亲宝软件园·资讯

展开

SpringBoot防止XSS注入攻击 SpringBoot怎样防止XSS注入攻击详解

maybelence 人气:12
想了解SpringBoot怎样防止XSS注入攻击详解的相关内容吗,maybelence在本文为您仔细讲解SpringBoot防止XSS注入攻击的相关知识和一些Code实例,欢迎阅读和指正,我们先划重点:springboot防止xss,下面大家一起来学习吧。

什么是 XSS 攻击

在跨站脚本(XSS)攻击中,攻击者可以在受害者的浏览器中执行恶意脚本。这种攻击通常是通过在网页中插入恶意代码 (JavaScript) 来完成的。攻击者在使用攻击后一般能够:

如果被攻击的用户在应用程序中具有更高的权限。攻击者可以完全控制应用程序,并破坏所有用户及其数据。

XSS 攻击类型

常见的 XSS 攻击主要有三种:存储型 XSS 攻击,反射型 XSS 攻击和 DOM-based 型 XSS 攻击。

如何阻止 XSS 注入

下面是一个简单的POST方法,模拟创建 Book 并将其保存到数据库中。

@RestController
@RequestMapping("/books")
public class BookController {

    @Autowired
    IBookService bookService;

    @PostMapping
    public void saveBook(@RequestBody Book book) {
        bookService.save(book);
    }
}

我们可以在保存的时候,对 type 值做一段 js 注入,来模拟存储型 XSS 攻击。

现在我们来请求一下,这里的 JavaScript 只会 alert 一个语句,但这种漏洞就有可能被别人利用来注入一些其他的恶意代码:

X-XSS-Protection 响应头

一些浏览器内置了对过滤反射型 XSS 攻击的支持。在一定程度上有助于 XSS 保护。 我们需要在 HTTP 响应头添加如下内容确保已启用该功能,并指示浏览器在检测到 XSS 攻击时进行阻止。

X-XSS-Protection: 1; mode=block

如果你的项目引入了 Spring Security ,那么默认情况下就会自动添加此标头。

添加Content-Security-Policy响应标头

兼容 内容安全策略 浏览器将仅执行从我们的“允许”列出的域接收的源文件中加载的脚本,而忽略所有其他脚本,例如内联脚本。我们可以添加以下标头来启用浏览器的内容安全策略功能。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf().disable()//为了简化示例并更清楚地说明XSS注入,此处禁用了CSRF保护。真实情况请勿使用。
                .authorizeRequests().anyRequest().authenticated()
                .and().httpBasic()
                .and()
                .headers().contentSecurityPolicy("script-src 'self'");
    }
}

以下是所有支持 CSP 的浏览器:

入参验证

我们知道该字段仅需要中文英文和数字字符,因此我们可以使用 Spring 的 Validator 在字段中添加@Pattern注解。

    @NotNull
    @Pattern(message="种类只能支持中文英文数字", regexp = "[\u4e00-\u9fa5_a-zA-Z0-9]+")
    private String type;

然后将 @Valid 添加到接收 Book 的方法中,这样当发生请求时就会自动验证:

@PostMapping
public void saveBook(@RequestBody @Valid Book book) {
    bookService.save(book);
}

客户端

现在主流的几种前端框架,像 Angular 、 React 、 Vue 也可以避免传统开发可能带来的问题:

总结

防止 XSS 漏洞主要涉及以下措施的组合:

加载全部内容

相关教程
猜你喜欢
用户评论