最近,有个项目突然接到总部的安全漏洞报告,查看后知道是XSS攻击。
在页面上有个隐藏域:
<input type = "hidden" id = "action" value = "${action}"/>
当前页面提交到Controller时,未对action属性做任何处理,直接又回传到页面上
如果此时action被用户恶意修改为:***"<script>alert(1);</script>"***
此时当页面刷新时将执行alert(1),虽然错误不严重,但是任何安全隐患都应收到重视。
解决思路:
该问题是由于对用户输入数据(隐藏域)未做任何处理,导致非法数据被执行,那么解决该问题的核心思路就是对用户数据做严格处理,对任何页面传递的数据都不应过分信任,处理方法如下:
1.在页面上对action参数做转义处理,${action?html},但是此种方法只能对单个属性有效,如果此时项目处于维护期且有大量此种问题,修复的难度较大且不便于统一维护
2.在服务端对用户数据做转移处理,此时需要创建一个filter,对request进行二次封装,核心代码如下:
import java.util.HashMap; import java.util.Map; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRequestWrapper; import org.apache.commons.lang3.StringEscapeUtils; public class XssRequestWrapper extends HttpServletRequestWrapper { public XssRequestWrapper(HttpServletRequest request) { super(request); } public Map getParameterMap() { Map newMap = new HashMap(); Map map = super.getParameterMap(); if (!map.isEmpty()) { for (Object key : map.values()) { Object value = map.get(key); if (value != null) { value = StringEscapeUtils.escapeHtml4(value.toString()); } newMap.put(key, value); } } return newMap; } }
XssRequestWrapper是对request进行的二次封装,最核心的作用是对request中的参数进行转义处理(需要用到commons-lang3.jar)
定义filter,核心的代码如下:
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request; chain.doFilter(new XssRequestWrapper(req), response); }
在web.xml中配置指定请求进行过滤,可以有效防止xss攻击
以上方法没有解决本质问题,最本质的问题就是在编写代码时严禁将页面传递的参数不做任何处理再次返回到页面!