从零搭建自己的SpringBoot后台框架(十三)

释放双眼,带上耳机,听听看~!

一:什么是XSS

XSS攻击全称跨站脚本攻击,是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

你可以自己做个简单尝试:

  1. 在任何一个表单内,你输入一段简单的js代码:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库;
  2. 在页面上一个div元素内直接展示第一步内存入的值,你会发现弹出框出现了;

以上两个示例仅仅算是恶作剧,恶意用户能做的更多,如获取用户信息,进行“网络钓鱼”攻击等。

应对XSS攻击的其中一个方式就是后端对输入内容进行过滤,输入内容里面的敏感信息直接过滤,如<script>标签等。

二:添加Jsoup依赖

Jsoup使用标签白名单的机制用来进行防止XSS攻击, 假设白名单中只允许p标签存在, 此时在一段HTML代码中, 只能存在p标签 , 其他标签将会被清除只保留被标签所包裹的内容,当然,Jsoup不仅仅可以用来过滤,还可以用来爬虫,这里先不做说明,后期会单写一篇文章进行讲解。


1
2
3
4
5
6
1&lt;dependency&gt;
2   &lt;groupId&gt;org.jsoup&lt;/groupId&gt;
3   &lt;artifactId&gt;jsoup&lt;/artifactId&gt;
4   &lt;version&gt;1.10.2&lt;/version&gt;
5&lt;/dependency&gt;
6

三:创建过滤器

在core下创建filter文件夹

1、创建过滤规则


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
1package com.example.demo.core.filter;
2
3import org.jsoup.Jsoup;
4import org.jsoup.nodes.Document;
5import org.jsoup.safety.Whitelist;
6
7/**phubing张瑶
8 * @Description: xss非法标签过滤
9 * @date 2019/5/16 20:03
10 */
11public class XssFilterUtil {
12
13    /**
14     * 使用自带的basicWithImages 白名单
15     * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
16     * strike,strong,sub,sup,u,ul,img
17     * 以及a标签的href,img标签的src,align,alt,height,width,title属性
18     */
19    private static final Whitelist whitelist = Whitelist.basicWithImages();
20
21    /** 配置过滤化参数,不对代码进行格式化 */
22    private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
23    static {
24        // 富文本编辑时一些样式是使用style来进行实现的
25        // 比如红色字体 style=&quot;color:red;&quot;
26        // 所以需要给所有标签添加style属性
27        whitelist.addAttributes(&quot;:all&quot;, &quot;style&quot;);
28    }
29
30    public static String clean(String content) {
31        return Jsoup.clean(content, &quot;&quot;, whitelist, outputSettings);
32    }
33}
34
35

2、重写请求参数处理函数,这是实现XSS过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对http请求内的参数进行了过滤。


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
1package com.example.demo.core.filter;
2
3import org.apache.commons.lang3.StringUtils;
4
5import javax.servlet.http.HttpServletRequest;
6import javax.servlet.http.HttpServletRequestWrapper;
7
8/**
9 * 重写请求参数处理函数
10 */
11public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
12    HttpServletRequest orgRequest = null;
13
14    private boolean isIncludeRichText = false;
15
16    public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
17        super(request);
18        orgRequest = request;
19        this.isIncludeRichText = isIncludeRichText;
20    }
21
22    /**
23     * 覆盖getParameter方法,将参数名和参数值都做xss过滤.
24     * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
25     * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
26     */
27    @Override
28    public String getParameter(String name) {
29        if ((&quot;content&quot;.equals(name) || name.endsWith(&quot;WithHtml&quot;)) &amp;&amp; !isIncludeRichText) {
30            return super.getParameter(name);
31        }
32        name = XssFilterUtil.clean(name);
33        String value = super.getParameter(name);
34        if (StringUtils.isNotBlank(value)) {
35            value = XssFilterUtil.clean(value);
36        }
37        return value;
38    }
39
40    @Override
41    public String[] getParameterValues(String name) {
42        String[] arr = super.getParameterValues(name);
43        if (arr != null) {
44            for (int i = 0; i &lt; arr.length; i++) {
45                arr[i] = XssFilterUtil.clean(arr[i]);
46            }
47        }
48        return arr;
49    }
50
51
52    /**
53     * 覆盖getHeader方法,将参数名和参数值都做xss过滤。&lt;br/&gt;
54     * 如果需要获得原始的值,则通过super.getHeaders(name)来获取&lt;br/&gt;
55     * getHeaderNames 也可能需要覆盖
56     */
57    @Override
58    public String getHeader(String name) {
59        name = XssFilterUtil.clean(name);
60        String value = super.getHeader(name);
61        if (StringUtils.isNotBlank(value)) {
62            value = XssFilterUtil.clean(value);
63        }
64        return value;
65    }
66
67    /**
68     * 获取最原始的request
69     *
70     * @return
71     */
72    public HttpServletRequest getOrgRequest() {
73        return orgRequest;
74    }
75
76    /**
77     * 获取最原始的request的静态方法
78     *
79     * @return
80     */
81    public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
82        if (req instanceof XssHttpServletRequestWrapper) {
83            return ((XssHttpServletRequestWrapper) req).getOrgRequest();
84        }
85        return req;
86    }
87
88}
89

