[置顶] spring boot实战之XSS过滤
2017-10-06 12:43
218 查看
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
你可以自己做个简单尝试:
1. 在任何一个表单内,你输入一段简单的js代码:
2. 在页面上一个div元素内直接展示第一步内存入的值,你会发现弹出框出现了;
以上XSS攻击只算一个小恶作剧,但如果这玩意被发到了网站的首页上,我估计老板一定会因为频繁的投诉而和你来场愉快的谈话…
以上两个示例仅仅算是恶作剧,恶意用户能做的更多,如获取用户信息,进行“网络钓鱼”攻击等。
应对XSS攻击的其中一个方式就是后端对输入内容进行过滤,输入内容里面的敏感信息直接过滤,如
添加maven依赖:
JsoupUtil提供基于Jsoup过滤非法标签的工具类:
excludes用于配置不需要参数过滤的请求url
isIncludeRichText默认为true,主要用于设置富文本(项目内约束以content为名或以WithHtml结尾)内容是否需要过滤,该选项可根据公司具体情况调整,建议约束富文本编辑框支持的标签并开启改约束,减少安全隐患
1. 标签过滤实现可使用Jsoup,功能强大,使用方便,更多内容可参考Jsoup 防止富文本 XSS 攻击;
2. 继承HttpServletRequestWrapper,重写从request内获取参数的方法,在其内调用JsoupUtil的方法,进行参数脱敏处理;
3. 通过XssFilter将XssHttpServletRequestWrapper设置入处理链中,从而达到后续处理类内通过Request获取参数时调用的是重写后的获取参数的方法,进而达成业务代码无感知的实现了XSS过滤的目的。
本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,已用于多个正式项目,当前可能因为版本问题不是很完善,后续持续优化,希望你能有所收获!
你可以自己做个简单尝试:
1. 在任何一个表单内,你输入一段简单的js代码:
<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>,将其存入数据库;
2. 在页面上一个div元素内直接展示第一步内存入的值,你会发现弹出框出现了;
以上XSS攻击只算一个小恶作剧,但如果这玩意被发到了网站的首页上,我估计老板一定会因为频繁的投诉而和你来场愉快的谈话…
以上两个示例仅仅算是恶作剧,恶意用户能做的更多,如获取用户信息,进行“网络钓鱼”攻击等。
应对XSS攻击的其中一个方式就是后端对输入内容进行过滤,输入内容里面的敏感信息直接过滤,如
<script>标签等,以下来说明如何在spring boot项目内方便快捷的实现XSS过滤。
1、Jsoup组件
Jsoup使用标签白名单的机制用来进行防止XSS攻击, 假设白名单中只允许p标签存在, 此时在一段HTML代码中, 只能存在p标签 , 其他标签将会被清除只保留被标签所包裹的内容,因此使用Jsoup组件来进行内容过滤。添加maven依赖:
<!-- xss过滤组件 --> <dependency> <groupId>org.jsoup</groupId> <artifactId>jsoup</artifactId> <version>1.9.2</version> </dependency>
JsoupUtil提供基于Jsoup过滤非法标签的工具类:
/** * xss非法标签过滤 * {@link http://www.jianshu.com/p/32abc12a175a?nomobile=yes} */ public class JsoupUtil { /** * 使用自带的basicWithImages 白名单 * 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span, * strike,strong,sub,sup,u,ul,img * 以及a标签的href,img标签的src,align,alt,height,width,title属性 */ private static final Whitelist whitelist = Whitelist.basicWithImages(); /** 配置过滤化参数,不对代码进行格式化 */ private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false); static { // 富文本编辑时一些样式是使用style来进行实现的 // 比如红色字体 style="color:red;" // 所以需要给所有标签添加style属性 whitelist.addAttributes(":all", "style"); } public static String clean(String content) { return Jsoup.clean(content, "", whitelist, outputSettings); } public static void main(String[] args) throws FileNotFoundException, IOException { Strin 4000 g text = "<a href=\"http://www.baidu.com/a\" onclick=\"alert(1);\">sss</a><script>alert(0);</script>sss"; System.out.println(clean(text)); } }
2、创建XssHttpServletRequestWrapper
这是实现XSS过滤的关键,在其内重写了getParameter,getParameterValues,getHeader等方法,对http请求内的参数进行了过滤。public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper { HttpServletRequest orgRequest = null; private boolean isIncludeRichText = false; public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) { super(request); orgRequest = request; this.isIncludeRichText = isIncludeRichText; } /** * 覆盖getParameter方法,将参数名和参数值都做xss过滤。<br/> * 如果需要获得原始的值,则通过super.getParameterValues(name)来获取<br/> * getParameterNames,getParameterValues和getParameterMap也可能需要覆盖 */ @Override public String getParameter(String name) { if(("content".equals(name) || name.endsWith("WithHtml")) && !isIncludeRichText){ return super.getParameter(name); } name = JsoupUtil.clean(name); String value = super.getParameter(name); if (StringUtils.isNotBlank(value)) { value = JsoupUtil.clean(value); } return value; } @Override public String[] getParameterValues(String name) { String[] arr = super.getParameterValues(name); if(arr != null){ for (int i=0;i<arr.length;i++) { arr[i] = JsoupUtil.clean(arr[i]); } } return arr; } /** * 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/> * 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/> * getHeaderNames 也可能需要覆盖 */ @Override public String getHeader(String name) { name = JsoupUtil.clean(name); String value = super.getHeader(name); if (StringUtils.isNotBlank(value)) { value = JsoupUtil.clean(value); } return value; } /** * 获取最原始的request * * @return */ public HttpServletRequest getOrgRequest() { return orgRequest; } /** * 获取最原始的request的静态方法 * * @return */ public static HttpServletRequest getOrgRequest(HttpServletRequest req) { if (req instanceof XssHttpServletRequestWrapper) { return ((XssHttpServletRequestWrapper) req).getOrgRequest(); } return req; } }
