1、XSS攻击的危害
作为Web网站来说,抵御XSS攻击是必须要做的事情。XSS攻击的手段很简单,就是通过各种手段向我们的Web网站植入JS代码。比如说普通网站的用户注册、论坛网站的发帖和回帖,以及电商网站的商品评价等等,黑客在文本框中填写的文字信息里面包含一段JS代码,那么前端页面在显示这个信息的时候,就会执行这些JS代码了。例如我在评论上面回复某个问题的时候,填写的内容如下:
如果网页后端没有对保存的信息做XSS转义处理的话,将来某个用户打开网页,恰好翻到我的回复。这时候<script>标签就会被当做JS脚本来执行了,于是用户的浏览器就会弹出HelloWorld这样的文字。其实弹出HelloWorld已经是危害很轻的XSS攻击了,如果黑客植入的JS脚本先读取浏览器的Cookie信息,然后把Cookie通过Ajax发送给黑客的服务器,那么远端的黑客就能用你的Cookie来模拟登陆,这多可怕啊。
防御XSS攻击的办法很简单,那就是对所有用户的数据先做转义处理,然后再保存到数据库里面。转义之后的信息,将来被加载到网页上面就丧失了作为脚本执行的能力。比如说上面文本框里面的脚本,经过转义之后就变成了<script>alert("HelloWorld")</script>这个样子。就拿<script>来说吧,它会被渲染成<script>字符串,而不是当做脚本标签来执行。
2、导入依赖库
因为Hutpol工具包带有XSS转义的工具类,所以我们要导入Hutool,然后利用Servlet规范提供的请求包装类,定义数据转义功能。
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-all</artifactId>
<version>5.6.3</version>
</dependency>
3、实现XSS内容转义
首先我们要创建一个执行转义的封装类,这个类继承HttpServletRequestWrapper父类。在Web项目中,我们无法修改HttpServletRequest实现类的内容,因为请求的实现类是由各个Web容器厂商自己扩展的。但是有时候我们还想修改请求类中的内容,这该怎么办呢?Java语言给我们留出了缺口,我们只要继承Java Web内置的HttpServletRequestWrapper父类,就能修改请求类的内容。如果我们能修改请求类的内容,我要修改获取请求数据的函数,返回的并不是客户端Form表单或者Ajax提交的数据,而是经过转义之后数据。
在com.example.emos.api.config.xss包中创建XssHttpServletRequestWrapper.java类。把获取请求头和请求体数据的方法都要重写,返回的是经过XSS转义后的数据。
package com.example.emos.api.config.xss;
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
//1. 获取请求的原始数据
String value = super.getParameter(name);
//2. 判空,调用hutool包下的工具类StrUtil的hasEmpty方法
if(!StrUtil.hasEmpty(value)) {
//3. 去掉HTML标签和Script标签
value = HtmlUtil.cleanHtmlTag(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] values= super.getParameterValues(name);
if(values!=null){
for (int i=0;i<values.length;i++){
String value=values[i];
if(!StrUtil.hasEmpty(value)){
value=HtmlUtil.cleanHtmlTag(value);
}
values[i]=value;
}
}
return values;
}
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> parameters = super.getParameterMap();
LinkedHashMap<String, String[]> map=new LinkedHashMap();
if(parameters!=null){
for (String key:parameters.keySet()){
String[] values=parameters.get(key);
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
values[i] = value;
}
map.put(key,values);
}
}
return map;
}
@Override
public String getHeader(String name) {
String value= super.getHeader(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
return value;
}
@Override
public ServletInputStream getInputStream() throws IOException {
InputStream in= super.getInputStream();
InputStreamReader reader=new InputStreamReader(in, Charset.forName("UTF-8"));
BufferedReader buffer=new BufferedReader(reader);
StringBuffer body=new StringBuffer();
String line=buffer.readLine();
while(line!=null){
body.append(line);
line=buffer.readLine();
}
buffer.close();
reader.close();
in.close();
Map<String,Object> map=JSONUtil.parseObj(body.toString());
Map<String,Object> result=new LinkedHashMap<>();
for(String key:map.keySet()){
Object val=map.get(key);
if(val instanceof String){
if(!StrUtil.hasEmpty(val.toString())){
result.put(key,HtmlUtil.cleanHtmlTag(val.toString()));
}
}
else {
result.put(key,val);
}
}
String json=JSONUtil.toJsonStr(result);
ByteArrayInputStream bain=new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() {
@Override
public int read() throws IOException {
return bain.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
};
}
}
接下来我们要创建一个Filter类,拦截所有的HTTP请求,然后调用上面创建的XssHttpServletRequestWrapper类,这样就能按照我们设定的方式获取请求中的数据了。
在com.example.emos.api.config.xss包中创建XssFilter.java类。
package com.example.emos.api.config.xss;
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request= (HttpServletRequest) servletRequest;
XssHttpServletRequestWrapper wrapper=new XssHttpServletRequestWrapper(request);
filterChain.doFilter(wrapper,servletResponse);
}
@Override
public void destroy() {
}
}
4、测试
发送请求:
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8RrAM3EH-1666072205580)(C:\Users\Lenovo\AppData\Roaming\Typora\typora-user-images\image-20221011165120793.png)]](https://blog-1305504063.cos.ap-beijing.myqcloud.com/fc750723-b2e1-11ee-a0b4-5cea1d84200c.png)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/199725.html
