XSS攻击简单介绍

之前由我负责维护的一个项目被检测出存在可能被XSS攻击的漏洞。

吓得我赶紧恶补了下XSS。

XSS，全称为Cross Site Script，跨站脚本攻击，是WEB程序中一种常见的漏洞。其主要的攻击手段是在在利用网站上的可由用户输入信息的地方，恶意注入含有攻击性的脚本，达到攻击网站或者窃取用户cookied等隐私信息的目的。

XSS漏洞主要分为两种类型，一种是Stored XSS， 另一种是反射型 XSS。

第一种举个简单的例子就是BBS网站，黑客可以利用留言的功能，发表以下内容:

<script type="text/javascript"> alert("surprise") </script>

　　对系统而言，它认为这和其他的留言一样都只是字符串。但是当有用户访问到这个页面时，浏览器会把这段留言当成html内容来解析。因此就执行了其中的js脚本。

而反射型 XSS则是利用点击链接或是提交一些内容来达到攻击的目的。

比如我有以下一个页面：

<form  name="formsearch" method="get">
        <div class="form">
           <input name="q" type="text" class="search-keyword" id="search-keyword"  />
          <button type="submit" class="search-submit blue-button">搜索</button>
        </div>
        </form>

　　当用户在input框中输入:    "<script type="text/javascript"> alert(“surperise”) " 时。他也向浏览器插入了自己的JS脚本。

　　当表单被提交时，输入的字符串被作为参数放在了URL中，传到下一个页面。

　　当下一个页面需要显示这些内容，字符串中包含的攻击脚本也就被浏览器解释了出来。

　　

　　当然这段脚本只能在自己的浏览器执行，可能没有什么攻击性，但是黑客们会想尽办法伪装页面达到攻击的目的。

　　总之，XSS攻击就是想办法让你的浏览器去执行他的脚本。

　　那么XSS攻击该如何方法呢。

　　既然是通过输入字符串达到植入脚本的目的，那么我们只要对用户输入的字符串进行一个处理就好了。

　　我们可以利用org.apache.commons.lang3.StringEscapeUtils(注：3.6版本起，用commons-text包下的StringEscapeUtils代替)这个类对输入的参数进行html转义。

　　

　　可以定义一个过滤器，然后转义HttpServletRequest中的参数值。

　　代码如下：

　　定义拦截器

 import java.io.IOException;

 import javax.servlet.Filter;
 import javax.servlet.FilterChain;
 import javax.servlet.FilterConfig;
 import javax.servlet.ServletException;
 import javax.servlet.ServletRequest;
 import javax.servlet.ServletResponse;
 import javax.servlet.http.HttpServletRequest;

 public class XSSFilter implements Filter {
     @Override
     public void init(FilterConfig filterConfig) throws ServletException {  

     }  

     @Override
     public void doFilter(ServletRequest request, ServletResponse response,
       FilterChain chain) throws IOException, ServletException {
             chain.doFilter(new XSSHttpServletRequestWrapper((HttpServletRequest) request), response);
     }  

     @Override
     public void destroy() {  

     }  

 }

由于原生的HttpServletRequest不支持你直接修改参数，因此我们定义了一个包装类，在获取参数的时候对参数进行转义。

 package com.jspxcms.core.support;

 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletRequestWrapper;

 import org.apache.commons.lang3.StringEscapeUtils;

 public class XSSHttpServletRequestWrapper extends HttpServletRequestWrapper {

     public XSSHttpServletRequestWrapper(HttpServletRequest request) {
         super(request);
     }

     @Override
     public String getHeader(String name) {
         return StringEscapeUtils.escapeHtml4(super.getHeader(name));
     }  

     @Override
     public String getQueryString() {
         return StringEscapeUtils.escapeHtml4(super.getQueryString());
     }  

     @Override
     public String getParameter(String name) {
         return StringEscapeUtils.escapeHtml4(super.getParameter(name));
     }  

     @Override
     public String[] getParameterValues(String name) {
         String[] values = super.getParameterValues(name);
         if(values != null) {
             int length = values.length;
             String[] escapseValues = new String[length];
             for(int i = 0; i < length; i++){
                 escapseValues[i] = "1";
             }
             return escapseValues;
         }
         return super.getParameterValues(name);
     }
 }

　　

　　最后我们在web.xml中配置我们的拦截器即可（将XXXX换成类的全限定名）。　

     <filter>
         <filter-name>XssEscape</filter-name>
         <filter-class>XXXXX.XSSFilter</filter-class>
     </filter>
     <filter-mapping>
         <filter-name>XssEscape</filter-name>
         <url-pattern>/*</url-pattern>
         <dispatcher>REQUEST</dispatcher>
     </filter-mapping>  

　

　　简单的XSS防御就完成了。