SpringMvc处理xss攻击

红太狼 2023-01-05 09:58 170阅读 0赞

## XSS攻击是什么 ##

利用漏洞通过注入恶意指令代码，使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码，比如`<script>alert('弹窗')</script>` 这段代码，就是一个弹窗代码。

### 案例代码 ###

先上一段代码来演示下攻击效果，下面这个是一个spring boot例子，一个很简单的接口，支持GET和POST请求。

![springboot hello接口.png][springboot hello_.png]

请求之后返回一个字符串，拼接请求传过来的name参数。

![hello world接口返回.png][hello world_.png]

## XSS漏洞攻击工具 ##

工欲善其事必先利其器，一个好用趁手的工具很重要。比如现在测试上面那段弹窗代码，用postman是测试不出来的，或者说我把请求方法限定为POST怎么办？

1.  使用Firefox浏览器的控制台，可以抓到接口编辑重发，请求头请求参数都可以修改。
2.  使用Hackbar工具来测试，不过最新的Hackbar已经开始收费了，可以通过安装旧版本的方式来解决。这里给出下载地址：https://github.com/Mr-xn/hackbar2.1.3，需要注意的是chrome浏览器能使用的版本是v2.2.6和v2.3.1。
3.  在Firefox里安装Max HackBar插件，这个是免费的插件，需要的可以去Firefox浏览器插件市场搜索安装使用。

### 攻击效果 ###

![XSS GET攻击成功.png][XSS GET_.png]

![XSS POST攻击成功.png][XSS POST_.png]

## 如何防御 ##

进入正题，既然是漏洞，那就有封堵的办法。看上面的介绍里，注入恶意代码，是不是想起来SQL注入了，我们这里也做一个预编译来处理这些特殊字符。

以下代码基于Spring Boot 2.4x编写，传统spring的项目也适用，只是添加filter需要在web.xml文件中配置一下。

### 添加一个Filter ###

import javax.servlet.*;
    import javax.servlet.annotation.WebFilter;
    import javax.servlet.http.HttpServletRequest;
    import java.io.IOException;
    
    /** * XSS攻击过滤器，对特殊字符进行转义 */
    @WebFilter(filterName = "xssFilter", urlPatterns = "/*")
    public class XssFilter implements Filter { 
    
        @Override
        public void init(FilterConfig filterConfig) throws ServletException { 
    
        }
    
        @Override
        public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { 
            filterChain.doFilter(new XssRequestWrapper(((HttpServletRequest) request)), response);
        }
    
        @Override
        public void destroy() { 
    
        }
    }

### 添加一个请求包装器 ###

import org.springframework.web.util.HtmlUtils;
    import javax.servlet.http.HttpServletRequest;
    import javax.servlet.http.HttpServletRequestWrapper;
    
    /** * xss过滤请求包装器 */
    public class XssRequestWrapper extends HttpServletRequestWrapper { 
    
        public XssRequestWrapper(HttpServletRequest servletRequest) { 
            super(servletRequest);
        }
    
        public String[] getParameterValues(String parameter) { 
            String[] values = super.getParameterValues(parameter);
            if (values == null)
                return null;
            int count = values.length;
            String[] encodedValues = new String[count];
            for (int i = 0; i < count; i++) { 
                encodedValues[i] = HtmlUtils.htmlEscape(values[i]);
            }
            return encodedValues;
        }
    
        public String getParameter(String parameter) { 
            String value = super.getParameter(parameter);
            if (value == null)
                return null;
            return HtmlUtils.htmlEscape(value);
        }
    
        public String getHeader(String name) { 
            String value = super.getHeader(name);
            if (value == null)
                return null;
            return HtmlUtils.htmlEscape(value);
        }
    
    }

### 在启动类添加扫描注解 ###

添加@ServletComponentScan注解，路径换成filter类所在的包。

@ServletComponentScan(basePackages = "com.example.boot2.filter")

### 传统Spring MVC项目（xml配置） ###

上面提到的注解都去掉，然后在web.xml中添加这个Filter类，配置好过滤路径就好了。

<filter>
        <filter-name>xssFilter</filter-name>
        
        <filter-class>com.example.boot2.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>xssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

## 测试效果 ##

![XSS GET攻击防御效果小图.png][XSS GET_.png 1]

![XSS POST攻击防御效果.png][XSS POST_.png 1]

看到结果已经被防御了，弹窗代码并没有执行成功。但是你可能会疑惑为什么攻击代码被显示在了页面上，这是因为我返回结果里把编译后的代码给拼接返回了，所以直接显示出来了，可以下图debug编译后的参数。

![XSS攻击代码编译.png][XSS_.png]

### one more thing ###

上面的方案在我测试过程中就发现了一个问题，就是有些接口的参数中是包含 < >这种符号的，而这些接口是老项目中已经存在并使用的，没法替换，所以我在实际使用中对路径做了下调整，只过滤指定接口，如果有其他比较好的方案的还请大佬不吝赐教。

[springboot hello_.png]: /images/20221119/7eea6419e57640fd99bc531fe12140c8.png
[hello world_.png]: https://img-blog.csdnimg.cn/img_convert/0e197fcf91755d25399635398802d56d.png
[XSS GET_.png]: https://img-blog.csdnimg.cn/img_convert/cb5a390dcb39e38ad9134898de3ec744.png
[XSS POST_.png]: https://img-blog.csdnimg.cn/img_convert/011439dca92d3fc0ec3d26a6e789b96a.png
[XSS GET_.png 1]: https://img-blog.csdnimg.cn/img_convert/df08f9a211ef9ee6ef1ef9218e2aff3f.png
[XSS POST_.png 1]: https://img-blog.csdnimg.cn/img_convert/f1012d340650725f6c818043cc2082d2.png
[XSS_.png]: https://img-blog.csdnimg.cn/img_convert/01adb1d25d82b7e8de7534ad35705304.png