本专栏将为大家总结项目实战相关的知识! 点击即可关注本专栏,获取更多知识!
文章目录
前言
作为Web网站来说,抵御XSS攻击是必须要做的事情,这是非常常见的黑客攻击手段之一。
一、什么是XSS攻击
XSS
意思是跨站脚本攻击,英文全称Cross Site Scripting,为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,黑客在文本框中填写的文字信息里面包含一段JS代码,那么前端页面在显示这个信息的时候,就会执行这些JS代码了。
如下我是我在CSDN评论区评论的消息,如果CSDN没有做XSS防御的话,将来某个用户翻到这个评论的话,这时候
<script>
标签就会被当做JS脚本来执行了,用户浏览器就会弹出HelloWorld这样的文字。
这只是比较简单的脚本语句,如果黑客植入的JS脚本先读取浏览器的Cookie信息,然后把Cookie通过Ajax发送给黑客的服务器,那么远端的黑客就能用你的Cookie来模拟登陆,这后果是非常严重的。
二、如何抵御XSS攻击
防御XSS攻击的办法很简单,那就是对所有用户的数据先做转义处理,然后再保存到数据库里面。转义之后的信息,将来被加载到网页上面就丧失了作为脚本执行的能力。
比如说上面文本框里面的脚本,经过转义之后就变成了
<script>alert("HelloWorld")</script>
这个样子。就拿
<script>
来说吧,它会被渲染成
<script>
字符串,而不是当做脚本标签来执行。
如果我们能修改请求类的内容,那么我们只需要修改获取请求数据的函数,使得返回的数据并不是客户端Form表单或者Ajax提交的数据,而是经过转义之后数据。
但是在Web项目中,我们无法修改
HttpServletRequest
实现类的内容,因为请求的实现类是由各个Web容器厂商自己扩展的。但是有时候我们还想修改请求类中的内容,这该怎么办呢?
不用担心,Java语言给我们留出了缺口,我们只要继承Java Web内置的
HttpServletRequestWrapper
父类,就能修改请求类的内容。
接下来,我们正式开始在Spring Boot项目中实现抵御XSS攻击!
三、实现抵御XSS攻击
首先我们要创建一个执行转义的封装类
XssHttpServletRequestWrapper
,这个类继承
HttpServletRequestWrapper
父类。在这个类中我们需要把获取请求头和请求体数据的方法都要重写,返回的是经过XSS转义后的数据。
这里我们使用
HtmlUtil.cleanHtmlTag()
清除所有HTML标签,但是保留标签内的内容,达到转义的效果。
importcn.hutool.core.util.StrUtil;importcn.hutool.http.HtmlUtil;importcn.hutool.json.JSONUtil;importjavax.servlet.ReadListener;importjavax.servlet.ServletInputStream;importjavax.servlet.http.HttpServletRequest;importjavax.servlet.http.HttpServletRequestWrapper;importjava.io.*;importjava.nio.charset.Charset;importjava.util.LinkedHashMap;importjava.util.Map;publicclassXssHttpServletRequestWrapperextendsHttpServletRequestWrapper{publicXssHttpServletRequestWrapper(HttpServletRequest request){super(request);}@OverridepublicStringgetParameter(String name){String value =super.getParameter(name);if(!StrUtil.hasEmpty(value)){
value =HtmlUtil.cleanHtmlTag(value);}return value;}@OverridepublicString[]getParameterValues(String name){String[] values =super.getParameterValues(name);if(values !=null){for(int i =0; i < values.length; i++){String value = values[i];if(!StrUtil.hasEmpty(value)){
value =HtmlUtil.cleanHtmlTag(value);}
values[i]= value;}}return values;}@OverridepublicMap<String,String[]>getParameterMap(){Map<String,String[]> parameters =super.getParameterMap();LinkedHashMap<String,String[]> map =newLinkedHashMap();if(parameters !=null){for(String key : parameters.keySet()){String[] values = parameters.get(key);for(int i =0; i < values.length; i++){String value = values[i];if(!StrUtil.hasEmpty(value)){
value =HtmlUtil.cleanHtmlTag(value);}
values[i]= value;}
map.put(key, values);}}return map;}@OverridepublicStringgetHeader(String name){String value =super.getHeader(name);if(!StrUtil.hasEmpty(value)){
value =HtmlUtil.cleanHtmlTag(value);}return value;}@OverridepublicServletInputStreamgetInputStream()throwsIOException{InputStream in =super.getInputStream();InputStreamReader reader =newInputStreamReader(in,Charset.forName("UTF-8"));BufferedReader buffer =newBufferedReader(reader);StringBuffer body =newStringBuffer();String line = buffer.readLine();while(line !=null){
body.append(line);
line = buffer.readLine();}
buffer.close();
reader.close();
in.close();Map<String,Object> map =JSONUtil.parseObj(body.toString());Map<String,Object> result =newLinkedHashMap<>();for(String key : map.keySet()){Object val = map.get(key);if(val instanceofString){if(!StrUtil.hasEmpty(val.toString())){
result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));}}else{
result.put(key, val);}}String json =JSONUtil.toJsonStr(result);ByteArrayInputStream bain =newByteArrayInputStream(json.getBytes());returnnewServletInputStream(){@Overridepublicintread()throwsIOException{return bain.read();}@OverridepublicbooleanisFinished(){returnfalse;}@OverridepublicbooleanisReady(){returnfalse;}@OverridepublicvoidsetReadListener(ReadListener readListener){}};}}
接下来我们要创建一个Filter类
XssFilter
,拦截所有的HTTP请求,然后调用上面创建的
XssHttpServletRequestWrapper
类,这样就能按照我们设定的方式获取请求中的数据了。
importjavax.servlet.*;importjavax.servlet.annotation.WebFilter;importjavax.servlet.http.HttpServletRequest;importjava.io.IOException;@WebFilter(urlPatterns ="/*")publicclassXssFilterimplementsFilter{@Overridepublicvoidinit(FilterConfig filterConfig)throwsServletException{}@OverridepublicvoiddoFilter(ServletRequest servletRequest,ServletResponse servletResponse,FilterChain filterChain)throwsIOException,ServletException{HttpServletRequest request =(HttpServletRequest) servletRequest;XssHttpServletRequestWrapper wrapper =newXssHttpServletRequestWrapper(request);
filterChain.doFilter(wrapper, servletResponse);}@Overridepublicvoiddestroy(){}}
在以上代码中我们使用了Hutool工具库中的一些方法,如果你对它感兴趣,可以去网站https://xiaojianzheng.cn/docs/hutool进行学习!
结语
更多项目实战知识可以关注本专栏,持续更新中…
🏳️🌈点击即可关注本专栏,学习更多知识!
版权归原作者 abcccccccccccccccode 所有, 如有侵权,请联系我们删除。