devbox
IT小白
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot 该如何预防 XSS 攻击_springmvc boot xss

作者:IT小白 | 2024-08-03 05:16:48

springmvc boot xss

XSS 漏洞到底是什么,说实话我讲不太清楚。但是可以通过遇到的现象了解一下。在前端Form表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个alert就起作用了来看图。

图片

 

那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了。可以在里面嵌入一些关键代码,把你的信息拿走。确实是个很严重的问题。

解决思路

既然是因为输入框中输入了不该输入的东西,那自然就萌生一些想法:

  • 校验输入内容,不允许用户输入特殊字符,特殊标签

  • 允许用户输入,但是保存的时候将特殊的字符直接替换为空串

  • 允许用户输入,将特殊字符转译保存。

第一种方法,特殊字符过滤。既然要过滤特殊字符,那就得自己把所有的特殊字符列出来进行匹配,比较麻烦,而且要定义好什么才是特殊字符?况且用户本身不知道什么是特殊字符。突如其来的报错,会让用户有点摸不着头脑,不是很友好。

第二种方法,特殊字符替换为空串。未免有点太暴力。万一真的需要输入一点特殊的字符,保存完查出来发现少了好多东西,人家以为我们的BUG呢。也不是很好的办法。

第三种办法,特殊字符转译。这个办法不但用户数据不丢失,而且浏览器也不会执行代码。比较符合预期。

那办法确定了,怎么做呢?前端来做还是后端来做?想了想还是要后端来做。毕竟使用切面或者Filter可以一劳永逸。

心路历程

经过抄袭,我发现了一些问题,也渐渐的有了一些理解。下面再说几句废话:

查到的预防XSS攻击的,大多数的流程是:

  • 拦截请求

  • 重新包装请求

  • 重写HttpServletRequest中的获取参数的方法

  • 将获得的参数进行XSS处理

  • 拦截器放行

于是我就逮住一个抄了一下。抄袭完毕例行测试,发现我用@RequestBody接受的参数,并不能过滤掉特殊字符。怎么肥四?大家明明都这么写。为什么我的不好使?

这个时候突然一个想法萌生。SpringMVC在处理@RequestBody类型的参数的时候,是不是使用的我重写的这些方法呢?(getQueryString()getParameter(String name)getParameterValues(String name)getParameterMap())。打了个日志,发现还真不是这些方法。

于是搜索了一下Springboot拦截器获取@RequestBody参数,碰到了这篇文章。首先的新发现是Spring MVC 在获取@RequestBody参数的时候使用的是getInputStream()方法。嗯?(斜眼笑)那我是不是可以重写这个方法获取到输入流的字符串,然后直接处理一下?

说干就干,一顿操作。进行测试。发现直接JSON 转换的报错了。脑裂。估计是获得的字符串在转换的时候把不该转的东西转译了,导致不能序列化了。眼看就要成功了,一测回到解放前。

该怎么办呢?其实思路是没错的,就是在获取到流之后进行处理。但是错就错在处理的位置。果然处理的时间点很重要。(就像伴侣一样,某人出现的时间点很重要)。那既然不能在现在处理,那就等他序列化完毕之后再处理就好了。那怎么办呢?难道要写一个AOP 拦截到所有的请求?用JAVA反射处理?

正在迷茫的时候,看到了一篇文章,知识增加了。原来可以在序列化和反序列化的时候进行处理。

最终实现

看一下最终的代码实现(有些导入的包被我删了)

重新包装Request的代码
  1. import org.apache.commons.text.StringEscapeUtils;
  2. import org.slf4j.Logger;
  3. import org.slf4j.LoggerFactory;
  4.  
  5. import javax.servlet.ReadListener;
  6. import javax.servlet.ServletInputStream;
  7. import javax.servlet.http.HttpServletRequest;
  8. import javax.servlet.http.HttpServletRequestWrapper;
  9. import java.io.BufferedReader;
  10. import java.io.ByteArrayInputStream;
  11. import java.io.IOException;
  12. import java.io.InputStreamReader;
  13. import java.nio.charset.StandardCharsets;
  14. import java.util.Map;
  15.  
  16. /**
  17.  * 重新包装一下Request。重写一些获取参数的方法,将每个参数都进行过滤
  18.  */
  19. public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {
  20.     private static final Logger logger = LoggerFactory.getLogger(XSSHttpServletRequestWrapper.class);
  21.  
  22.     private HttpServletRequest request;
  23.     /**
  24.      * 请求体 RequestBody
  25.      */
  26.     private String reqBody;
  27.  
  28.     /**
  29.      * Constructs a request object wrapping the given request.
  30.      *
  31.      * @param request The request to wrap
  32.      * @throws IllegalArgumentException if the request is null
  33.      */
  34.     public XSSHttpServletRequestWrapper(HttpServletRequest request) {
  35.         super(request);
  36.         logger.info("---xss XSSHttpServletRequestWrapper created-----");
  37.         this.request = request;
  38.         reqBody = getBodyString();
  39.     }
  40.  
  41.  
  42.     @Override
  43.     public String getQueryString() {
  44.         return StringEscapeUtils.escapeHtml4(super.getQueryString());
  45.     }
  46.  
  47.     /**
  48.      * The default behavior of this method is to return getParameter(String
  49.      * name) on the wrapped request object.
  50.      *
  51.      * @param name
  52.      */
  53.     @Override
  54.     public String getParameter(String name) {
  55.         logger.info("---xss XSSHttpServletRequestWrapper work  getParameter-----");
  56.         String parameter = request.getParameter(name);
  57.         if (StringUtil.isNotBlank(parameter)) {
  58.             logger.info("----filter before--name:{}--value:{}----", name, parameter);
  59.             parameter = StringEscapeUtils.escapeHtml4(parameter);
  60.             logger.info("----filter after--name:{}--value:{}----", name, parameter);
  61.         }
  62.         return parameter;
  63.     }
  64.  
  65.     /**
  66.      * The default behavior of this method is to return
  67.      * getParameterValues(String name) on the wrapped request object.
  68.      *
  69.      * @param name
  70.      */
  71.     @Override
  72.     public String[] getParameterValues(String name) {
  73.         logger.info("---xss XSSHttpServletRequestWrapper work  getParameterValues-----");
  74.         String[] parameterValues = request.getParameterValues(name);
  75.         if (!CollectionUtil.isEmpty(parameterValues)) {
  76.          // 经 “@Belief_7” 指正 这种方式不能更改parameterValues里面的值,要换成下面
    声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/IT小白/article/detail/921554
    推荐阅读
    相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。