3、创建XssFilter
XssFilter是过滤XSS请求的入口,在这里通过XssHttpServletRequestWrapper将HttpServletRequest进行了封装,filterChain.doFilter(xssRequest, response);保证了后续代码执行request.getParameter,request.getParameterValues,request.getHeader时调用的都是XssHttpServletRequestWrapper内重写的方法,获取到的参数是已经进行过标签过滤的内容,从而消除了敏感信息。
/** * 拦截防止xss注入 * 通过Jsoup过滤请求参数内的特定字符 * @author yangwk */ public class XssFilter implements Filter { private static Logger logger = LoggerFactory.getLogger(XssFilter.class); private static boolean IS_INCLUDE_RICH_TEXT = false;//是否过滤富文本内容 public List<String> excludes = new ArrayList<String>(); public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException,ServletException { if(logger.isDebugEnabled()){ logger.debug("xss filter is open"); } HttpServletRequest req = (HttpServletRequest) request; HttpServletResponse resp = (HttpServletResponse) response; if(handleExcludeURL(req, resp)){ filterChain.doFilter(request, response); return; } XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request,IS_INCLUDE_RICH_TEXT); filterChain.doFilter(xssRequest, response); } private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) { if (excludes == null || excludes.isEmpty()) { return false; } String url = request.getServletPath(); for (String pattern : excludes) { Pattern p = Pattern.compile("^" + pattern); Matcher m = p.matcher(url); if (m.find()) { return true; } } return false; } @Override public void init(FilterConfig filterConfig) throws ServletException { if(logger.isDebugEnabled()){ logger.debug("xss filter init~~~~~~~~~~~~"); } String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText"); if(StringUtils.isNotBlank(isIncludeRichText)){ IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText); } String temp = filterConfig.getInitParameter("excludes"); if (temp != null) { String[] url = temp.split(","); for (int i = 0; url != null && i < url.length; i++) { excludes.add(url[i]); } } } @Override public void destroy() {} }
4、注册XssFilter
通过java config的方式注册XSSFilter,使其生效。/** * xss过滤拦截器 */ @Bean public FilterRegistrationBean xssFilterRegistrationBean() { FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(); filterRegistrationBean.setFilter(new XssFilter()); filterRegistrationBean.setOrder(1); filterRegistrationBean.setEnabled(true); filterRegistrationBean.addUrlPatterns("/*"); Map<String, String> initParameters = Maps.newHashMap(); initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*"); initParameters.put("isIncludeRichText", "true"); filterRegistrationBean.setInitParameters(initParameters); return filterRegistrationBean; }
excludes用于配置不需要参数过滤的请求url
isIncludeRichText默认为true,主要用于设置富文本(项目内约束以content为名或以WithHtml结尾)内容是否需要过滤,该选项可根据公司具体情况调整,建议约束富文本编辑框支持的标签并开启改约束,减少安全隐患
小结
防御XSS攻击,可以通过后端统一进行标签过滤,去掉所有输入内容中包含的类似于<script>这样的非法标签来实现。
1. 标签过滤实现可使用Jsoup,功能强大,使用方便,更多内容可参考Jsoup 防止富文本 XSS 攻击;
2. 继承HttpServletRequestWrapper,重写从request内获取参数的方法,在其内调用JsoupUtil的方法,进行参数脱敏处理;
3. 通过XssFilter将XssHttpServletRequestWrapper设置入处理链中,从而达到后续处理类内通过Request获取参数时调用的是重写后的获取参数的方法,进而达成业务代码无感知的实现了XSS过滤的目的。
本人搭建好的spring boot web后端开发框架已上传至GitHub,包含本文内的全部代码示例。
https://github.com/q7322068/rest-base,已用于多个正式项目,当前可能因为版本问题不是很完善,后续持续优化,希望你能有所收获!
相关文章推荐
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之XSS过滤
- [置顶] spring boot实战之本地jar包引用
- [置顶] spring boot实战之本地jar包引用
- [置顶] spring boot实战之CSRF(跨站请求伪造)