XSS(Cross-Site Scripting)跨站脚本攻击。XSS 攻击的本质是攻击者将恶意脚本注入到网页中,使这些脚本在其他用户浏览该网页时被执行。
攻击类型:
-
存储型:恶意脚本存储在数据库中(如评论、昵称),用户访问时读取执行。
-
反射型:脚本通过 URL 参数传入并被网页反射执行。
-
DOM 型 :前端 JavaScript 代码处理不当(如
innerHTML)导致脚本执行。
应对措施 (todo 待细化)
-
输出编码(Output Encoding):
-
使用 JSP/Thymeleaf/模板时对用户输入输出前进行 HTML 转义,如:
<c:out value="${comment}" /> // JSP 中避免输出原始 HTML
-
-
前端转义 :避免使用
innerHTML,用textContent等安全 API。 -
使用安全框架:如 OWASP 提供的 ESAPI、Spring Security。
-
内容安全策略(CSP):在响应头设置 CSP,限制脚本执行:
Content-Security-Policy: default-src 'self';
CSRF(Cross-Site Request Forgery)跨站请求伪造。 攻击者诱导用户在登录状态下发起对目标站点的非授权请求。例如用户已登录银行站点,攻击者引导其访问恶意链接发起转账请求。
攻击条件
-
用户已登录并维持会话(通常是 Cookie)
-
攻击者伪造用户身份发起请求(表单、图片、脚本等)
Java Web 防御措施(todo 不太清除,待细化)
-
CSRF Token 验证(最有效)
-
每个表单请求携带一个隐藏的随机令牌,后台验证。
-
Spring Security 自动支持 CSRF:
http.csrf().enable(); // 默认开启 -
表单中加:
<input type="hidden" name="_csrf" value="${_csrf.token}" />
-
-
Referer / Origin 验证
- 后端检查请求头中的
Referer或Origin是否来自本站。
- 后端检查请求头中的
-
SameSite Cookie 属性