文章目录
- 简述
- 本文涉及代码已开源
- Fir Cloud 完整项目
- 防XSS攻击
- 必要性:
- 作用:
- 整体效果
- 后端
- 增加拦截器开关配置
- pom中增加jsoup依赖
- 添加JSON处理工具类
- 添加xss拦截工具类
- 防XSS-请求拦截器
- 前端
简述
本文涉及代码已开源
本文网关gateway,微服务,vue已开源到gitee
杉极简 / gateway网关阶段学习
https://gitee.com/dong-puen/gateway-stages
Fir Cloud 完整项目
该内容完整项目如下
Fir Cloud v1.0.0
https://gitee.com/dong-puen/fir-cloud
https://github.com/firLucky/fir-cloud
防XSS攻击
XSS攻击是一种常见的网络攻击手段,它允许攻击者将恶意脚本注入到其他用户会浏览的页面中。谁也不想,被注入一段代码,然后在客户的浏览器上被执行,然后造成重大损失,然后被领导叫去喝茶吧。。。
必要性:
- 保护用户隐私:XSS攻击可以盗取用户的敏感信息,如登录凭据、个人数据和Cookies。
- 维护数据完整性:攻击者可能会利用XSS攻击来修改网页内容,破坏数据的准确性和完整性。
- 防止会话劫持:XSS攻击常常被用来窃取用户的会话Cookies,从而允许攻击者冒充用户进行操作。
作用:
- 防止恶意脚本执行:通过输入清理、输出编码等措施,防止恶意脚本在用户浏览器中执行。
- 防止敏感信息泄露:减少攻击者盗取用户敏感信息的机会,保护用户隐私。
- 保护Web应用安全:加强Web应用的整体安全性,使其不易受到XSS攻击。
- 防止网页篡改:防止攻击者通过XSS攻击修改网页内容。
- 减少安全漏洞:通过实施XSS防御措施,减少Web应用的安全漏洞。
整体效果
前端传递一个攻击代码字符串给后端时,后端将其过滤掉,效果如下:
后端
增加拦截器开关配置
# xss拦截xss: true
GlobalConfig增加
/*** 防xss*/private boolean xss;
pom中增加jsoup依赖
jsoup 是一款基于 Java 的HTML解析器
<!-- https://mvnrepository.com/artifact/org.jsoup/jsoup --><dependency><groupId>org.jsoup</groupId><artifactId>jsoup</artifactId><version>1.17.2</version></dependency>
添加JSON处理工具类
package com.fir.gateway.utils;import com.alibaba.fastjson.JSONObject;
import org.springframework.util.StringUtils;/*** JSON处理工具类** @author fir*/
public enum JsonUtils {/*** 实例*/INSTANCE;/*** json对象字符串开始标记*/private final static String JSON_OBJECT_START = "{";/*** json对象字符串结束标记*/private final static String JSON_OBJECT_END = "}";/*** json数组字符串开始标记*/private final static String JSON_ARRAY_START = "[";/*** json数组字符串结束标记*/private final static String JSON_ARRAY_END = "]";/*** 判断字符串是否json对象字符串** @param val 字符串* @return true/false*/public boolean isJsonObj(String val) {if (StringUtils.hasLength(val)) {return false;}val = val.trim();if (val.startsWith(JSON_OBJECT_START) && val.endsWith(JSON_OBJECT_END)) {try {JSONObject.parseObject(val);return true;} catch (Exception e) {return false;}}return false;}/*** 判断字符串是否json数组字符串** @param val 字符串* @return true/false*/public boolean isJsonArr(String val) {if (StringUtils.hasLength(val)) {return false;}val = val.trim();if (StringUtils.hasLength(val)) {return false;}val = val.trim();if (val.startsWith(JSON_ARRAY_START) && val.endsWith(JSON_ARRAY_END)) {try {JSONObject.parseArray(val);return true;} catch (Exception e) {return false;}}return false;}/*** 判断对象是否是json对象** @param obj 待判断对象* @return true/false*/public boolean isJsonObj(Object obj) {String str = JSONObject.toJSONString(obj);return this.isJsonObj(str);}/*** 判断字符串是否json字符串** @param str 字符串* @return true/false*/public boolean isJson(String str) {if (StringUtils.hasLength(str)) {return false;}return this.isJsonObj(str) || this.isJsonArr(str);}
}添加xss拦截工具类
package com.fir.gateway.utils;import com.alibaba.fastjson.JSONObject;
import lombok.SneakyThrows;
import org.jsoup.Jsoup;
import org.jsoup.nodes.Document;
import org.jsoup.safety.Safelist;import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Objects;/*** xss拦截工具类** @author lieber*/