3、添加过滤XSS请求的入口,在这里通过XssHttpServletRequestWrapper将HttpServletRequest进行了封装,filterChain.doFilter(xssRequest, response);保证了后续代码执行request.getParameter,request.getParameterValues,request.getHeader时调用的都是XssHttpServletRequestWrapper内重写的方法,获取到的参数是已经进行过标签过滤的内容,从而消除了敏感信息。


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
1package com.example.demo.core.filter;
2
3
4import org.apache.commons.lang3.BooleanUtils;
5import org.apache.commons.lang3.StringUtils;
6
7import javax.servlet.*;
8import javax.servlet.http.HttpServletRequest;
9import javax.servlet.http.HttpServletResponse;
10import java.io.IOException;
11import java.util.ArrayList;
12import java.util.List;
13import java.util.regex.Matcher;
14import java.util.regex.Pattern;
15
16/**
17 * @author phubing
18 * @Description: 拦截防止xss注入 通过Jsoup过滤请求参数内的特定字符
19 * @date 2019/5/16 20:04
20 */
21public class XssFilter implements Filter {
22
23    //是否过滤富文本内容
24    private static boolean IS_INCLUDE_RICH_TEXT = true;
25
26    public List&lt;String&gt; excludes = new ArrayList&lt;&gt;();
27
28    @Override
29    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
30        HttpServletRequest req = (HttpServletRequest) request;
31        HttpServletResponse resp = (HttpServletResponse) response;
32        if (handleExcludeURL(req, resp)) {
33            filterChain.doFilter(request, response);
34            return;
35        }
36        XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request, IS_INCLUDE_RICH_TEXT);
37        filterChain.doFilter(xssRequest, response);
38    }
39
40    private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
41        if (excludes == null || excludes.isEmpty()) {
42            return false;
43        }
44        String url = request.getServletPath();
45        for (String pattern : excludes) {
46            Pattern p = Pattern.compile(&quot;^&quot; + pattern);
47            Matcher m = p.matcher(url);
48            if (m.find()) {
49                return true;
50            }
51        }
52        return false;
53    }
54
55    @Override
56    public void init(FilterConfig filterConfig) throws ServletException {
57        String isIncludeRichText = filterConfig.getInitParameter(&quot;isIncludeRichText&quot;);
58        if (StringUtils.isNotBlank(isIncludeRichText)) {
59            IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
60        }
61        String temp = filterConfig.getInitParameter(&quot;excludes&quot;);
62        if (temp != null) {
63            String[] url = temp.split(&quot;,&quot;);
64            for (int i = 0; url != null &amp;&amp; i &lt; url.length; i++) {
65                excludes.add(url[i]);
66            }
67        }
68    }
69
70    @Override
71    public void destroy() {
72    }
73
74}
75
76

四:注册过滤器

创建core→configurer→XssFilterConfigurer


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
1package com.example.demo.core.configurer;
2
3import com.example.demo.core.filter.XssFilter;
4import org.springframework.boot.web.servlet.FilterRegistrationBean;
5import org.springframework.context.annotation.Bean;
6import org.springframework.context.annotation.Configuration;
7
8import java.util.HashMap;
9import java.util.Map;
10
11/**
12 * @author phubing
13 * @Description:xss过滤拦截器配置文件
14 * @time 2019/5/16 20:47
15 */
16@Configuration
17public class XssFilterConfigurer {
18
19    /**
20     * xss过滤拦截器
21     */
22    @Bean
23    public FilterRegistrationBean xssFilterRegistrationBean() {
24        FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
25        filterRegistrationBean.setFilter(new XssFilter());
26        filterRegistrationBean.setOrder(Integer.MAX_VALUE-1);
27        filterRegistrationBean.setEnabled(true);
28        filterRegistrationBean.addUrlPatterns(&quot;/*&quot;);
29        Map&lt;String, String&gt; initParameters = new HashMap();
30        //excludes用于配置不需要参数过滤的请求url
31        initParameters.put(&quot;excludes&quot;, &quot;/favicon.ico,/img/*,/js/*,/css/*&quot;);
32        //isIncludeRichText主要用于设置富文本内容是否需要过滤
33        initParameters.put(&quot;isIncludeRichText&quot;, &quot;true&quot;);
34        filterRegistrationBean.setInitParameters(initParameters);
35        return filterRegistrationBean;
36    }
37}
38

五:测试

路径localhost:8080/userInfo/selectById

请求参数id=1<a href="http://www.baidu.com/a" onclick="alert("模拟XSS攻击");">sss</a><script>alert(0);</script>sss

结果:

我们可以看到<script></script>已经被过滤掉

给TA打赏
共{{data.count}}人
人已打赏
安全技术

c++ list, vector, map, set 区别与用法比较

2022-1-11 12:36:11

安全运维

ETC里的钱竟被POS机隔空刷光?银联回应:盗刷犯罪,可以补偿

2016-12-19 21:41:08

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索