Web安全之XSS跨站脚本攻击：如何预防及解决

本文主要是介绍Web安全之XSS跨站脚本攻击：如何预防及解决，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

1. 什么是XSS注入

XSS（跨站脚本攻击，Cross-Site Scripting）是一种常见的Web安全漏洞，通过注入恶意代码（通常是JavaScript）到目标网站的网页中，以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息（如Cookie、会话令牌）或控制用户浏览器的行为，进而造成信息泄露、身份冒用等严重后果。

2. XSS攻击类型

2.1 存储型XSS

存储型XSS 是指攻击者通过输入恶意脚本，存储在服务器端的数据库中。当其他用户从数据库中读取数据时，恶意脚本被执行。

案例示例：假设一个电商系统允许用户在其个人资料中输入“个人简介”：

<form action="/updateProfile" method="POST"><textarea name="bio" placeholder="Enter your bio"></textarea><button type="submit">Update</button>
</form>

用户提交的个人简介数据被存储在数据库中。如果用户输入恶意脚本：

<script>alert('This is a stored XSS attack');</script>

当其他用户访问该用户的个人资料页面时，这段脚本会被执行。代码如下：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>User Profile</title>
</head>
<body><h1>User Profile</h1><div id="bio"><!-- User's bio is rendered here --></div>
</body>
</html>

在这个例子中，bio内容直接插入到HTML中，导致脚本被执行。

防护措施：

对用户输入进行HTML转义。
在用户输入内容之前使用输入验证机制。
使用内容安全策略（CSP）来限制执行的脚本来源。

2.2 反射型XSS

反射型XSS 是指攻击者通过构造恶意URL，将其发送给用户。当用户点击这个URL时，恶意脚本被执行。攻击者利用URL中的参数直接在页面上插入恶意代码。

案例示例：假设电商系统有一个搜索功能，用户可以通过URL中的查询参数来搜索商品：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Search</title>
</head>
<body><h2>Search Results for: <span id="search"></span></h2><script>// 从URL中获取查询参数var searchQuery = new URLSearchParams(window.location.search).get('q');// 直接插入到HTML中document.getElementById('search').innerHTML = searchQuery;</script>
</body>
</html>

如果攻击者通过如下链接引导用户：

http://example.com/search?q=<script>alert('This is a reflected XSS attack');</script>

该脚本会在页面上执行。

防护措施：

对所有动态插入到HTML中的内容进行HTML编码。
使用安全的API进行参数插入，如 textContent 替代 innerHTML。

2.3 基于DOM的XSS

基于DOM的XSS 是指攻击者通过操控客户端JavaScript，使得恶意脚本被执行。这种攻击不依赖于服务器端，而是通过修改浏览器中运行的JavaScript来实现。

案例示例：假设电商系统的用户可以通过URL中的查询参数进行商品筛选：

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Filter Products</title>
</head>
<body><h2>Filter Results for: <span id="filter"></span></h2><script>// 从URL中获取筛选参数var filterQuery = new URLSearchParams(window.location.search).get('filter');// 直接插入到HTML中document.getElementById('filter').innerHTML = filterQuery;</script>
</body>
</html>

如果攻击者通过如下链接引导用户：

http://example.com/filter?filter=<img src=x onerror=alert('This is a DOM-based XSS attack')>

该脚本会在页面上执行，利用图像加载失败的事件触发XSS攻击。

防护措施：

使用适当的JavaScript编码函数，如 textContent 替代 innerHTML。
使用现有的库或工具进行XSS防护。
实施内容安全策略（CSP）来限制页面上可执行的脚本。

3. 常见XSS安全问题

3.1 用户输入未经过滤或转义

XSS的根本原因是服务器未对用户输入进行过滤或转义，导致恶意脚本直接在页面中执行。

3.2 动态生成HTML内容

在Java中，动态生成HTML时，如果直接将用户输入嵌入到HTML片段中，而没有进行任何转义，极易造成XSS漏洞。

3.3 在客户端过滤而非服务器端过滤

有些开发者试图通过客户端JavaScript来过滤恶意输入，这是一种非常不安全的做法，因为攻击者可以绕过客户端检查。

4. XSS防护方案

4.1 输入过滤

服务器端应严格过滤用户输入，去除或转义所有不安全的字符。可以通过白名单的方式，确保只允许合法的字符输入。

代码示例：

public String filterInput(String input) {return input.replaceAll("[<>]", ""); // 简单的过滤示例
}

4.2 输出编码

对所有动态生成的HTML内容进行输出编码，可以使用HtmlUtils.htmlEscape()或第三方库，如OWASP Java Encoder。

代码示例：

String safeContent = HtmlUtils.htmlEscape(userInput);

4.3 配置 Spring Security 的 HTTP 头部

CSP是一种浏览器安全机制，通过限制页面中可以执行的脚本，进一步防止XSS攻击。可以在HTTP响应头中配置CSP策略。

Spring Security 提供了对安全头部的支持，可以增强 XSS 防护，尤其是通过启用 Content-Security-Policy（CSP）和 X-XSS-Protection 等 HTTP 头部。