public enum XssUtils {/*** 实例*/INSTANCE;private final static String RICH_TEXT = "</";/*** 自定义白名单*/private final static Safelist CUSTOM_WHITELIST = Safelist.relaxed()
// .addAttributes("video", "width", "height", "controls", "alt", "src")
// .addAttributes(":all", "style", "class");/*** jsoup不格式化代码*/private final static Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);/*** 清除json对象中的xss攻击字符** @param val json对象字符串* @return 清除后的json对象字符串*/private String cleanObj(String val) {JSONObject jsonObject = JSONObject.parseObject(val);for (Map.Entry<String, Object> entry : jsonObject.entrySet()) {if (entry.getValue() != null && entry.getValue() instanceof String) {String str = (String) entry.getValue();str = this.cleanXss(str);entry.setValue(str);}}return jsonObject.toJSONString();}/*** 清除json数组中的xss攻击字符** @param val json数组字符串* @return 清除后的json数组字符串*/private String cleanArr(String val) {List<String> list = JSONObject.parseArray(val, String.class);List<String> result = new ArrayList<>(list.size());for (String str : list) {str = this.cleanXss(str);result.add(str);}return JSONObject.toJSONString(result);}/*** 清除xss攻击字符串,此处优化空间较大** @param str 字符串* @return 清除后无害的字符串*/@SneakyThrowspublic String cleanXss(String str) {if (JsonUtils.INSTANCE.isJsonObj(str)) {str = this.cleanObj(str);} else if (JsonUtils.INSTANCE.isJsonArr(str)) {str = this.cleanArr(str);} else {boolean richText = this.richText(str);if (!richText) {str = str.trim();str = str.replaceAll(" +", " ");}String afterClean = Jsoup.clean(str, "", CUSTOM_WHITELIST, OUTPUT_SETTINGS);if (paramError(richText, afterClean, str)) {
// throw new BizRunTimeException(ApiCode.PARAM_ERROR, "参数包含特殊字符");
// throw new Exception("参数包含特殊字符");System.out.println("参数包含特殊字符");}str = richText ? afterClean : this.backSpecialStr(afterClean);}return str;}/*** 判断是否是富文本** @param str 待判断字符串* @return true/false*/private boolean richText(String str) {return str.contains(RICH_TEXT);}/*** 判断是否参数错误** @param richText 是否富文本* @param afterClean 清理后字符* @param str 原字符串* @return true/false*/private boolean paramError(boolean richText, String afterClean, String str) {// 如果包含富文本字符,那么不是参数错误if (richText) {return false;}// 如果清理后的字符和清理前的字符匹配,那么不是参数错误if (Objects.equals(str, afterClean)) {return false;}// 如果仅仅包含可以通过的特殊字符,那么不是参数错误if (Objects.equals(str, this.backSpecialStr(afterClean))) {return false;}// 如果还有......return true;}/*** 转义回特殊字符** @param str 已经通过转义字符* @return 转义后特殊字符*/private String backSpecialStr(String str) {return str.replaceAll("&", "&");}
}防XSS-请求拦截器
package com.fir.gateway.filter.request;import com.alibaba.fastjson.JSONArray;
import com.alibaba.fastjson.JSONObject;
import com.fir.gateway.config.GlobalConfig;
import com.fir.gateway.config.exception.CustomException;
import com.fir.gateway.config.result.AjaxStatus;
import com.fir.gateway.utils.XssUtils;
import lombok.Data;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.cloud.gateway.filter.GatewayFilterChain;
import org.springframework.cloud.gateway.filter.GlobalFilter;
import org.springframework.core.Ordered;
import org.springframework.http.HttpMethod;
import org.springframework.http.server.reactive.ServerHttpRequest;
