<em>Mac</em>Book项目 2009年学校开始实施<em>Mac</em>Book项目,所有师生配备一本<em>Mac</em>Book,并同步更新了校园无线网络。学校每周进行电脑技术更新,每月发送技术支持资料,极大改变了教学及学习方式。因此2011
2021-06-01 09:32:01
Spring Boot專案抵禦XSS攻擊實戰過程
2022-11-27 14:01:22
前言
作為Web網站來說,抵禦XSS攻擊是必須要做的事情,這是非常常見的駭客攻擊手段之一。
一、什麼是XSS攻擊
XSS意思是跨站指令碼攻擊,英文全稱Cross Site Scripting,為了不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故將跨站指令碼攻擊縮寫為XSS。
XSS攻擊的手段很簡單,就是通過各種手段向我們的Web網站植入JS程式碼。比如說普通網站的使用者註冊、論壇網站的發帖和回帖,以及電商網站的商品評價等等,駭客在文字方塊中填寫的文字資訊裡面包含一段JS程式碼,那麼前端頁面在顯示這個資訊的時候,就會執行這些JS程式碼了。
如下我是我在CSDN評論區評論的訊息,如果CSDN沒有做XSS防禦的話,將來某個使用者翻到這個評論的話,這時候<script>標籤就會被當做JS指令碼來執行了,使用者瀏覽器就會彈出HelloWorld這樣的文字。
這只是比較簡單的指令碼語句,如果駭客植入的JS指令碼先讀取瀏覽器的Cookie資訊,然後把Cookie通過Ajax傳送給駭客的伺服器,那麼遠端的駭客就能用你的Cookie來模擬登陸,這後果是非常嚴重的。
二、如何抵禦XSS攻擊
防禦XSS攻擊的辦法很簡單,那就是對所有使用者的資料先做跳脫處理,然後再儲存到資料庫裡面。跳脫之後的資訊,將來被載入到網頁上面就喪失了作為指令碼執行的能力。
比如說上面文字方塊裡面的指令碼,經過跳脫之後就變成了<script>alert("HelloWorld")</script>這個樣子。就拿<script>來說吧,它會被渲染成<script>字串,而不是當做指令碼標籤來執行。
如果我們能修改請求類的內容,那麼我們只需要修改獲取請求資料的函數,使得返回的資料並不是使用者端Form表單或者Ajax提交的資料,而是經過跳脫之後資料。
但是在Web專案中,我們無法修改HttpServletRequest實現類的內容,因為請求的實現類是由各個Web容器廠商自己擴充套件的。但是有時候我們還想修改請求類中的內容,這該怎麼辦呢?
不用擔心,Java語言給我們留出了缺口,我們只要繼承Java Web內建的HttpServletRequestWrapper父類別,就能修改請求類的內容。
接下來,我們正式開始在Spring Boot專案中實現抵禦XSS攻擊!
三、實現抵禦XSS攻擊
首先我們要建立一個執行跳脫的封裝類XssHttpServletRequestWrapper,這個類繼承HttpServletRequestWrapper父類別。在這個類中我們需要把獲取請求頭和請求體資料的方法都要重寫,返回的是經過XSS跳脫後的資料。
這裡我們使用HtmlUtil.cleanHtmlTag()清除所有HTML標籤,但是保留標籤內的內容,達到跳脫的效果。
import cn.hutool.core.util.StrUtil;
import cn.hutool.http.HtmlUtil;
import cn.hutool.json.JSONUtil;
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.LinkedHashMap;
import java.util.Map;
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
@Override
public String getParameter(String name) {
String value = super.getParameter(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] values = super.getParameterValues(name);
if (values != null) {
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
values[i] = value;
}
}
return values;
}
@Override
public Map<String, String[]> getParameterMap() {
Map<String, String[]> parameters = super.getParameterMap();
LinkedHashMap<String, String[]> map = new LinkedHashMap();
if (parameters != null) {
for (String key : parameters.keySet()) {
String[] values = parameters.get(key);
for (int i = 0; i < values.length; i++) {
String value = values[i];
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
values[i] = value;
}
map.put(key, values);
}
}
return map;
}
@Override
public String getHeader(String name) {
String value = super.getHeader(name);
if (!StrUtil.hasEmpty(value)) {
value = HtmlUtil.cleanHtmlTag(value);
}
return value;
}
@Override
public ServletInputStream getInputStream() throws IOException {
