51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

发现 XSS 漏洞?别急,用这招 SpringBoot 3.3 技巧轻松搞定!

作者:编程疏影
开发 前端
我们创建了一个包含完整 XSS 防护的 Spring Boot 应用。自定义注解、过滤器和参数解析器的结合使我们的解决方案灵活且易于扩展。此方案不仅能有效防止 XSS 攻击,还能保证应用的可维护性和代码的整洁度。

在 Web 开发中,XSS(跨站脚本攻击)是一类常见且危险的漏洞。本文将介绍如何在 Spring Boot 3.3 项目中使用自定义注解和过滤器来防止 XSS 攻击,并结合前端使用 Thymeleaf 模板引擎、JavaScript 及 Bootstrap 实现完整的防护方案。首先,让我们了解一下 XSS 攻击的类型、原理及示例。

XSS 攻击类型及原理

XSS 攻击可以分为以下三类:

  1. 存储型 XSS(Stored XSS):攻击者将恶意脚本存储在目标服务器上。例如,通过提交带有恶意脚本的表单,服务器在后续响应中将其返回给客户端并执行。
  2. 反射型 XSS(Reflected XSS):恶意脚本作为请求的一部分被发送到服务器,然后在响应中返回并执行。这种攻击通常通过带有恶意脚本的 URL 来实现。
  3. DOM 型 XSS(DOM-based XSS):攻击者通过修改网页的 DOM 环境(例如 JavaScript 操作 DOM)来执行恶意脚本。这种攻击利用的是客户端环境而非服务器。

运行效果:

图片图片

若想获取项目完整代码以及其他文章的项目源码,且在代码编写时遇到问题需要咨询交流,欢迎加入下方的知识星球。

攻击示例

存储型 XSS 示例:

<form action="/submit" method="post">
       <input type="text" name="comment" value="<script>alert('XSS');</script>">
       <button type="submit">Submit</button>
   </form>

反射型 XSS 示例:

http://example.com/search?query=<script>alert('XSS');</script>

DOM 型 XSS 示例:

<div id="content"></div>
   <script>
       var unsafeContent = '<script>alert("XSS");<\/script>';
       document.getElementById('content').innerHTML = unsafeContent;
   </script>

这些攻击利用了网页对用户输入缺乏适当的验证和过滤,从而使得恶意代码得以执行。接下来,本文将介绍如何在 SpringBoot 项目中实现 XSS 防护。

项目配置

首先,我们创建一个 Spring Boot 项目。这里是项目的基本结构和配置:

项目结构:

src
├── main
│   ├── java
│   │   └── com
│   │       └── icoderoad
│   │           └── xss_protection
│   │               ├── XssProtectionApplication.java
│   │               ├── annotation
│   │               │   └── XssProtection.java
│   │               ├── config
│   │               │   └── WebConfig.java
│   │               ├── controller
│   │               │   └── XssController.java
│   │               ├── filter
│   │               │   └── XssFilter.java
│   │               └── util
│   │                   └── XssUtil.java
│   ├── resources
│   │   ├── templates
│   │   │   └── index.html
│   │   ├── application.yml
├── pom.xml
pom.xml 配置
<?xml versinotallow="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>3.3.3</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.icoderoad</groupId>
	<artifactId>xss-protection</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>xss-protection</name>
	<description>Demo project for Spring Boot</description>
	
	<properties>
		<java.version>17</java.version>
	</properties>
	<dependencies>
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
		<dependency>
		    <groupId>org.apache.commons</groupId>
		    <artifactId>commons-text</artifactId>
		    <version>1.12.0</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>
application.yml 配置
server:
  port: 8080
spring:
  thymeleaf:
    cache: false
logging:
  level:
    root: INFO
    
xss:
  enabled: true
  type: annotation  # 两种处理类型 annotation 或者 filter

实现自定义注解

我们将定义一个自定义注解,用于标记需要进行 XSS 过滤保护的控制器方法参数。

创建注解 @XssProtection
package com.icoderoad.xss_protection.annotation;

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

// 用于标记需要 XSS 保护的方法参数
@Documented
@Target({ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
public @interface XssProtection {
}

自定义注解处理

为了确保我们的注解生效,我们需要在控制器方法参数上正确处理 @XssProtection 注解。一个有效的方法是通过自定义参数解析器。

自定义参数解析器 XssRequestParameterResolver
package com.icoderoad.xss_protection.config;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.MethodParameter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;

import com.icoderoad.xss_protection.annotation.XssProtection;
import com.icoderoad.xss_protection.util.XssUtil;

