抵御XSS攻击

1、XSS攻击的危害2、抵御XSS的实现1、导入Hutool的依赖库2、定义请求包装类 3、测试

1、XSS攻击的危害

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

例如用户在发帖或者注册的时候，在文本框中输入<script>各种js代码</script>，这段代码如果不经过转义处理，而直接保存到数据库。将来视图层渲染HTML的时候，把这段代码输出到页面上，那么<script>标签的内容就会被执行。

通常情况下，我们登陆到某个网站。如果网站使用HttpSession保存登陆凭证，那么SessionId会以Cookie的形式保存在浏览器上。如果黑客在这个网页发帖的时候，填写的JavaScript代码是用来获取Cookie内容的，并且把Cookie内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子，那么视图层渲染HTML页面，就会执行注入的XSS脚本，于是你的Cookie信息就泄露了。黑客在自己的电脑上构建出Cookie，就可以冒充已经登陆的用户。

即便很多网站使用了JWT，登陆凭证（Token令牌）是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token，黑客依然可以轻松的冒充已经登陆的用户。

所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义，然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的，这就可以抵御XSS攻击。

2、抵御XSS的实现

因为Hutool工具包带有XSS转义的工具类，所以我们要导入Hutool，然后利用Servlet规范提供的请求包装类，定义数据转义功能。

1、导入Hutool的依赖库

<dependency><groupId>cn.hutool</groupId><artifactId>hutool-all</artifactId><version>5.4.0</version></dependency>

2、定义请求包装类

package com.zhao.config.xss;import cn.hutool.core.util.StrUtil;import cn.hutool.http.HtmlUtil;import cn.hutool.json.JSONUtil;import javax.servlet.ReadListener;import javax.servlet.ServletInputStream;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletRequestWrapper;import java.io.*;import java.nio.charset.Charset;import java.util.HashMap;import java.util.LinkedHashMap;import java.util.Map;/*** @Author: * @Date: * @Description: 对请求的数据进行转移，以达到抵御XSS攻击*/public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {public XSSHttpServletRequestWrapper(HttpServletRequest request) {super(request);}@Overridepublic String getParameter(String name) {String value = super.getParameter(name);if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}return value;}@Overridepublic String[] getParameterValues(String name) {String[] values = super.getParameterValues(name);if (values != null) {for (int i = 0; i < values.length; i++) {String value = values[i];if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}values[i] = value;}}return values;}@Overridepublic Map<String, String[]> getParameterMap() {Map<String, String[]> parameters = super.getParameterMap();Map<String, String[]> map = new LinkedHashMap<>();if (parameters != null) {for (String key : parameters.keySet()) {String[] values = parameters.get(key);for (int i = 0; i < values.length; i++) {String value = values[i];if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}values[i] = value;}map.put(key, values);}}return map;}@Overridepublic String getHeader(String name) {String value = super.getHeader(name);if (!StrUtil.hasEmpty(value)) {value = HtmlUtil.filter(value);}return value;}@Overridepublic ServletInputStream getInputStream() throws IOException {InputStream in = super.getInputStream();StringBuffer body = new StringBuffer();InputStreamReader reader = new InputStreamReader(in, Charset.forName("UTF-8"));BufferedReader buffer = new BufferedReader(reader);String line = buffer.readLine();while (line != null) {body.append(line);line = buffer.readLine();}buffer.close();reader.close();in.close();Map<String, Object> map = JSONUtil.parseObj(body.toString());Map<String, Object> resultMap = new HashMap(map.size());for (String key : map.keySet()) {Object val = map.get(key);if (map.get(key) instanceof String) {resultMap.put(key, HtmlUtil.filter(val.toString()));} else {resultMap.put(key, val);}}String str = JSONUtil.toJsonStr(resultMap);final ByteArrayInputStream bain = new ByteArrayInputStream(str.getBytes());return new ServletInputStream() {@Overridepublic int read() throws IOException {return bain.read();}@Overridepublic boolean isFinished() {return false;}@Overridepublic boolean isReady() {return false;}@Overridepublic void setReadListener(ReadListener listener) {}};}}

使用过滤器调用包装类XSSHttpServletRequestWrapper，以进行数据转义，达到抵御XSS攻击

过滤器为：

package com.zhao.config.xss;import javax.servlet.*;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServletRequest;import java.io.IOException;/*** @Author: * @Date: * @Description: 过滤器拦截所有请求，然后把请求传入包装类，*这样包装类就能覆盖所有请求的参数方法，用户从请求中获得数据，全都经过转义。*/@WebFilter(urlPatterns = "/*")public class XSSFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {Filter.super.init(filterConfig);}@Overridepublic void doFilter(ServletRequest servletRequest,ServletResponse servletResponse,FilterChain filterChain) throws IOException, ServletException {//创建XSS包装类对象XSSHttpServletRequestWrapper xssHttpServletRequestWrapper = new XSSHttpServletRequestWrapper((HttpServletRequest) servletRequest);//将包装，转以后的数据 再进行继续执行filterChain.doFilter(xssHttpServletRequestWrapper, servletResponse);}@Overridepublic void destroy() {Filter.super.destroy();}}

3、给主类上添加**@ServletComponentScan注解**，扫描我们的过滤器，让过滤器起作用

3、测试

测试类：（你也可以自己定义一个controller进行接口测试就可以了，然后再浏览器中输入你的地址加上参数，判断是否将数据转义即可。）

package com.zhao.controler;import mon.util.R;import com.zhao.controler.form.ValidationTestForm;import io.swagger.annotations.Api;import io.swagger.annotations.ApiOperation;import org.springframework.web.bind.annotation.*;import javax.validation.Valid;/*** @Author: * @Date: * @Description:*///定义指定，返回的是Json数据@RestController//定义 访问的相对路径@RequestMapping("/swagger")@Api("Swagger的测试类")public class SwaggerTestController {//定义方法的 访问相对路径@PostMapping("/test")//APIOperation的注解是在配置Swagger的时候定义的，作用是：当添加了这个注解的方法会被Swagger扫描到@ApiOperation("Swagger接口的测试方法带的注解")public R swaggerTest(@Valid @RequestBody ValidationTestForm form){return R.ok("Swagger接口，接通了"+ form.getName());}}

这里的R是Web数据封装对象，可以不用管，直接就改为返回@responsebody就可以了

测试结果：

从结果可以看到，数据已经转义。

如果有疑问，可以在评论区提出，我们共同探讨，解决问题。

如果有帮助，点个关注，共同进步。