你可以在 HttpSecurity 中配置安全头部来减少 XSS 攻击的风险：

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.context.annotation.Bean;@EnableWebSecurity
public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.headers()// 启用X-XSS-Protection头部，阻止浏览器加载XSS攻击的页面.xssProtection().block(true).and()// 启用Content-Security-Policy头部，指定允许的内容源.contentSecurityPolicy("script-src 'self'; object-src 'none';");http.authorizeRequests().anyRequest().authenticated();return http.build();}
}

X-XSS-Protection 头部：启用浏览器的 XSS 过滤机制（注意，一些现代浏览器已逐渐弃用此头部）。
Content-Security-Policy (CSP) 头部：定义允许的内容源，防止恶意脚本加载。

4.4 验证码防护

对于可能被攻击的表单或重要操作（如登录、评论），引入验证码可以有效防止自动化的XSS攻击脚本。

4.5 统一处理：使用Spring的过滤器

在Spring应用中，使用过滤器（Filter）是一个常见的方式，能够拦截所有HTTP请求，在请求到达控制器之前对请求数据进行统一的XSS防护处理。

实现步骤

创建XSS过滤器类
我们可以创建一个自定义的XSSFilter来拦截所有请求，并在其中对请求中的参数进行转义或过滤。

代码示例：

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import java.io.IOException;public class XSSFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {// 初始化过滤器配置}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)throws IOException, ServletException {// 对请求参数进行XSS转义XSSRequestWrapper xssRequestWrapper = new XSSRequestWrapper(request);// 继续请求链chain.doFilter(xssRequestWrapper, response);}@Overridepublic void destroy() {// 销毁时的清理工作}
}

创建XSSRequestWrapper类
这个类是对ServletRequest的包装，用于对请求中的所有参数进行过滤或转义。

代码示例：

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.springframework.web.util.HtmlUtils;public class XSSRequestWrapper extends HttpServletRequestWrapper {public XSSRequestWrapper(HttpServletRequest request) {super(request);}@Overridepublic String getParameter(String name) {String value = super.getParameter(name);return HtmlUtils.htmlEscape(value); // 转义HTML特殊字符}@Overridepublic String[] getParameterValues(String name) {String[] values = super.getParameterValues(name);if (values == null) {return null;}String[] escapedValues = new String[values.length];for (int i = 0; i < values.length; i++) {escapedValues[i] = HtmlUtils.htmlEscape(values[i]);}return escapedValues;}
}

注册过滤器
将自定义的XSSFilter过滤器注册到Spring应用中，这样可以确保所有请求都经过XSS过滤。

代码示例：

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;@Configuration
public class FilterConfig {@Beanpublic FilterRegistrationBean<XSSFilter> xssFilterRegistrationBean() {FilterRegistrationBean<XSSFilter> registrationBean = new FilterRegistrationBean<>();registrationBean.setFilter(new XSSFilter());registrationBean.addUrlPatterns("/*");  // 拦截所有URLreturn registrationBean;}
}

通过这种方式，XSS防护被统一处理，开发者无需在每个控制器中显式调用转义函数。这种方式简化了代码，并确保任何输入都经过过滤器的处理。

4.6 统一处理：使用Spring的全局拦截器

除了过滤器，Spring的拦截器（Interceptor）也是一种常用的方式。拦截器通常用于对请求进行全局处理，例如在进入控制器之前对数据进行处理。

实现步骤

创建XSS拦截器类
拦截器与过滤器类似，但是它工作在Spring MVC框架的处理链中。我们可以通过实现HandlerInterceptor接口来创建一个全局XSS拦截器。

代码示例：

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.util.HtmlUtils;public class XSSInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)throws Exception {// 获取请求中的参数并进行XSS转义request.setAttribute("escapedQuery", HtmlUtils.htmlEscape(request.getParameter("query")));return true;}
}

配置拦截器
在Spring Boot中，我们可以通过配置类来注册拦截器。

代码示例：

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册XSS拦截器registry.addInterceptor(new XSSInterceptor()).addPathPatterns("/**");}
}

4.7 比较：过滤器 vs 拦截器

过滤器：工作在Servlet层面，适用于对所有HTTP请求进行预处理，无论是否进入Spring MVC处理器。过滤器通常用于对请求数据进行统一处理，适合对所有请求参数的统一安全处理。
拦截器：工作在Spring MVC处理链中，更适合与Spring框架的集成，可以轻松获取控制器层面的信息，适合应用逻辑的统一处理。

两者在实际应用上都能实现类似的功能，选择使用过滤器还是拦截器，取决于应用的架构设计。如果需要对所有请求统一处理，过滤器是更好的选择；而如果只需对Spring MVC请求做处理，拦截器会更加灵活。

4.8 通过统一异常处理的方式防护XSS

除了拦截器和过滤器，Spring还提供了全局异常处理的机制，通过@ControllerAdvice可以捕获和处理所有控制器中的异常，这也是一种处理非法输入和异常情况的统一方式。

代码示例：

import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.servlet.ModelAndView;@ControllerAdvice
public class GlobalExceptionHandler {@ExceptionHandler(IllegalArgumentException.class)public ModelAndView handleIllegalArgumentException(IllegalArgumentException e) {// 统一处理非法输入ModelAndView mav = new ModelAndView();mav.addObject("message", "非法输入检测到: " + e.getMessage());mav.setViewName("error");return mav;}
}

通过这种方式，当检测到非法输入时，可以通过抛出异常来触发统一的异常处理逻辑，实现对XSS攻击的防护。