1. 什么是XSS注入
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。
2. XSS攻击类型
2.1 存储型XSS
存储型XSS 是指攻击者通过输入恶意脚本,存储在服务器端的数据库中。当其他用户从数据库中读取数据时,恶意脚本被执行。
案例示例: 假设一个电商系统允许用户在其个人资料中输入"个人简介":
<form action="/updateProfile" method="POST">
<textarea name="bio" placeholder="Enter your bio"></textarea>
<button type="submit">Update</button>
</form>
用户提交的个人简介数据被存储在数据库中。如果用户输入恶意脚本:
<script>alert('This is a stored XSS attack');</script>
当其他用户访问该用户的个人资料页面时,这段脚本会被执行。代码如下:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>User Profile</title>
</head>
<body>
<h1>User Profile</h1>
<div id="bio">
<!-- User's bio is rendered here -->
</div>
</body>
</html>
在这个例子中,bio内容直接插入到HTML中,导致脚本被执行。
防护措施:
- 对用户输入进行HTML转义。
- 在用户输入内容之前使用输入验证机制。
- 使用内容安全策略(CSP)来限制执行的脚本来源。
2.2 反射型XSS
反射型XSS 是指攻击者通过构造恶意URL,将其发送给用户。当用户点击这个URL时,恶意脚本被执行。攻击者利用URL中的参数直接在页面上插入恶意代码。
案例示例: 假设电商系统有一个搜索功能,用户可以通过URL中的查询参数来搜索商品:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Search</title>
</head>
<body>
<h2>Search Results for: <span id="search"></span></h2>
<script>
// 从URL中获取查询参数
var searchQuery = new URLSearchParams(window.location.search).get('q');
// 直接插入到HTML中
document.getElementById('search').innerHTML = searchQuery;
</script>
</body>
</html>
如果攻击者通过如下链接引导用户:
http://example.com/search?q=<script>alert('This is a reflected XSS attack');</script>
该脚本会在页面上执行。
防护措施:
- 对所有动态插入到HTML中的内容进行HTML编码。
- 使用安全的API进行参数插入,如
textContent替代innerHTML。
2.3 基于DOM的XSS
基于DOM的XSS 是指攻击者通过操控客户端JavaScript,使得恶意脚本被执行。这种攻击不依赖于服务器端,而是通过修改浏览器中运行的JavaScript来实现。
案例示例: 假设电商系统的用户可以通过URL中的查询参数进行商品筛选:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Filter Products</title>
</head>
<body>
<h2>Filter Results for: <span id="filter"></span></h2>
<script>
// 从URL中获取筛选参数
var filterQuery = new URLSearchParams(window.location.search).get('filter');
// 直接插入到HTML中
document.getElementById('filter').innerHTML = filterQuery;
</script>
</body>
</html>
如果攻击者通过如下链接引导用户:
http://example.com/filter?filter=<img src=x onerror=alert('This is a DOM-based XSS attack')>
该脚本会在页面上执行,利用图像加载失败的事件触发XSS攻击。
防护措施:
- 使用适当的JavaScript编码函数,如
textContent替代innerHTML。 - 使用现有的库或工具进行XSS防护。
- 实施内容安全策略(CSP)来限制页面上可执行的脚本。
3. 常见XSS安全问题
3.1 用户输入未经过滤或转义
XSS的根本原因是服务器未对用户输入进行过滤或转义,导致恶意脚本直接在页面中执行。
3.2 动态生成HTML内容
在Java中,动态生成HTML时,如果直接将用户输入嵌入到HTML片段中,而没有进行任何转义,极易造成XSS漏洞。
3.3 在客户端过滤而非服务器端过滤
有些开发者试图通过客户端JavaScript来过滤恶意输入,这是一种非常不安全的做法,因为攻击者可以绕过客户端检查。
4. XSS防护方案
4.1 输入过滤
服务器端应严格过滤用户输入,去除或转义所有不安全的字符。可以通过白名单的方式,确保只允许合法的字符输入。
代码示例:
public String filterInput(String input) {
return input.replaceAll("[<>]", ""); // 简单的过滤示例
}
4.2 输出编码
对所有动态生成的HTML内容进行输出编码,可以使用HtmlUtils.htmlEscape()或第三方库,如OWASP Java Encoder。
代码示例:
String safeContent = HtmlUtils.htmlEscape(userInput);
4.3 配置 Spring Security 的 HTTP 头部
CSP是一种浏览器安全机制,通过限制页面中可以执行的脚本,进一步防止XSS攻击。可以在HTTP响应头中配置CSP策略。
Spring Security 提供了对安全头部的支持,可以增强 XSS 防护,尤其是通过启用 Content-Security-Policy(CSP) 和 X-XSS-Protection 等 HTTP 头部。
你可以在 HttpSecurity 中配置安全头部来减少 XSS 攻击的风险:
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http
.headers()
// 启用X-XSS-Protection头部,阻止浏览器加载XSS攻击的页面
.xssProtection()
.block(true)
.and()
// 启用Content-Security-Policy头部,指定允许的内容源
.contentSecurityPolicy("script-src 'self'; object-src 'none';");
http
.authorizeRequests()
.anyRequest().authenticated();
return http.build();
}
}
X-XSS-Protection头部:启用浏览器的 XSS 过滤机制(注意,一些现代浏览器已逐渐弃用此头部)。Content-Security-Policy (CSP)头部:定义允许的内容源,防止恶意脚本加载。
4.4 验证码防护
对于可能被攻击的表单或重要操作(如登录、评论),引入验证码可以有效防止自动化的XSS攻击脚本。
4.5 统一处理:使用Spring的过滤器
在Spring应用中,使用过滤器(Filter)是一个常见的方式,能够拦截所有HTTP请求,在请求到达控制器之前对请求数据进行统一的XSS防护处理。
实现步骤
-
