XSS 是什么
XSS(Cross Site Scripting)攻擊全稱跨站腳本攻擊,為了不與 CSS(Cascading Style Sheets)名詞混淆,故將跨站腳本攻擊簡稱為 XSS,XSS 是一種常見 web 安全漏洞,它允許惡意代碼植入到提供給其它用戶使用的頁面中,
xss 攻擊流程
簡單 xss 攻擊示例
- 若網站某個表單沒做相關的處理,用戶提交相關惡意代碼,瀏覽器會執行相關的代碼,
解決方案
XSS 過濾說明
- 對表單系結的字串型別進行 xss 處理,
- 對 json 字串資料進行 xss 處理,
- 提供路由和控制器方法級別的放行規則,
使用 mica-xss
引入一下 依賴即可
<!--XSS 安全過濾-->
<dependency>
<groupId>net.dreamlu</groupId>
<artifactId>mica-core</artifactId>
<version>2.0.9-GA</version>
</dependency>
<dependency>
<groupId>net.dreamlu</groupId>
<artifactId>mica-xss</artifactId>
<version>2.0.9-GA</version>
</dependency>
測驗 XSS 過濾
測驗 GET 引數過濾
- 創建目標介面,模擬 get 提交
@GetMapping("/xss")
public String xss(String params){
return params;
}
- 回傳為空
?> ~ curl --location --request GET 'http://localhost:8080/xss?params=%3Cscript%3Ealert(%27xxx%27)%3C/script%3E'
測驗 POST form 引數過濾
- 創建目標介面,模擬 post form 提交
@PostMapping("/xss")
public String xss(String params){
return params;
}
- 回傳為空
curl --location --request POST 'http://localhost:8080/xss' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'params=<script>alert('\''xxx'\'')</script>'
測驗 POST body 引數過濾
- 創建目標介面,模擬 post body 提交
@PostMapping("/xss")
public String xss(@RequestBody Map<String,String> body){
return body.get("params");
}
- 回傳為空
curl --location --request POST 'http://localhost:8080/xss' \
--header 'Content-Type: application/json' \
--data-raw '{
"params":"<script>alert('\''XXX'\'')</script>"
}'
跳過某些介面過濾
可以使用 @XssCleanIgnore 注解對方法和類級別進行忽略,
@XssCleanIgnore
@PostMapping("/xss")
public String xss(@RequestBody Map<String,String> body){
return body.get("params");
}
原理分析
常見實作剖析
-
目前網上大多數的方案如下圖,新增 XssFilter 攔截用戶提交的引數,進行相關的轉義和黑名單排除,完成相關的業務邏輯,在整個程序中最核心的是通過包裝用戶的原始請求,創建新的 requestwrapper 保證請求流在后邊的流程可以重復讀,
mica-xss 實作
1. 自定義 WebDataBinder 編輯器支持 form 過濾
Spring WebDataBinder 的作用是從 web request 中把 web 請求里的parameters系結到對應的JavaBean上,在 Controller 方法中的引數型別可以是基本型別,也可以是封裝后的普通 Java 型別,若這個普通的 Java 型別沒有宣告任何注解,則意味著它的每一個屬性都需要到 Request 中去查找對應的請求引數,而 WebDataBinder 則可以幫助我們實作從 Request 中取出請求引數并系結到 JavaBean 中,
SpringMVC 在系結的程序中提供了用戶自定義編輯系結的介面,注入即可在引數系結 JavaBean 程序中執行過濾,
2. 自定義 JsonDeserializer 反序列化支持 Json 過濾
在 Spring Boot 中默認是使用 Jackson 進行序列化和反序列化 JSON 資料的,那么除了可以用默認的之外,我們也可以撰寫自己的 JsonSerializer 和 JsonDeserializer 類,來進行自定義操作,用戶提交 JSON 報文會通過 Jackson 的 JsonDeserializer 系結到 JavaBean 中,我們只需要自定義 JsonDeserializer 即可完成在系結 JavaBean 中執行過濾,
-
核心過濾邏輯
在 mica-xss 中并未采取上文所述通過自己手寫黑名單或者轉義方式的實作方案,而是直接實作 Jsoup 這個工具類,
jsoup 實作 WHATWG HTML5 規范,并將 HTML 決議為與現代瀏覽器相同的 DOM,
- 從 URL,檔案或字串中刮取和決議 HTML
- 使用 DOM 遍歷或 CSS 選擇器查找和提取資料
- 操縱 HTML 元素,屬性和文本
- 清除用戶提交的內容以防止安全白名單,以防止 XSS 攻擊
- 輸出整潔的 HTML
專案推薦: Spring Cloud 、Spring Security OAuth2的RBAC權限管理系統 歡迎關注
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/229359.html
標籤:其他
上一篇:作業中的一些小總結(2)