Всем привет, в этой главе мы добавляем функцию предотвращения XSS-атак. Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь со мной по адресу mr_beany@163.com. Также попросите руководства великих богов, спасибо
Первый: что такое XSS
XSS-атака, полное название атаки с использованием межсайтовых сценариев, представляет собой уязвимость компьютерной безопасности в веб-приложениях, которая позволяет злоумышленникам внедрять код в страницы, предоставляемые другим пользователям.
Вы можете просто попробовать сами:
1. В любой форме вы вводите простой код js:<script>for(var i=0;i<1000;i++){alert("弹死你"+i);}</script>, сохранить в базе данных;
2. Отобразите значение, введенное на первом шаге, непосредственно в элементе div на странице, и вы обнаружите, что появилось всплывающее окно;
Вышеприведенные два примера являются только розыгрышами, злоумышленники могут делать больше, например, получать информацию о пользователях, проводить «фишинговые» атаки и т. д.
Одним из способов борьбы с XSS-атаками является фильтрация входного содержимого на серверной части и прямая фильтрация конфиденциальной информации во входном содержимом, например<script>этикетки и т.д.
Два: добавить зависимости Jsoup
Jsoup использует механизм белого списка тегов для предотвращения XSS-атак. Предположим, что в белый список разрешены только теги p. В настоящее время в фрагменте HTML-кода могут существовать только теги p, а другие теги будут очищены и сохранены только тегами. .Конечно, Jsoup можно использовать не только для фильтрации, но и для обхода, я не буду объяснять это здесь, и я напишу статью, чтобы объяснить это позже.
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.2</version>
</dependency>Третий: создать фильтр
Создано под ядромfilterпапка
1. Создайте правила фильтрации
package com.example.demo.core.filter;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Whitelist;
/**
* @author 张瑶
* @Description: xss非法标签过滤
* @date 2018/5/16 20:03
*/
public class XssFilterUtil {
/**
* 使用自带的basicWithImages 白名单
* 允许的便签有a,b,blockquote,br,cite,code,dd,dl,dt,em,i,li,ol,p,pre,q,small,span,
* strike,strong,sub,sup,u,ul,img
* 以及a标签的href,img标签的src,align,alt,height,width,title属性
*/
private static final Whitelist whitelist = Whitelist.basicWithImages();
/** 配置过滤化参数,不对代码进行格式化 */
private static final Document.OutputSettings outputSettings = new Document.OutputSettings().prettyPrint(false);
static {
// 富文本编辑时一些样式是使用style来进行实现的
// 比如红色字体 style="color:red;"
// 所以需要给所有标签添加style属性
whitelist.addAttributes(":all", "style");
}
public static String clean(String content) {
return Jsoup.clean(content, "", whitelist, outputSettings);
}
}
2. Переписать функцию обработки параметров запроса, которая является ключом к реализации XSS-фильтрации, переписать в ней методы getParameter, getParameterValues, getHeader и другие для фильтрации параметров в http-запросе.
package com.example.demo.core.filter;
import org.apache.commons.lang3.StringUtils;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
/**
* 重写请求参数处理函数
*/
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;
private boolean isIncludeRichText = false;
public XssHttpServletRequestWrapper(HttpServletRequest request, boolean isIncludeRichText) {
super(request);
orgRequest = request;
this.isIncludeRichText = isIncludeRichText;
}
/**
* 覆盖getParameter方法,将参数名和参数值都做xss过滤.
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
if (("content".equals(name) || name.endsWith("WithHtml")) && !isIncludeRichText) {
return super.getParameter(name);
}
name = XssFilterUtil.clean(name);
String value = super.getParameter(name);
if (StringUtils.isNotBlank(value)) {
value = XssFilterUtil.clean(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] arr = super.getParameterValues(name);
if (arr != null) {
for (int i = 0; i < arr.length; i++) {
arr[i] = XssFilterUtil.clean(arr[i]);
}
}
return arr;
}
/**
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。<br/>
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取<br/>
* getHeaderNames 也可能需要覆盖
*/
@Override
public String getHeader(String name) {
name = XssFilterUtil.clean(name);
String value = super.getHeader(name);
if (StringUtils.isNotBlank(value)) {
value = XssFilterUtil.clean(value);
}
return value;
}
/**
* 获取最原始的request
*
* @return
*/
public HttpServletRequest getOrgRequest() {
return orgRequest;
}
/**
* 获取最原始的request的静态方法
*
* @return
*/
public static HttpServletRequest getOrgRequest(HttpServletRequest req) {
if (req instanceof XssHttpServletRequestWrapper) {
return ((XssHttpServletRequestWrapper) req).getOrgRequest();
}
return req;
}
}3. Добавьте запись для фильтрации XSS-запросов, где HttpServletRequest инкапсулируется XssHttpServletRequestWrapper,filterChain.doFilter(xssRequest, response);Гарантируется, что когда последующий код выполняет request.getParameter, request.getParameterValues и request.getHeader, вызываются все методы, переписанные в XssHttpServletRequestWrapper, а полученные параметры представляют собой содержимое, отфильтрованное тегами, что исключает конфиденциальную информацию.