创建XSS过滤器类
我们可以创建一个自定义的
XSSFilter来拦截所有请求,并在其中对请求中的参数进行转义或过滤。代码示例:
import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import java.io.IOException; public class XSSFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化过滤器配置 } @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // 对请求参数进行XSS转义 XSSRequestWrapper xssRequestWrapper = new XSSRequestWrapper(request); // 继续请求链 chain.doFilter(xssRequestWrapper, response); } @Override public void destroy() { // 销毁时的清理工作 } } -
创建XSSRequestWrapper类
这个类是对ServletRequest的包装,用于对请求中的所有参数进行过滤或转义。
代码示例:
import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.springframework.web.util.HtmlUtils; public class XSSRequestWrapper extends HttpServletRequestWrapper { public XSSRequestWrapper(HttpServletRequest request) { super(request); } @Override public String getParameter(String name) { String value = super.getParameter(name); return HtmlUtils.htmlEscape(value); // 转义HTML特殊字符 } @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); if (values == null) { return null; } String[] escapedValues = new String[values.length]; for (int i = 0; i < values.length; i++) { escapedValues[i] = HtmlUtils.htmlEscape(values[i]); } return escapedValues; } } -
注册过滤器
将自定义的
XSSFilter过滤器注册到Spring应用中,这样可以确保所有请求都经过XSS过滤。代码示例:
import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; @Configuration public class FilterConfig { @Bean public FilterRegistrationBean<XSSFilter> xssFilterRegistrationBean() { FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>(); registrationBean.setFilter(new XSSFilter()); registrationBean.addUrlPatterns("/*"); // 拦截所有URL return registrationBean; } }
通过这种方式,XSS防护被统一处理,开发者无需在每个控制器中显式调用转义函数。这种方式简化了代码,并确保任何输入都经过过滤器的处理。
4.6 统一处理:使用Spring的全局拦截器
除了过滤器,Spring的拦截器(Interceptor)也是一种常用的方式。拦截器通常用于对请求进行全局处理,例如在进入控制器之前对数据进行处理。
实现步骤
-
创建XSS拦截器类
拦截器与过滤器类似,但是它工作在Spring MVC框架的处理链中。我们可以通过实现
HandlerInterceptor接口来创建一个全局XSS拦截器。代码示例:
import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.util.HtmlUtils; public class XSSInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { // 获取请求中的参数并进行XSS转义 request.setAttribute("escapedQuery", HtmlUtils.htmlEscape(request.getParameter("query"))); return true; } } -
配置拦截器
在Spring Boot中,我们可以通过配置类来注册拦截器。
代码示例:
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.InterceptorRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class WebConfig implements WebMvcConfigurer { @Override public void addInterceptors(InterceptorRegistry registry) { // 注册XSS拦截器 registry.addInterceptor(new XSSInterceptor()).addPathPatterns("/**"); } }
4.7 比较:过滤器 vs 拦截器
- 过滤器:工作在Servlet层面,适用于对所有HTTP请求进行预处理,无论是否进入Spring MVC处理器。过滤器通常用于对请求数据进行统一处理,适合对所有请求参数的统一安全处理。
- 拦截器:工作在Spring MVC处理链中,更适合与Spring框架的集成,可以轻松获取控制器层面的信息,适合应用逻辑的统一处理。
两者在实际应用上都能实现类似的功能,选择使用过滤器还是拦截器,取决于应用的架构设计。如果需要对所有请求统一处理,过滤器是更好的选择;而如果只需对Spring MVC请求做处理,拦截器会更加灵活。
4.8 通过统一异常处理的方式防护XSS
除了拦截器和过滤器,Spring还提供了全局异常处理的机制,通过@ControllerAdvice可以捕获和处理所有控制器中的异常,这也是一种处理非法输入和异常情况的统一方式。
代码示例:
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.servlet.ModelAndView;
@ControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(IllegalArgumentException.class)
public ModelAndView handleIllegalArgumentException(IllegalArgumentException e) {
// 统一处理非法输入
ModelAndView mav = new ModelAndView();
mav.addObject("message", "非法输入检测到: " + e.getMessage());
mav.setViewName("error");
return mav;
}
}
通过这种方式,当检测到非法输入时,可以通过抛出异常来触发统一的异常处理逻辑,实现对XSS攻击的防护。
5. 流程图
6. 总结
XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击。在电商交易系统中,无论是用户评论、搜索功能还是其他输入功能,都必须确保安全,防止攻击者通过XSS获取用户信息或劫持用户会话。