import org.springframework.stereotype.Component;
import org.springframework.util.LinkedMultiValueMap;
import org.springframework.util.MultiValueMap;
import org.springframework.web.server.ServerWebExchange;
import org.springframework.web.util.UriComponentsBuilder;
import reactor.core.publisher.Mono;import javax.annotation.Resource;
import java.io.UnsupportedEncodingException;
import java.net.URI;
import java.net.URLEncoder;
import java.nio.charset.StandardCharsets;
import java.util.Collections;
import java.util.List;
import java.util.Map;
import java.util.Set;/*** XSS过滤** @author lieber*/
@Data
@Slf4j
@ConfigurationProperties("config.form.xss")
@Component
public class XssFormFilter implements GlobalFilter, Ordered {/*** 网关参数配置*/@Resourceprivate GlobalConfig globalConfig;@Overridepublic Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) {log.info("xss攻击验证:start");boolean xss = globalConfig.isXss();if (xss) {// 白名单路由判断ServerHttpRequest request = exchange.getRequest();String path = request.getPath().toString();List<String> whiteUrls = globalConfig.getWhiteUrls();if (whiteUrls.contains(path)) {log.info("xss攻击验证:true,白名单");return chain.filter(exchange);}ServerHttpRequest req = exchange.getRequest();String method = req.getMethodValue();ServerHttpRequest builder = req.mutate().build();if (HttpMethod.GET.matches(method)) {builder = change(exchange, builder);} else if (HttpMethod.POST.matches(method)) {builder = change(exchange, builder);}exchange = exchange.mutate().request(builder).build();log.info("xss攻击验证:true");} else {log.info("xss攻击验证:true,验证已关闭");}return chain.filter(exchange);}/*** 获取请求参数等信息进行过滤处理** @param exchange 请求* @param serverHttpRequest 请求* @return 处理结束的参数*/@SneakyThrowsprivate ServerHttpRequest change(ServerWebExchange exchange, ServerHttpRequest serverHttpRequest) {// 获取原参数URI uri = serverHttpRequest.getURI();// 更改参数ServerHttpRequest request = exchange.getRequest();MultiValueMap<String, String> query = request.getQueryParams();String originalQuery = JSONObject.toJSONString(query);MultiValueMap<String, String> newQueryParams = new LinkedMultiValueMap<>();if (StringUtils.isNoneBlank(originalQuery)) {// 执行XSS清理log.info("{} - XSS清理,处理前参数:{}", uri.getPath(), originalQuery);Set<String> strings = query.keySet();for (String key : strings) {List<String> v = query.get(key);String newV = XssUtils.INSTANCE.cleanXss(JSONObject.toJSONString(v));List<String> newVList = JSONArray.parseArray(newV, String.class);for (String string:newVList) {String encodedString = URLEncoder.encode(string, StandardCharsets.UTF_8.toString());newQueryParams.add(key, encodedString);}}originalQuery = JSONObject.toJSONString(newQueryParams);log.info("{} - XSS清理,处理后参数:{}", uri.getPath(), originalQuery);}URI newUri = UriComponentsBuilder.fromUri(uri).query(null).queryParams(newQueryParams).build(true).toUri();return exchange.getRequest().mutate().uri(newUri).build();}@Overridepublic int getOrder() {return -180;}
}前端
身为一个后端程序员,本次终于不用再写前端代码了,难得难得。。。
此次前端无需更改任何内容。
![[Linux]服务管理](https://img-blog.csdnimg.cn/direct/6a1ba0dcd424476ebba46e736f38509c.png)
