Web网站安全头号大敌XSS漏洞解决最佳实践

引言

XSS 是目前最普遍的 Web 应用安全漏洞，它带来的危害是巨大的，是 Web 安全的头号大敌。关键词：

• 跨站
• 脚本（JavaScript、Java、 VBScript、ActiveX、 Flash 或者 HTML）
• 注入
• 执行

1. 什么是 XSS 漏洞?

XSS 攻击：跨站脚本攻击(Cross Site Scripting)，为不和 前端层叠样式表(Cascading Style Sheets)CSS 混淆，故将跨站脚本攻击缩写为 XSS。XSS(跨站脚本攻击)是指恶意攻击者往 Web 页面里插入恶意 Script 代码，当用户浏览该页时，嵌入其中 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的。类似于 sql 注入。是目前最普遍的 Web 应用安全漏洞，也是 Web 攻击中最常见的攻击方式之一。XSS（ 跨站脚本攻击）攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、ActiveX、 Flash 或者甚至是普通的 HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和 cookie 等各种内容。

2. XSS 漏洞攻击原理及攻击手段

HTML 是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（ JSP---> 9.5 DOM 型 XSS

• 避免 .innerHTML、.outerHTML、document.write() 的使用，应使用 .textContent、.setAttribute() 等。
• Vue/React 技术栈，避免使用 v-html/dangerouslySetInnerHTML
• 尤其注意 onclick、onerror、onload、onmouseover 、eval()、setTimeout()、setInterval() 以及 a 标签的 href
• 可使用 OWASP  esapi4js : esapi.js

10. 后端服务编码实践

通过 https://start.spring.io/ 快速创建 springboot 应用：解压并在 IDEA 导入刚刚创建的 xss-demo 项目在 pom.xml 添加相关依赖：      org.owasp.antisamy      antisamy      1.5.7     com.alibaba     fastjson     1.2.62 修改 xss-demo 工程包结构如下：XSSFilter 编码如下：/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:45 **/public class XssFilter implements Filter { @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpServletRequest = (HttpServletRequest) request; HttpServletRequest req = (HttpServletRequest) request; String path = req.getServletPath(); //注解配置的是urlPatterns="/*"(过滤所有请求),所以这里对不需要过滤的静态资源url,作忽略处理(大家可以依照具体需求配置) String[] exclusionsUrls = {".js", ".gif", ".jpg", ".png", ".css", ".ico"}; for (String str : exclusionsUrls) { if (path.contains(str)) { chain.doFilter(request, response); return; } } chain.doFilter(new XssRequestWrapper(httpServletRequest), response); }}XssRequestWrapper 包装类编码如下：/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:46 **/@Slf4jpublic class XssRequestWrapper extends HttpServletRequestWrapper { public XssRequestWrapper(HttpServletRequest request) { super(request); } /** * 获取策略文件，直接使用jar中自带的ebay策略文件 */ private static InputStream inputStream = XssRequestWrapper.class.getClassLoader() .getResourceAsStream("antisamy-ebay.xml"); private static Policy policy = null; static { try { // 使用静态代码块处理策略对象的创建 policy = Policy.getInstance(inputStream); } catch (PolicyException e) { e.printStackTrace(); } } /** * 使用AntiSamy进行过滤数据 * @param html * @return */ private String xssClean(String html) { String cleanHTML = ""; try { AntiSamy antiSamy = new AntiSamy(); CleanResults scan = antiSamy.scan(html, policy); cleanHTML = scan.getCleanHTML(); } catch (ScanException e) { e.printStackTrace(); } catch (PolicyException e) { e.printStackTrace(); } return cleanHTML; } /** * 重写处理请求参数的方法 * @param name * @return */ @Override public String[] getParameterValues(String name) { String[] values = super.getParameterValues(name); // 判断参数有值，如果没有值，直接返回 if (values == null) { return null; } // 遍历参数数组，使用AntiSamy进行过滤 int len = values.length; String[] newValues = new String[len]; for (int i = 0; i < len; i++) { // 过滤前的数据 log.info("使用AntiSamy进行过滤清理，过滤清理之前的数据：{}", values[i]); // 进行过滤 newValues[i] = xssClean(values[i]); // 过滤后的数据 log.info("使用AntiSamy进行过滤清理，过滤清理之后的数据：{}", newValues[i]); } //返回过滤后的结果 return newValues; } /** * 重写处理json数据的方法 * @return * @throws IOException */ @Override public ServletInputStream getInputStream() throws IOException { // 读取流 BufferedReader reader = new BufferedReader( new InputStreamReader(super.getInputStream(), "UTF-8")); // 获取json格式的数据 StringBuilder sb = new StringBuilder(); String inputStr; while ((inputStr = reader.readLine()) != null) { sb.append(inputStr); } // 把json转为map Map map = JSON.parseObject(sb.toString(), Map.class); // 过滤前 log.info("json过滤前:{}", sb.toString()); // 对map中的value值进行AntiSamy的过滤 map.keySet().forEach(k -> { map.put(k, xssClean(map.get(k).toString())); }); // 过滤后 String json = JSON.toJSONString(map); log.info("json过滤后:{}", json); // 把json数据转为流的格式进行返回 ByteArrayInputStream bais = new ByteArrayInputStream(json.getBytes()); return new ServletInputStream() { @Override public boolean isFinished() { return false; } @Override public boolean isReady() { return false; } @Override public void setReadListener(ReadListener listener) { } @Override public int read() throws IOException { return bais.read(); } }; }}AntiSamyConfig 配置过滤器类编码如下：/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:58 **/@Configurationpublic class AntiSamyConfig { /** * 配置xss过滤器 * @return */ @Bean public FilterRegistrationBean create() { FilterRegistrationBean filterRegistrationBean = new FilterRegistrationBean(new XssFilter()); filterRegistrationBean.addUrlPatterns("/*"); filterRegistrationBean.setOrder(1); return filterRegistrationBean; }}User 实体类：/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:42**/@Datapublic class User { private int id; private String name; private int age;}UserController 测试控制器类编码如下：/** * @program: xss-demo * @author: Mr.Zhang * @create: 2021-02-21 15:43 **/@Slf4j@RestController@RequestMapping("user")public class UserController { /** * 表单 * @param user * @return */ @PostMapping("save") public String save(User user) { log.info("name={}, age={}", user.getName(), user.getAge()); return JSON.toJSONString(user); } /** * json数据格式请求体 * @param user * @return */ @PostMapping("json") public String saveJson(@RequestBody User user) { log.info("user={}", user.toString()); return JSON.toJSONString(user); }}application.properties 配置文件为空，运行启动类后默认端口号8080。Postman 模拟表单数据请求及响应效果如下：后端程序控制台日志打印如下：Postman 模拟 json 数据请求及响应效果如下：后端程序控制台日志打印如下：以上两个情况，请求参数中隐藏的 xss 攻击代码被过滤器过滤后再进入 Contrlloer 层处理。

11. 能不能根本上解决问题，即浏览器自动禁止外部注入恶意脚本？

开启 CSP （内容安全策略 Content Security Policy）方法：设置 HTTP 的 头部字段

resp.setHeader("Content-Security-Policy","default-src http: https:");

设置网页的标签

CSP 常见可选策略设置如下：