HtmlUtil.filter(value);
                    }
                    values[i] = value;
                }
                map.put(key, values);
            }
        }
        return map;
    }

    /**
     * The default behavior of this method is to return getHeader(String name)
     * on the wrapped request object.
     *
     * @param name
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (!StrUtil.hasEmpty(value)) {
            value = HtmlUtil.filter(value);
        }
        return value;
    }
}

3、创建过滤器,把Requestx对象传入Wrapper对象


/**
 * @description: 将拦截下的请求封装为XssHttpServletRequestWrapper对象
 * @Title: XssFilter
 * @Package com.vector.server.config.xss
 * @Author 芝士汉堡
 * @Date 2022/12/4 8:47
 */
@WebFilter(filterName = "xssFilter", urlPatterns = "/*")
public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper((HttpServletRequest) request), response);
    }

    @Override
    public void destroy() {
    }

}

四、测试

向后端发送数据

{
  "name": "<script>alert(1234)</script>"
}

接口逻辑

@RestController
@RequestMapping("/test")
@Api("测试Web接口")
public class TestController {

    @PostMapping("/sayHello")
    @ApiOperation("最简单的测试方法")
    public R sayHello(@Valid @RequestBody TestSayHelloForm form){
        return R.ok().put("message", "Hello"+form.getName());
    }
}

测试结果
在这里插入图片描述
将JavaScript代码屏蔽。

芝士汉堡 ིྀིྀ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
SpringBoot +esapi 实现防止xss攻击 实战代码,满满干货
06-08
SpringBoot是一个流行的Java微服务框架,而ESAPI(Enterprise Security API)则是一个开源的安全库,旨在提供一种简便的方式来防御多种Web应用安全问题,包括XSS攻击。本实战代码将展示如何结合SpringBoot和ESAPI来...
SpringBoot集成Hutool或mica防止XSS攻击实现
toudousi的博客
07-20 1343
mica不能过滤reqeust.getParameter(“param”)方式的xss攻击,使用filter是为了重写 httpservlet ,springmvc做参数绑定时会调用httpservlet 中的方法进行动态绑定,在springmvc绑定参数前使用HtmlUtil.filter进行xss转义。//Springboot启动类上添加 @ServletComponentScan 注解,注册Filter。//在yml配置文件中配置mica过滤xss。//先进行转义在把请求返回。//匿名类实现IO流。
抵御脚本(XSS)攻击
Baridhu的博客
10-18 727
作为Web网来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网植入JS代码。比如说普通网的用户注册、论坛网的发帖和回帖,以及电商网的商品评价等等,那我们如何去防止这种事发生呢?看看这篇文章
SpringBoot集成Hutool防止XSS攻击实现
weixin_73368873的博客
09-03 3008
xss攻击脚本的简写。xss攻击方式是发生在用户使用浏览器时候运行,通过嵌入脚本窃取用户信息(如cookie等)。相比钓鱼网更难被发现,一般是用JavaScript实现。//拦截请求@Override}@Override//先进行转义在把请求返回}@Override}}
XSS的预防 – Hutool应用 – Spring提供解决方案
weixin_45129599的博客
11-21 650
本页目录 什么是XSS攻击?举例:如何预防XSS?方案一Spring提供了一些特定的工具类供我们使用转义:HtmlUtils.htmlEscape()反转义:HtmlUtils.htmlUnescape()方案二 Hutool包下的Xss解决方案清除所有Html标签:cleanHtmlTag清除script标签:filter将HTML编码进行转义:escape将HTML编码进行反转义:unesca...
xss攻击
weixin_44860933的博客
04-03 339
抵御Xss攻击:通过参数转义,将转义后的参数存入数据库即可,如“hutool”类库提供一些转义操作。1.导入hutool包。
SpringBoot集成Hutool、mica防止XSS攻击实现
qq_52231508的博客
04-14 1480
SpringBoot集成Hutool、mica防止XSS攻击实现
SpringBoot +esapi 实现防止xss攻击 实战代码
11-25
在SpringBoot项目中集成ESAPI(Enterprise Security API)可以有效地防止XSS攻击。本文将深入探讨如何在SpringBoot应用中结合springSecurity过滤器链,利用ESAPI库实现XSS防护。 首先,让我们了解ESAPI。ESAPI是一...
隐式马尔可夫算法识别XSS攻击.zip
02-15
在这个特定的项目中,它被应用于网络安全,特别是识别脚本攻击XSS,Cross-Site Scripting)。XSS攻击是一种常见的Web应用安全漏洞,攻击者通过注入恶意脚本到用户浏览器,从而控制用户的会话或者窃取敏感信息...
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
然而,随着互联网技术的发展,网络安全问题日益凸显,XSS (脚本) 攻击与 SQL 注入攻击成为常见的安全威胁之一。因此,掌握如何在 Spring MVC 应用中有效防御这些攻击显得尤为重要。 #### 二、XSS 攻击与 SQL ...
PHP项目开发实战密码随书源码
03-13
此外,还可以了解到如何使用PHP进行Web服务接口开发、安全防护(如防止SQL注入和XSS攻击)、性能优化等高级话题。 总之,“PHP项目开发实战密码随书源码”是一个宝贵的教育资源,它为PHP初学者和进阶者提供了丰富的...
Springboot增加一个xss过滤器,防止xss攻击
编程技术
10-12 2619
springboot增加xss过滤器,防止xss攻击
WEB前端常见受攻击方式及解决办法总结
qq_44005305的博客
01-15 1360
具体来说,它是利用现有应用程序,将恶意的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入恶意SQL语句得到一个存在安全漏洞的网上的数据库,而不是按照设计者意图去执行SQL语句。为防止这种行为,我们必须对所有的重定向操作进行审核,以避免重定向到一个危险的地方。原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。
Xss漏洞拦截处理
pshaoyi的专栏
02-17 6359
描述 XSS(脚本攻击) 脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 思路 基于filter拦截,将特殊字符替换为html转意字符 (如: "<" 转意为 "&lt;") , 需要拦截的点如下: 请求头.
Java解决XSS攻击方式
weixin_44858201的博客
03-30 1万+
前言 在项目验收阶段,通常会对待验收项目做一些安全漏洞的测试,比如接口攻击,并发测试,XSS注入,SQL恶意注入测试,安全越权等操作,这时,就是考验项目的安全方面是否做的足够健壮的时候,本篇对XSS脚本攻击在实际WEB项目中的处理办法,提供2种可实行的方法 XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 F
脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 9693
脚本攻击漏洞-基础篇
脚本攻击XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
记一次因敏感信息泄露而导致的越权+存储型XSS
最新发布
2301_80127209的博客
07-23 520
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进的思路。这个思路分为两种,一是弱口令进测试,二是可注册进测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
理解XSS注入:基础与实战
本文将深入探讨XSS脚本)注入的基础知识,包括其定义、危害、历史背景以及简单的原理和环境搭建。XSS攻击是Web应用安全领域中最常见的漏洞之一,它允许攻击者在用户浏览器中执行恶意脚本,对用户数据和系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

芝士汉堡 ིྀིྀ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值