SpringBoot预防XSS攻击,使用mica-xss组件实现。
XSS简介
跨站脚本攻击(XSS),是最普遍的 Web 应用安全漏洞。 这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。
XSS 漏洞到底是什么,可以通过遇到的现象了解一下。在前端 Form 表单的输入框中,用户没有正常输入,而是输入了一段代码:</input><img src=1 onerror=alert1> 这个正常保存没有问题。问题出在了列表查询的时候,上面的代码就生效了,由于图片的地址乱写的,所以这个 alert 就起作用了来看图。
那根据这个原理,实际上如果没有做任何的限制,有心人就可以为所欲为了。可以在里面嵌入一些关键代码,把你的信息拿走。确实是个很严重的问题。
解决思路
既然是因为输入框中输入了不该输入的东西,那自然就萌生一些想法:
- 校验输入内容,不允许用户输入特殊字符,特殊标签
- 允许用户输入,但是保存的时候将特殊的字符直接替换为空串
- 允许用户输入,将特殊字符转译保存。
第一种方法,特殊字符过滤。既然要过滤特殊字符,那就得自己把所有的特殊字符列出来进行匹配,比较麻烦,而且要定义好什么才是特殊字符?况且用户本身不知道什么是特殊字符。突如其来的报错,会让用户有点摸不着头脑,不是很友好。
第二种方法,特殊字符替换为空串。未免有点太暴力。万一真的需要输入一点特殊的字符,保存完查出来发现少了好多东西,人家以为我们的 BUG 呢。也不是很好的办法。
第三种办法,特殊字符转译。这个办法不但用户数据不丢失,而且浏览器也不会执行代码。比较符合预期。
那办法确定了,怎么做呢?前端来做还是后端来做?想了想还是要后端来做。毕竟使用切面或者 Filter 可以一劳永逸。
处理流程
预防 XSS 攻击的,大多数的流程是:
- 拦截请求(过滤器)
- 重新包装请求
- 重写
HttpServletRequest中的获取参数的方法 - 将获得的参数进行 XSS 处理
- 过滤器放行
mica-xss
mica-xss 组件说明:
- 对表单绑定的字符串类型进行 xss 处理。
- 对 json 字符串数据进行 xss 处理。
- 提供路由和控制器方法级别的放行规则。
1 | <dependency> |
mica-xss 配置
| 配置项 | 默认值 | 说明 |
|---|---|---|
| mica.xss.enabled | true | 开启 xss |
| mica.xss.trim-text | true | 【全局】是否去除文本首尾空格 |
| mica.xss.mode | clear | 模式:clear 清理(默认),escape 转义 |
| mica.xss.pretty-print | false | clear 专用 prettyPrint,默认关闭: 保留换行 |
| mica.xss.enable-escape | false | clear 专用 转义,默认关闭 |
| mica.xss.path-patterns | /** |
拦截的路由,例如: /api/order/** |
| mica.xss.path-exclude-patterns | 放行的路由,默认为空 |