SpringBoot过滤XSS脚本攻击
XSS攻击是什么
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它容许恶意web用户将代码植入到提供给其它用户使用的页面中。
简而言之,就是做恶用户经过表单提交一些前端代码,若是不作处理的话,这些前端代码将会在展现的时候被浏览器执行。javascript
如何避免XSS攻击
这里我根据我的经验作一个总结,可能经验也有不足之处。我我的解决XSS攻击是经过后端转译的办法来解决的。在实际项目中,react、vue等先后端彻底分离的框架彷佛已经帮咱们处理了XSS脚本,这个本人对于前端略懂皮毛而已,这里就不作探讨了。下面主要实现之后端作XSS过滤。css
代码实现
对于过滤XSS脚本的代码,经过搜索引擎能够搜索到不少,但彷佛都不是那么全面。基本上都是只能过滤querystring类型的入参,而不能过滤json类型的入参。其实,在如今的开发中,更多的是使用json类型作数据交互。下面就直接贴代码了:前端
XssAndSqlHttpServletRequestWrapper.java
XssUtilpackage com.loger.filter; import org.apache.commons.lang3.StringUtils; import org.apache.commons.text.StringEscapeUtils; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; /** * @author wbs * 防止XSS攻击 */ public class XssAndSqlHttpServletRequestWrapper extends HttpServletRequestWrapper { private HttpServletRequest request; public XssAndSqlHttpServletRequestWrapper(HttpServletRequest request) { super(request); this.request = request; } @Override public String getParameter(String name) { String value = request.getParameter(name); if (!StringUtils.isEmpty(value)) { value = StringEscapeUtils.escapeHtml4(value); } return value; } @Override public String[] getParameterValues(String name) { String[] parameterValues = super.getParameterValues(name); if (parameterValues == null) { return null; } for (int i = 0; i < parameterValues.length; i++) { String value = parameterValues[i];
//这个过滤xss攻击的工具类,如今是借助第三方插件使用的。 也能够本身写一个工具类 好比下面的
parameterValues[i] = XssUtil.xssEncode(parameterValues[i]); parameterValues[i] = StringEscapeUtils.escapeHtml4(value);
//自定义工具类
//
} return parameterValues; } } 简单讲解下,这里重写了两个方法:getParameter和getParameterValues,getParameter方法是直接经过request得到querystring类型的入参调用的方法。若是是经过springMVC注解类型来得到参数的话,走的是getParameterValues的方法。
StringEscapeUtils.escapeHtml4这个方法来自Apache的工具类,maven坐标以下:vue
<dependency> <groupId>org.apache.commons</groupId> <artifactId>commons-text</artifactId> <version>1.4</version> </dependency>
//若是使用的是上面黄色的自定义工具类,来过滤xss 关键字,就须要导入下面XssUtils工具类,若是不使用的话下面这个工具类,就直接跳过不须要管。 可是有些人说为啥有第三方工具类,还要使用自定义工具类呢,
应为使用第三方插件时,进行代码扫描时(咱们公司项目上线须要进行代码扫描)会有问题(这个问题不影响代码使用),因此我用的是自定义类。总之这两种 工具类均可以用,不影响功能的实现。
/**
* @Author wbs
* @Description Web防火墙工具类
*/
public class XssUtil {
public static final String REPLACE_STRING = "*";
private XssUtil() {
}
/**
* xss校验
* @param s
* @return
*/
public static String xssEncode(String s) {
if (StringUtils.isEmpty(s)) {
return s;
} else {
s = stripXSSAndSql(s);
}
StringBuilder sb = new StringBuilder(s.length() + 16);
for (int i = 0; i < s.length(); i++) {
char c = s.charAt(i);
switch (c) {
case '>':
sb.append(">");// 转义大于号
break;
case '<':
sb.append("<");// 转义小于号
break;
case '\'':
sb.append("'");// 转义单引号
break;
case '\"':
sb.append(""");// 转义双引号
break;
case '&':
sb.append("&");// 转义&
break;
case '#':
sb.append("#");// 转义#
break;
default:
sb.append(c);
break;
}
}
return sb.toString();
}
/**
* xss校验
* @param value
* @return
*/
public static String stripXSSAndSql(String value) {
if (StringUtils.isNotEmpty(value)) {
// Avoid null characters
value = value.replaceAll(" ", REPLACE_STRING);
// Avoid anything between script tags
Pattern scriptPattern = Pattern.compile("<[\r\n| | ]*script[\r\n| | ]*>(.*?)</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid anything in a src="http://www.yihaomen.com/article/java/..." type of e-xpression
scriptPattern = Pattern.compile("src[\r\n| | ]*=[\r\n| | ]*[\\\"|\\\'](.*?)[\\\"|\\\']", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Remove any lonesome </script> tag
scriptPattern = Pattern.compile("</[\r\n| | ]*script[\r\n| | ]*>", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Remove any lonesome <script ...> tag
scriptPattern = Pattern.compile("<[\r\n| | ]*script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid eval(...) expressions
scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid e-xpression(...) expressions
scriptPattern = Pattern.compile("e-xpression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid javascript:... expressions