@Component
public class XssRequestParameterResolver implements HandlerMethodArgumentResolver {

    private static final Logger logger = LoggerFactory.getLogger(XssRequestParameterResolver.class);

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        boolean hasAnnotation = parameter.hasParameterAnnotation(XssProtection.class);
        logger.debug("supportsParameter: {} has annotation: {}", parameter.getParameterName(), hasAnnotation);
        return hasAnnotation;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
    	String paramName = parameter.getParameterName();
        String paramValue = webRequest.getParameter(paramName);
        if (paramValue != null) {
            return XssUtil.sanitize(paramValue);
        }
        return null;
    }
}

创建过滤器

接下来,我们实现一个过滤器,读取请求的内容,并进行 XSS 清理。

创建过滤器 XssFilter
package com.icoderoad.xss_protection.filter;

import java.io.IOException;

import com.icoderoad.xss_protection.util.XssUtil;

import jakarta.servlet.Filter;
import jakarta.servlet.FilterChain;
import jakarta.servlet.FilterConfig;
import jakarta.servlet.ServletException;
import jakarta.servlet.ServletRequest;
import jakarta.servlet.ServletResponse;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletRequestWrapper;

public class XssFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {}

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        XssHttpServletRequestWrapper xssRequestWrapper = new XssHttpServletRequestWrapper(httpServletRequest);
        chain.doFilter(xssRequestWrapper, response);
    }

    @Override
    public void destroy() {}

    private static class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
        public XssHttpServletRequestWrapper(HttpServletRequest request) {
            super(request);
        }

        @Override
        public String getParameter(String name) {
            String parameter = super.getParameter(name);
            return parameter == null ? null : XssUtil.sanitize(parameter);
        }

        @Override
        public String[] getParameterValues(String name) {
            String[] values = super.getParameterValues(name);
            if (values != null) {
                for (int i = 0; i < values.length; i++) {
                    values[i] = XssUtil.sanitize(values[i]);
                }
            }
            return values;
        }
    }
}

配置过滤器

在 SpringBoot 配置类中注册该过滤器或参数解析器:

配置类 WebConfig
package com.icoderoad.xss_protection.config;

import java.util.List;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.autoconfigure.condition.ConditionalOnProperty;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import com.icoderoad.xss_protection.filter.XssFilter;

import jakarta.servlet.Filter;

@Configuration
public class WebConfig implements WebMvcConfigurer {

	@Value("${xss.enabled}")
	private boolean xssEnabled;

	@Value("${xss.type}")
	private String xssType;
	
	@Autowired
	private XssRequestParameterResolver xssRequestParameterResolver;


	@Bean
	@ConditionalOnProperty(name = "xss.type", havingValue = "filter")
	public Filter xssFilter() {
		return new XssFilter();
	}
	

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> resolvers) {
    	if (xssEnabled && "annotation".equalsIgnoreCase(xssType)) {
    		resolvers.add(xssRequestParameterResolver); // 优先级最高
    	}
    }

	@Bean
	@ConditionalOnProperty(name = "xss.type", havingValue = "filter")
	public FilterRegistrationBean<XssFilter> xssFilterRegistrationBean() {
		FilterRegistrationBean<XssFilter> registrationBean = new FilterRegistrationBean<>();
		registrationBean.setFilter(new XssFilter());
		registrationBean.addUrlPatterns("/*");
		return registrationBean;
	}

}

创建控制器

创建一个简单的控制器来演示我们的 XSS 保护方案:

控制器类 XssController
package com.icoderoad.xss_protection.controller;


import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PostMapping;

import com.icoderoad.xss_protection.annotation.XssProtection;

@Controller
public class XssController {

    @GetMapping("/")
    public String index() {
        return "index";
    }

    @PostMapping("/submit")
    public String submit( @XssProtection String input, Model model) {
        model.addAttribute("input", input);
        return "index";
    }
}

创建前端页面

创建一个 Thymeleaf 模板页面,用于展示和提交数据。

index.html 页面
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>XSS 防护示例</title>
    <link href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css" rel="stylesheet"/>
    <style>    
      body {
        padding-top: 20px;
    }
    </style>
</head>
<body>
<div class="container">
    <h2 class="text-center">XSS 防护示例</h2>
    <form action="/submit" method="post" class="mt-4">
        <div class="form-group">
            <label for="input">请输入文本:</label>
            <input type="text" class="form-control" id="input" name="input" required>
        </div>
        <button type="submit" class="btn btn-primary">提交</button>
    </form>
    <div class="mt-4">
        <h4>提交的文本:</h4>
        <p th:text="${input}"></p>
    </div>
</div>
<script src="https://code.jquery.com/jquery-3.5.1.slim.min.js"></script>
<script src="https://cdn.jsdelivr.net/npm/popper.js@1.16.1/dist/umd/popper.min.js"></script>
<script src="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/js/bootstrap.min.js"></script>
</body>
</html>

