什么是XSS攻击?

跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户、服务器、别人服务器的目的。

举例:

  1. 个性签名中,容许200个字符,那么有的用户修改信息的时候就会植入H5的<script> 代码,比如常见的一些跳转。这些正常情况会被H5正常展示,但是<script>代码中有 超链接形式的内容,那么用户A在点击你的个性签名的时候,就会被迫跳转到一些页面。
  2. 你还有可能成为DDoS的肉鸡:针对热点站点、APP活动页面,伪造一个弹窗,一旦用户点击,就可以控制用户发大量请求。

这只是一个常见的XSS攻击,反正代码是运行在你的浏览器或者APP中,我可以随意获取你存储前端信息的地方(cookie,token等),伪造你的正常需要服务器校验操作,进而做出一些其他方式的攻击。所以XSS非常危险。

如何预防XSS?

XSS在前端表单中校验是没有任何意义的,如果前端的数据包被截胡、修改,一样会有XSS的攻击。必须在后台中进行二次校验!

前端处理,需要过滤服务器给的信息是否合规,双向过滤

方案一

Spring提供了一些特定的工具类供我们使用

import org.springframework.web.util.HtmlUtils;

转义:HtmlUtils.htmlEscape()

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String htmlEscape = HtmlUtils.htmlEscape(target);
        System.out.println(htmlEscape);

结果是
// &lt;script&gt;Hello &lt;/script&gt;World,&lt;a href=&#39;https://www.baidu.com&#39;&gt;点我跳转哦&lt;/a&gt;

反转义:HtmlUtils.htmlUnescape()

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String htmlEscape = HtmlUtils.htmlEscape(target);
        String htmlUnescape = HtmlUtils.htmlUnescape(htmlEscape);
        System.out.println(htmlUnescape);

结果是
// <script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>

方案二

Hutool包下的Xss解决方案

初始化字符串,实际是一个前端的Script 标签

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";

清除所有Html标签:cleanHtmlTag

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";        
        String cleanHtmlTag = HtmlUtil.cleanHtmlTag(target);
        System.out.println(cleanHtmlTag);
结果是
// Hello World,点我跳转哦

清除script标签:filter

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String filter = HtmlUtil.filter(target);
        System.out.println(filter);
结果是
// Hello World,<a href="https://www.baidu.com">点我跳转哦</a>

将HTML编码进行转义:escape

        String target = "<script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>";
        String escape = HtmlUtil.escape(target);
        System.out.println(escape);
结果是
// &lt;script&gt;Hello &lt;/script&gt;World,&lt;a href=&#039;https://www.baidu.com&#039;&gt;点我跳转哦&lt;/a&gt;

将HTML编码进行反转义:unescape

        String unescape = HtmlUtil.unescape(escape);
        System.out.println("unescape 处理escape的结果是:\t" + unescape);
结果是
// <script>Hello </script>World,<a href='https://www.baidu.com'>点我跳转哦</a>