InputStream in = super.getInputStream();
InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));
BufferedReader buffer = new BufferedReader(reader);
StringBuffer body = new StringBuffer();
String line = buffer.readLine();
while (line != null) {
body.append(line);
line = buffer.readLine();
}
buffer.close();
reader.close();
in.close();
Map<String, Object> map = JSONUtil.parseObj(body.toString());
Map<String, Object> result = new LinkedHashMap<>();
for (String key : map.keySet()) {
Object val = map.get(key);
if (val instanceof String) {
if (!StrUtil.hasEmpty(val.toString())) {
result.put(key, HtmlUtil.cleanHtmlTag(val.toString()));
}
} else {
result.put(key, val);
}
}
String json = JSONUtil.toJsonStr(result);
ByteArrayInputStream bain = new ByteArrayInputStream(json.getBytes());
return new ServletInputStream() {
@Override
public int read() throws IOException {
return bain.read();
}
@Override
public boolean isFinished() {
return false;
}
@Override
public boolean isReady() {
return false;
}
@Override
public void setReadListener(ReadListener readListener) {
}
};
}
}接下來我們要建立一個Filter類XssFilter,攔截所有的HTTP請求,然後呼叫上面建立的XssHttpServletRequestWrapper類,這樣就能按照我們設定的方式獲取請求中的資料了。
import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
@WebFilter(urlPatterns = "/*")
public class XssFilter implements Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {
}
@Override
public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
XssHttpServletRequestWrapper wrapper = new XssHttpServletRequestWrapper(request);
filterChain.doFilter(wrapper, servletResponse);
}
@Override
public void destroy() {
}
}
在以上程式碼中我們使用了Hutool工具庫中的一些方法
總結
到此這篇關於Spring Boot專案抵禦XSS攻擊的文章就介紹到這了,更多相關SpringBoot抵禦XSS攻擊內容請搜尋it145.com以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援it145.com!
相關文章
-
黑科技的輕簡出行,告別「電量焦慮症」:Anker氮化鎵超能充系列
综合看Anker超能充系列的性价比很高,并且与不仅和iPhone12/苹果<em>Mac</em>Book很配,而且适合多设备充电需求的日常使用或差旅场景,不管是安卓还是Switch同样也能用得上它,希望这次分享能给准备购入充电器的小伙伴们有所
2021-06-01 09:31:42
-
吳亦凡廠牌首秀,L4WUDU居然忘詞了,Rapper和明星比還是有差距!
除了L4WUDU与吴亦凡已经多次共事,成为了明面上的厂牌成员,吴亦凡还曾带领20XXCLUB全队参加2020年的一场音乐节,这也是20XXCLUB首次全员合照,王嗣尧Turbo、陈彦希Regi、<em>Mac</em> Ova Seas、林渝植等人全部出场。然而让
2021-06-01 09:31:34
-
IPFS、Chia、Bzz和ICP挖礦該怎麼選?哪一個更有優勢?
目前应用IPFS的机构:1 谷歌<em>浏览器</em>支持IPFS分布式协议 2 万维网 (历史档案博物馆)数据库 3 火狐<em>浏览器</em>支持 IPFS分布式协议 4 EOS 等数字货币数据存储 5 美国国会图书馆,历史资料永久保存在 IPFS 6 加
2021-06-01 09:31:24
-
有哪些事是買了雪佛蘭後才知道的?美事偷著樂,開拓者車主隨聊
开拓者的车机是兼容苹果和<em>安卓</em>,虽然我不怎么用,但确实兼顾了我家人的很多需求:副驾的门板还配有解锁开关,有的时候老婆开车,下车的时候偶尔会忘记解锁,我在副驾驶可以自己开门:第二排设计很好,不仅配置了一个很大的
2021-06-01 09:30:48
-
iPhone12在618最新定價,跌價幅度超過1400元,還等iPhone13嗎?
不仅是<em>安卓</em>手机,苹果手机的降价力度也是前所未有了,iPhone12也“跳水价”了,发布价是6799元,如今已经跌至5308元,降价幅度超过1400元,最新定价确认了。iPhone12是苹果首款5G手机,同时也是全球首款5nm芯片的智能机,它
2021-06-01 09:30:45