课程名称:SpringBoot 在线协同办公小程序开发 全栈式项目实战
课程章节:抵御脚本攻击
课程讲师: 神思者
课程内容:
一、XSS攻击的危害
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
例如用户在发帖或者注册的时候,在文本框中输入<script>alert('xss')</script>
,这段代码如果不经过转义处理,而直接保存到数据库。将来视图层渲染HTML的时候,把这段代码输出到页面上,那么<script>
标签的内容就会被执行。
通常情况下,我们登陆到某个网站。如果网站使用HttpSession
保存登陆凭证,那么SessionId
会以Cookie
的形式保存在浏览器上。如果黑客在这个网页发帖的时候,填写的JavaScript
代码是用来获取Cookie
内容的,并且把Cookie
内容通过Ajax发送给黑客自己的电脑。于是只要有人在这个网站上浏览黑客发的帖子,那么视图层渲染HTML页面,就会执行注入的XSS脚本,于是你的Cookie
信息就泄露了。黑客在自己的电脑上构建出Cookie
,就可以冒充已经登陆的用户。
即便很多网站使用了JWT,登陆凭证(Token令牌
)是存储在浏览器上面的。所以用XSS脚本可以轻松的从Storage中提取出Token
,黑客依然可以轻松的冒充已经登陆的用户。
所以避免XSS攻击最有效的办法就是对用户输入的数据进行转义,然后存储到数据库里面。等到视图层渲染HTML页面的时候。转义后的文字是不会被当做JavaScript执行的,这就可以抵御XSS攻击。
二、导入依赖库
因为Hutool
工具包带有XSS转义的工具类,所以我们要导入Hutool
,然后利用Servlet
规范提供的请求包装类,定义数据转义功能。
三、定义请求包装类
我们平时写Web项目遇到的HttpServletRequest
,它其实是个接口。如果我们想要重新定义请求类,扩展这个接口是最不应该的。因为HttpServletRequest
接口中抽象方法太多了,我们逐一实现起来太耗费时间。所以我们应该挑选一个简单一点的自定义请求类的方式。那就是继承HttpServletRequestWrapper
父类。
JavaEE只是一个标准,具体的实现由各家应用服务器厂商来完成。比如说Tomcat
在实现Servlet
规范的时候,就自定义了HttpServletRequest
接口的实现类。同时JavaEE规范还定义了HttpServletRequestWrapper
,这个类是请求类的包装类,用上了装饰器模式。不得不说这里用到的设计模式真的非常棒,无论各家应用服务器厂商怎么去实现HttpServletRequest
接口,用户想要自定义请求,只需要继承HttpServletRequestWrapper
,对应覆盖某个方法即可,然后把请求传入请求包装类,装饰器模式就会替代请求对象中对应的某个方法。用户的代码和服务器厂商的代码完全解耦,我们不用关心HttpServletRequest
接口是怎么实现的,借助于包装类我们可以随意修改请求中的方法。同学们,如此优雅的代码设计,有时间你真该认真学习设计模式。
四、创建过滤器,把所有请求对象传入包装类
为了让刚刚定义的包装类生效,我们还要在com.example.emos.wx.config.xss
中创建XssFilter
过滤器。过滤器拦截所有请求,然后把请求传入包装类,这样包装类就能覆盖所有请求的参数方法,用户从请求中获得数据,全都经过转义。
五、给主类添加注解
给SpringBoot主类添加@ServletComponentScan
注解。
六、测试拦截XSS脚本
把
TestSayHelloForm
中的正则表达式验证给去掉,因为name
字段只可以是中文,所以无法接收XSS脚本。在Swagger中,执行
sayHello()
方法,向name属性传入<script>HelloWorld</script>
,然后观察返回的结果
课程收获:
今天课程开始初步进入SpringBoot 在线协同办公小程序开发 全栈式项目实战的学习,工欲善其事必先利其器,我们见天开始进行开发环境的准备,今天创建了SSH连接以用来准备接下来一个月的开发,希望打卡可以坚持下去,提升下自己的实战能力和全栈式项目的了解和开发。