XSS跨站脚本攻击
一 、 XSS介绍
XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。
二、XSS攻击目的及原理
由于对XSS攻击了解不是很深入,暂时罗列两条危害:
1) 被恶意用户发现恶意提交表单。
2) 其他用户看到这个包括恶意脚本的页面并执行,获取用户的cookie等敏感信息。
攻击原理图如下所示:
image.png
XSS攻击测试代码
主要攻击是通过在输入框内输入获取服务器的cookie的信息,从而登陆你的服务器,原理是通过在前端的关键字内输入攻击的值,然后这些值存储在数据库内,后端服务器通过调取这个键值对,从而触发获取服务器端的cookie信息。
所以前后端要进行特殊字符的处理,不让输入一些特殊标签,如<script>,HTML等代码标签或者特殊字符。
-
获取用户的cookie
<script>alert(document.cookie)</script>
οnclick=alert(document.cookie) -
扰乱页面布局
<iframe src="http://baidu.com"></iframe>
<script>alert("hello")</script> -
在页面链接上参数后输入脚本、在输入框内输入js脚本
XSS 漏洞修复原理
原则:不相信客户输入的数据
注意: 攻击代码不一定在<script></script>中,将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了。
需要对用户的输入进行处理,只允许用户输入我们期望的数据,其它值一概过滤掉。例如:年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
对数据进行Html Encode 处理,过滤或移除特殊的Html标签, 例如: <script>, <iframe> , < 替代 <, > 替代 >, " 替代引号。过滤JavaScript 事件的标签。例如 “οnclick=”, “onfocus” 等等。
解决方案
1、简立HttpServletRequestWapper的包装类。
这个类的目的是对用户发送的请求进行包装,把request中包含XSS代码进行过滤
public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
HttpServletRequest orgRequest = null;
public XssHttpServletRequestWrapper(HttpServletRequest request) {
super(request);
}
/**
* 覆盖getParameter方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getParameterValues(name)来获取
* getParameterNames,getParameterValues和getParameterMap也可能需要覆盖
*/
@Override
public String getParameter(String name) {
String value = super.getParameter(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
@Override
public String[] getParameterValues(String name) {
String[] value = super.getParameterValues(name);
if(value != null){
for (int i = 0; i < value.length; i++) {
value[i] = xssEncode(value[i]);
}
}
return value;
}
@Override
public Map getParameterMap() {
// TODO Auto-generated method stub
return super.getParameterMap();
}
/**
* 覆盖getHeader方法,将参数名和参数值都做xss过滤。
* 如果需要获得原始的值,则通过super.getHeaders(name)来获取
* getHeaderNames 也可能需要覆盖
* 这一段代码在一开始没有注释掉导致出现406错误,原因是406错误是HTTP协议状态码的一种,
* 表示无法使用请求的内容特性来响应请求的网页。一般指客户端浏览器不接受所请求页面的MIME类型。
**/
@Override
public String getHeader(String name) {
String value = super.getHeader(xssEncode(name));
if (value != null) {
value = xssEncode(value);
}
return value;
}
/**
* 将容易引起xss漏洞的半角字符直接替换成全角字符 在保证不删除数据的情况下保存
* @param s
* @return 过滤后的值
*/
private static String xssEncode(String value) {
if (value == null || value.isEmpty()) {
return value;
}
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
return value;
}
}
2、Filter过滤器实现对Request的过滤
public class XssFilter implements Filter {
public void destroy() {
// TODO Auto-generated method stub
}
/**
* 过滤器用来过滤的方法
*/
public void doFilter(ServletRequest request, ServletResponse response,
FilterChain chain) throws IOException, ServletException {
//包装request
XssHttpServletRequestWrapper xssRequest
= new XssHttpServletRequestWrapper((HttpServletRequest) request);
chain.doFilter(xssRequest, response);
}
public void init(FilterConfig filterConfig) throws ServletException {
// TODO Auto-generated method stub
}
}
3、在Web.xml中定义好Filter
<filter>
<filter-name>XssFilter</filter-name>
<filter-class>包名.XssFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XssFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
4、由于Filter类需要引入javax.servlet.api的jar包,因此还得在pom.xml配置jar包
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>servlet-api</artifactId>
<version>${servlet.version}</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jsp-api</artifactId>
<version>2.0</version>
<scope>provided</scope>
</dependency>
<properties>
<servlet.version>3.0-alpha-1</servlet.version>
</properties>