代码详细讲解

  1. 自定义注解:注解 @XssProtection 用于标记我们希望保护的控制器参数。此注解没有实际功能,但在参数解析器中将使用它来判断哪些参数需要进行 XSS 过滤。
  2. 过滤器:XssFilter 过滤器会以 XssHttpServletRequestWrapper 包装请求对象。这一包装对象的作用是读取请求体并进行 XSS 清理。我们使用了 Apache Commons Text 提供的方法来转义 HTML 字符,防止恶意脚本注入。
  3. 参数解析器:XssProtectionResolver 自定义参数解析器在控制器方法被调用前处理标记有 @XssProtection 注解的参数。参数解析器使用 StringEscapeUtils.escapeHtml4 方法对参数值进行 HTML 转义,去除潜在的 XSS 攻击向量。
  4. 前端页面:前端页面使用 Thymeleaf 模板引擎,结合 Bootstrap 框架来创建一个简单的展示页面。用户提交的文本会被展示在页面上,且变化后的内容会通过 XssProtectionResolver 进行 XSS 处理后再显示。
  5. 配置类:在配置类中注册自定义过滤器和参数解析器,确保它们在项目启动时生效。
1. 正常文本
输入: Hello World
期望输出: Hello World
说明: 正常文本应保持不变,因为它不包含任何潜在的恶意内容。
2. 简单的 HTML 标签
输入: <b>Hello</b>
期望输出: <b>Hello</b>
说明: 为了防止 HTML 注入,将标签内容转义为实体,确保其不会被浏览器解释为实际的 HTML。
3. JavaScript 注入
输入: <script>alert('XSS');</script>
期望输出: <script>alert('XSS');</script>
说明: 转义 <script> 标签及其内容,防止脚本注入并在浏览器中执行。
4. URL 注入
输入: <a href="http://example.com">Click me</a>
期望输出: <a href="http://example.com">Click me</a>
说明: 链接内容应当被转义,防止恶意链接注入并自动执行。
5. 恶意属性
输入: <img src="x" notallow="alert('XSS')">
期望输出: <img src="x" notallow="alert('XSS')">
说明: 移除或转义潜在的恶意属性,如 onerror,以防止利用属性注入执行恶意代码。

总结

通过上述配置,我们创建了一个包含完整 XSS 防护的 Spring Boot 应用。自定义注解、过滤器和参数解析器的结合使我们的解决方案灵活且易于扩展。此方案不仅能有效防止 XSS 攻击,还能保证应用的可维护性和代码的整洁度。

责任编辑:武晓燕 来源: 路条编程
SpringXSS技巧
相关推荐
微软SharePoint发现高危XSS漏洞
该漏洞可以通过浏览器被利用,使黑客通过漏洞程序执行任意的JavaScript代码。该漏洞的具体细节已经被公布,微软预计在本周末发布的安全报告上将提供补丁修复这一漏洞。

2010-04-30 15:45:09

技巧轻松搞定Linq插入数据问题
本文介绍了一种Linq插入数据的典型问题与它的解决办法,如果大家有更好的方法,也欢迎拿出来一起讨论。

2009-09-13 20:28:38

Linq插入数据
四大技巧轻松搞定云容器
云容器短期内不会消失。要采纳并保持你的容器高效运行,请遵循以下四点建议。

2016-03-17 17:35:15

云容器虚拟化管理Docker
Pdf转WordPython轻松搞定
大家在日常的工作学习过程中,都会遇到一个问题就是将pdf中的文本内容转化为word的形式,也就是从只读变成可读写的形式。面对这种情况,大家大都采用网上的工具,但是网上的工具良莠不齐,很难达到我们的需求。

2020-05-11 10:59:02

PythonWord工具
我是如何发现一枚Cisco XSS漏洞
我在Cisco的IOSSoftwareChecker中找到一枚XSS(跨站脚本)漏洞,漏洞本身并不复杂,在此与大家分享漏洞发现的整个过程。

2015-01-04 15:36:52

XSS漏洞XSS
在谷歌财经发现一个XSS漏洞,拿5千美元奖励
这个问题出现在GoogleFinance中(google.comfinance)。它能欺骗Javascript的走势图应用(源文件为financefsfeopt.js),让其载入一个托管在外部域上的文件,然后通过eval()方法将该文件内容转换成Javascript代码并执行。