scriptPattern = Pattern.compile("javascript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid vbscript:... expressions
scriptPattern = Pattern.compile("vbscript[\r\n| | ]*:[\r\n| | ]*", Pattern.CASE_INSENSITIVE);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid onload= expressions
scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll(REPLACE_STRING);
// Avoid /r /n:... expressions
scriptPattern = Pattern.compile("\"\\\\s*|\\t|\\r|\\n\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
value = scriptPattern.matcher(value).replaceAll("");
}
return value;
}
}
过滤的代码写完了,下面就是在一个filter中应用该代码。java
XssFilter.java
package com.loger.filter; import com.fasterxml.jackson.databind.ObjectMapper; import com.fasterxml.jackson.databind.module.SimpleModule; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Primary; import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder; import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.annotation.WebFilter; import javax.servlet.http.HttpServletRequest; import java.io.IOException; /** * @author wbs */
@WebFilter(filterName = "xssFilter", urlPatterns = "/*", asyncSupported = true)
@Component public class XssFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; XssAndSqlHttpServletRequestWrapper xssRequestWrapper = new XssAndSqlHttpServletRequestWrapper(req); chain.doFilter(xssRequestWrapper, response); } @Override public void destroy() { } /** * 过滤json类型的 * @param builder * @return */ @Bean @Primary public ObjectMapper xssObjectMapper(Jackson2ObjectMapperBuilder builder) { //解析器 ObjectMapper objectMapper = builder.createXmlMapper(false).build(); //注册xss解析器 SimpleModule xssModule = new SimpleModule("XssStringJsonSerializer"); xssModule.addSerializer(new XssStringJsonSerializer()); objectMapper.registerModule(xssModule); //返回 return objectMapper; } }
就这样,过滤querystring类型的代码已经完成(xssObjectMapper这个是后面过滤json类型才用到的)。下面来实现过滤json类型的代码:react
XssStringJsonSerializer.java
package com.loger.filter; import com.fasterxml.jackson.core.JsonGenerator; import com.fasterxml.jackson.databind.JsonSerializer; import com.fasterxml.jackson.databind.SerializerProvider; import org.apache.commons.text.StringEscapeUtils; import java.io.IOException; public class XssStringJsonSerializer extends JsonSerializer<String> { @Override public Class<String> handledType() { return String.class; } @Override public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException { if (value != null) { String encodedValue = StringEscapeUtils.escapeHtml4(value); jsonGenerator.writeString(encodedValue); } } }
这里经过修改SpringMVC的json序列化来达到过滤xss的目的的。其实也能够经过第一种方法,重写getInputStream方法来实现,但因为获得的是ServletInputStream,不太好处理。(经过json类型传参会走getInputStream方法,经过重写该方法打印输出能够证实)
下面能够经过几个例子验证下是否成功:
简单写一个controllerweb
TestController.java
package com.loger.controller; import org.springframework.web.bind.annotation.*; import org.springframework.web.multipart.MultipartFile; /** * @author wbs * Description : */ @RestController @RequestMapping(value = "/test") public class TestController { @PostMapping(value = "/xss") public Object test(String name) { System.out.println(name); return name; } @PostMapping(value = "/json") public Object testJSON(@RequestBody Param param) { return param; } @GetMapping(value = "/query") public Object testQuery(String q){ return q; } @PostMapping(value = "/upload") public Object upload(MultipartFile file){ System.out.println(file.getOriginalFilename()); return "OK"; } }
下面经过postman测试下效果:spring
图片.png
图片.png
相关文章
- 1. 【快学SpringBoot】过滤XSS脚本攻击(包括json格式)
- 2. xss脚本攻击
- 3. XSS脚本攻击
- 4. XSS攻击(跨站脚本攻击)
- 5. XSS跨站脚本攻击
- 6. 跨站脚本攻击XSS
- 7. XSS 跨站脚本攻击
- 8. XSS-跨站脚本攻击
- 9. xss跨站脚本攻击
- 10. 跨站脚本攻击—XSS
- 更多相关文章...
- • Swift 下标脚本 - Swift 教程
- • ADO 通过 GetString() 加速脚本 - ADO 教程
- • Kotlin学习(二)基本类型
- • Kotlin学习(一)基本语法
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 【快学SpringBoot】过滤XSS脚本攻击(包括json格式)
- 2. xss脚本攻击
- 3. XSS脚本攻击
- 4. XSS攻击(跨站脚本攻击)
- 5. XSS跨站脚本攻击
- 6. 跨站脚本攻击XSS
- 7. XSS 跨站脚本攻击
- 8. XSS-跨站脚本攻击
- 9. xss跨站脚本攻击
- 10. 跨站脚本攻击—XSS