XSS攻击防御篇

前言

 

上篇文章中提到了 XSS 攻击，而且，也从几个方面介绍了 XSS 攻击带来的严重影响。那么，这篇文章中，主要是针对 XSS 攻击做一个基本的防御，看看可以通过几种方式来修复这个特别常见的安全漏洞。

 

由于公司用的是 SpringMVC，因此，这次就主要基于 SpringMVC 来解决这些漏洞。当然，其实这些解决方案都是大同小异，对于什么环境来说根本无所谓。了解了原理，什么环境、什么语言都可以运用自如了。废话就不多说了，直接上解决方案。

 

 

解决方案

 

• 方案一

 

方案一主要是利用了 SpringMVC 的特性，使用 SpringMVC 内置的方法 defaultHtmlEscape，在 web.xml 中配置上 context-param，然后在 Form 中加入 spring 的标签，具体配置如下。

 

<span style="font-family:Comic Sans MS;">web.xml

<context-param>
   <param-name>defaultHtmlEscape</param-name>
   <param-value>true</param-value>
</context-param>

Forms

<spring:htmlEscape defaultHtmlEscape="true" /></span><span style="font-family:微软雅黑;">
</span>

• 方案二

 

第二种方案也是借助外力，主要是加入一个第三方的 jar 包，然后使用第三方组件给提供的 api，我们通过调用这些 api 可以避免 XSS 攻击带来的危险。具体步骤如下。

 

首先，添加第三方的组件包，commons-lang-2.5.jar，可以手动下载，也可以使用 maven 配置依赖，管理 jar，推荐使用后者。

 

然后，在后台调用这些函数，StringEscapeUtils.escapeHtml(string)；StringEscapeUtils.escapeJavaScript(string)；StringEscapeUtils.escapeSql(string)；

 

最后，在前台的 js 调用 escape 即可。

 

 

• 方案三

 

接下来，主要讲一下第三种方案，因为在第三种方案中，我们要自己写一个 Filter，使用 Filter 来过滤浏览器发出的请求。对每个 post 请求的参数过滤一些关键字，替换成安全的，例如：< > ' " \ / # & 。方法是实现一个自定义的 HttpServletRequestWrapper，然后在 Filter 里面调用它，替换掉 getParameter 函数即可，具体步骤如下。

 

首先，在后台添加一个 XssHttpServletRequestWrapper 类，代码如下。

 

<span style="font-family:Comic Sans MS;">package com.sic.web.beans;

import java.util.Enumeration;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    public XssHttpServletRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }
    public String[] getParameterValues(String parameter) {
      String[] values = super.getParameterValues(parameter);
      if (values==null)  {
                  return null;
          }
      int count = values.length;
      String[] encodedValues = new String[count];
      for (int i = 0; i < count; i++) {
                 encodedValues[i] = cleanXSS(values[i]);
       }
      return encodedValues;
    }
    public String getParameter(String parameter) {
          String value = super.getParameter(parameter);
          if (value == null) {
                 return null;
                  }
          return cleanXSS(value);
    }
    public String getHeader(String name) {
        String value = super.getHeader(name);
        if (value == null)
            return null;
        return cleanXSS(value);
    }
    private String cleanXSS(String value) {
        value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
        value = value.replaceAll("script", "");
        return value;
    }

} </span>

 

然后，同样在后台添加一个过滤器 XssFilter，具体代码如下。

 

<span style="font-family:Comic Sans MS;">package com.sic.web.beans;

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class XssFilter implements Filter {
    FilterConfig filterConfig = null;

    public void init(FilterConfig filterConfig) throws ServletException {
        this.filterConfig = filterConfig;
    }

    public void destroy() {
        this.filterConfig = null;
    }

    public void doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain) throws IOException, ServletException {
        chain.doFilter(new XssHttpServletRequestWrapper(
                (HttpServletRequest) request), response);
    }
}</span>

 

最后，在 web.xml 里面配置一下，所有请求的 getParameter 会被替换，如果参数里面含有敏感词会被替换掉。

 

<span style="font-family:Comic Sans MS;"><filter>
     <filter-name>XssSqlFilter</filter-name>
     <filter-class>com.ibm.web.beans.XssFilter</filter-class>
</filter>
<filter-mapping>
     <filter-name>XssSqlFilter</filter-name>
     <url-pattern>/*</url-pattern>
     <dispatcher>REQUEST</dispatcher>
</filter-mapping></span>

到这里，就基本完成了一个 XSS 攻击防御的隔离层。每一次请求中的危险字符、敏感信息都会被过滤掉，当然，如果你需要过滤的字符有很多，你还可以在 cleanXSS 方法中补充，直到你满意为止。当然，需要注意的是，一些必要的字符不能被过滤，否则就改变了用户的真实数据。

 

 

一个实例

 

下面提供了一个登录页面的攻击实例，你可以通过下面的方式进行简单的测试，看看你的网站是否有这样的问题，当然，这只是最简单的，那些测试工具肯定要比这样的例子专业的多。很多隐藏的漏洞都能够被测试出来。

 

假设登录页面有个输入用户名和密码的输入框，可以有很多 XSS / CSRF / 注入钓鱼网站 / SQL注入等的攻击手段，例如：

 

<span style="font-family:Comic Sans MS;">输入用户名 : >"'><script>alert(1779)</script>
输入用户名: usera>"'><img src="javascript:alert(23664)">
输入用户名: "'><IMG SRC="/WF_XSRF.html--end_hig--begin_highlight_tag--hlight_tag--">
输入用户名: usera'"><iframe src=http://demo.testfire.net--en--begin_highlight_tag--d_highlight_tag-->

密码随意输入。</span>

结束语

 

到这里，XSS 攻击的防御措施就写完了，而且，需要说明的一点是，这种使用 Filter 的方式，不仅仅可以防御 XSS 攻击，还可以防御 CSRF 攻击，SQL 注入等安全问题。

 

好了，就先到这吧，我也需要去充电了。明天继续修复我那未完的漏洞。Bugs！！！