2013-08-07 10:00:03

XSS谷歌
Android轻松搞定流动布局
简单来说Flexbox是属于web前端领域CSS的一种布局方案,是2009年W3C提出了一种新的布局方案,可以响应式地实现各种页面布局,并且ReactNative也是使用的Flex布局。

2017-05-11 15:01:43

Androidweb布局
轻松搞定Linux日志处理
现在很多人把Linux配置成了一个开发工具,而用Windows来娱乐。你是Linux的使用者么?本文为你讲解Linux日志处理方法,希望你能掌握Linux日志处理。

2009-12-11 15:37:58

Linux日志处理
Python神器:Python解析HTML轻松搞定网页数据
本文介绍了如何使用Python来解析HTML,介绍了三种主要的HTML解析方法:正则表达式、BeautifulSoup和lxml。每种方法都有其适用的场景和优劣势。

2024-05-06 08:56:31

PythonHTML正则表达式
PyAutoGUI,轻松搞定图片上传!
开始用的阿里云的免费对象存储oss,但又是登录又是设置读写权限的,稀碎的操作令人疲惫。能不能简单点,自动上传,并且马上能得到文件的网络地址。于是开始探索轻量级的方案,手动给自己搞一个,

2022-09-16 08:04:25

阿里云权限网络
这招监听 Vue 的插槽变化
最近,每当组件的内容(插槽、子组件等)发生变化时,我需要更新它的状态。对于上下文,它是一个表单组件,用于跟踪其输入的有效性状态。

2021-09-03 08:23:21

Vue 插槽子组件
XSS网络安全漏洞
为了防范XSS攻击,开发人员应该对用户输入进行严格的过滤和转义,避免直接将未经处理的用户输入插入到网页中。

2023-12-31 09:06:08

SpringBoot + Sharding Sphere:轻松搞定数据加解密,支持字段级!
当需要对某些数据表字段进行脱敏处理的时候,可以采用ApacheShardingSphere框架快速实现。但是有个细节很容易遗漏,那就是字段类型,例如salary字段,根据常规,很容易想到使用数字类型,但是却不是,要知道加密之后的数据都是一串乱码,数字类型肯定是无法存储字符串的,因此在定义的时候,这个要留心一下。

2024-07-17 08:29:20

SpringBoot 整合 JPA 轻松搞定数据表增删改查!
为了解决重复的编写数据操作语句,开发社区诞生了许多优秀的ORM框架,比如Hibernate、OpenJPA、TopLink等,其中Hibernate相对较为知名,在Hibernate框架的帮助下,开发者可以轻松的以操作Java实体的方式来完成对数据表的“增删改查”操作,能极大的简化代码编写的工作量。

2024-08-29 08:58:30

JPA编写数据操
企业管理技巧分享:六步轻松搞定子网划分
子网划分的内容,在学校里学的很辛苦,因为教科书上写的太过于高深。工作以后,实际接触过几个项目,也跟一些前辈沟通过,觉得子网划分没有我们想象中的难。一般只要通过六个步骤就可以设计出一个合理的子网划分方案。

2009-04-27 11:17:51

网络管理子网划分
ECShop 4.0反射型XSS漏洞分析
Ecshop是国内的一款开源的电商框架,在国内应用较为广泛,当前新版本为4.0.0,最近对其代码进行了简单的分析,发现可以绕过其filter触发XSS。

2019-03-25 07:27:14

XSS漏洞Ecshop
教你Python自制拼图小游戏,轻松搞定熊孩子
本文主要为大家详细介绍了python实现拼图小游戏,文中还有示例代码介绍,感兴趣的小伙伴们可以参考一下。

2020-12-07 16:20:53

Python 开发编程语言
教你Postman轻松搞定接口测试
作为一个接口自动化测试工具,Postman的大名,一直是在耳边围绕,目前只要是测试工程师,技能那一栏必然会有“接口测试经验,精通Postman等接口测试工具”。

2020-08-23 12:27:39

测试接口技巧
轻松搞定Oracle用户密码修改
服务器更换、数据库移植都会涉及到Oracle用户密码的修改操作,这里给出几段简单的代码,帮您轻松搞定Oracle用户密码的修改操作。

2009-10-23 17:51:51

Oracle用户密码
几招轻松搞定JVM内存设置
你知道如何进行JVM内存设置吗,这里向大家描述一下,设置JVM内存的参数有四个:分别是Xss每个线程的Stack大小;XmxJavaHeap最大值;XmsJavaHeap初始值和XmnJavaHeapYoung区大小。

2010-09-17 14:04:14

JVM内存设置
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服