package com.example.demo.core.filter;
import org.apache.commons.lang3.BooleanUtils;
import org.apache.commons.lang3.StringUtils;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
/**
* @author 张瑶
* @Description: 拦截防止xss注入 通过Jsoup过滤请求参数内的特定字符
* @date 2018/5/16 20:04
*/
public class XssFilter implements Filter {
//是否过滤富文本内容
private static boolean IS_INCLUDE_RICH_TEXT = true;
public List<String> excludes = new ArrayList<>();
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
HttpServletRequest req = (HttpServletRequest) request;
HttpServletResponse resp = (HttpServletResponse) response;
if (handleExcludeURL(req, resp)) {
filterChain.doFilter(request, response);
return;
}
XssHttpServletRequestWrapper xssRequest = new XssHttpServletRequestWrapper((HttpServletRequest) request, IS_INCLUDE_RICH_TEXT);
filterChain.doFilter(xssRequest, response);
}
private boolean handleExcludeURL(HttpServletRequest request, HttpServletResponse response) {
if (excludes == null || excludes.isEmpty()) {
return false;
}
String url = request.getServletPath();
for (String pattern : excludes) {
Pattern p = Pattern.compile("^" + pattern);
Matcher m = p.matcher(url);
if (m.find()) {
return true;
}
}
return false;
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
String isIncludeRichText = filterConfig.getInitParameter("isIncludeRichText");
if (StringUtils.isNotBlank(isIncludeRichText)) {
IS_INCLUDE_RICH_TEXT = BooleanUtils.toBoolean(isIncludeRichText);
}
String temp = filterConfig.getInitParameter("excludes");
if (temp != null) {
String[] url = temp.split(",");
for (int i = 0; url != null && i < url.length; i++) {
excludes.add(url[i]);
}
}
}
@Override
public void destroy() {
}
}
Четыре: регистровый фильтр
Создать ядро→конфигуратор→XssFilterConfigurer
package com.example.demo.core.configurer;
import com.example.demo.core.filter.XssFilter;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import java.util.HashMap;
import java.util.Map;
/**
* @author 张瑶
* @Description:xss过滤拦截器配置文件
* @time 2018/5/16 20:47
*/
@Configuration
public class XssFilterConfigurer {
/**
* xss过滤拦截器
*/
@Bean
public FilterRegistrationBean xssFilterRegistrationBean() {
FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean();
filterRegistrationBean.setFilter(new XssFilter());
filterRegistrationBean.setOrder(Integer.MAX_VALUE-1);
filterRegistrationBean.setEnabled(true);
filterRegistrationBean.addUrlPatterns("/*");
Map<String, String> initParameters = new HashMap();
//excludes用于配置不需要参数过滤的请求url
initParameters.put("excludes", "/favicon.ico,/img/*,/js/*,/css/*");
//isIncludeRichText主要用于设置富文本内容是否需要过滤
initParameters.put("isIncludeRichText", "true");
filterRegistrationBean.setInitParameters(initParameters);
return filterRegistrationBean;
}
}Пять: тест
дорожкаlocalhost:8080/userInfo/selectById
идентификатор параметра запроса =1<a href="http://www.baidu.com/a" onclick="alert("模拟XSS攻击");">sss</a><script>alert(0);</script>sss
результат:
Мы видим, что был отфильтрован.
адрес проекта
Адрес облака кода:git ee.com/bean также/no SPR…
Адрес гитхаба:GitHub.com/my bean also/no s…
Писать статьи непросто, если это вам поможет, нажмите звездочку
конец
Добавление функции предотвращения XSS-атак завершено, и последующие функции будут обновляться одна за другой.Если у вас есть какие-либо вопросы, пожалуйста, свяжитесь со мной по адресу mr_beany@163.com. Также попросите руководства у всех великих богов, спасибо всем.