JeecgBoot抵御XSS攻击实现方案

zhangdaiscott

1. 问题描述

jeecgboot后台启动后，在浏览器输入地址

1. http://localhost:8080/jeecg-boot/jmreport/view/')%22οnmοuseοver=alert('hacking')%20%20(

复制代码

弹出对话框

2. 试验环境

jeecgboot 3.0

3. 增加配置类

• 在jeecg-boot-module-system的config包下，新建xss包，并新增几个类
  

• 类的具体代码如下：
  

1. package org.jeecg.config.xss;
   
2. 
   
3. import javax.servlet.*;
   
4. import javax.servlet.http.HttpServletRequest;
   
5. import java.io.IOException;
   
6. 
   
7. /**
   
8. * Created by sunh on 2012/12/29.
   
9. * xss 过滤器只能过滤form表单形式提交的参数
   
10. */
    
11. public class XssFilter implements Filter {
    
12. 
    
13.     @Override
    
14.     public void init(FilterConfig filterConfig) throws ServletException {
    
15. 
    
16.     }
    
17. 
    
18.     @Override
    
19.     public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
    
20.         System.out.println("***********开始过滤");
    
21.         XssHttpServletRequestWrapper xssRequest =
    
22.                 new XssHttpServletRequestWrapper((HttpServletRequest) servletRequest);
    
23.         filterChain.doFilter(xssRequest, servletResponse);
    
24.     }
    
25. 
    
26.     @Override
    
27.     public void destroy() {
    
28. 
    
29.     }
    
30. }

复制代码

1. package org.jeecg.config.xss;
   
2. 
   
3. import com.fasterxml.jackson.databind.ObjectMapper;
   
4. import com.fasterxml.jackson.databind.module.SimpleModule;
   
5. import org.springframework.boot.web.servlet.FilterRegistrationBean;
   
6. import org.springframework.context.annotation.Bean;
   
7. import org.springframework.context.annotation.Configuration;
   
8. import org.springframework.context.annotation.Primary;
   
9. import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;
   
10. import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
    
11. 
    
12. /**
    
13. * Created by sunh on 2012/12/29.
    
14. * xss 自动配置类
    
15. */
    
16. @Configuration
    
17. public class XssFilterAtuoConfig {
    
18. 
    
19.     @Bean
    
20.     public FilterRegistrationBean xssFiltrRegister() {
    
21.         FilterRegistrationBean registration = new FilterRegistrationBean();
    
22.         registration.setFilter(new XssFilter());
    
23.         registration.addUrlPatterns("/*");
    
24.         registration.setName("XssFilter");
    
25.         registration.setOrder(1);
    
26.         return registration;
    
27.     }
    
28. 
    
29. 
    
30.     @Bean
    
31.     @Primary
    
32.     public MappingJackson2HttpMessageConverter mappingJackson2HttpMessageConverter() {
    
33.         SimpleModule module = new SimpleModule();
    
34.         module.addDeserializer(String.class, new XssStringJsonDeserializer());
    
35.         ObjectMapper objectMapper = Jackson2ObjectMapperBuilder.json().build();
    
36.         objectMapper.registerModule(module);
    
37.         return new MappingJackson2HttpMessageConverter(objectMapper);
    
38.     }
    
39. }

复制代码

1. package org.jeecg.config.xss;
   
2. 
   
3. import org.springframework.web.servlet.HandlerMapping;
   
4. 
   
5. import javax.servlet.http.HttpServletRequest;
   
6. import javax.servlet.http.HttpServletRequestWrapper;
   
7. import java.util.LinkedHashMap;
   
8. import java.util.Map;
   
9. import java.util.Objects;
   
10. 
    
11. /**
    
12. * Created by sunh on 2012/12/29.
    
13. * xss 包装
    
14. */
    
15. public class XssHttpServletRequestWrapper extends HttpServletRequestWrapper {
    
16. 
    
17.     public XssHttpServletRequestWrapper(HttpServletRequest request) {
    
18.         super(request);
    
19.     }
    
20. 
    
21.     @Override
    
22.     public String getHeader(String name) {
    
23.         String value = super.getHeader(name);
    
24.         return XssUtil.cleanXSS(value);
    
25.     }
    
26. 
    
27.     @Override
    
28.     public String getParameter(String name) {
    
29.         String value = super.getParameter(name);
    
30.         return XssUtil.cleanXSS(value);
    
31.     }
    
32. 
    
33.     @Override
    
34.     public String[] getParameterValues(String name) {
    
35.         String[] values = super.getParameterValues(name);
    
36.         if (values != null) {
    
37.             int length = values.length;
    
38.             String[] escapseValues = new String[length];
    
39.             for (int i = 0; i < length; i++) {
    
40.                 escapseValues[i] = XssUtil.cleanXSS(values[i]);
    
41.             }
    
42.             return escapseValues;
    
43.         }
    
44.         return super.getParameterValues(name);
    
45.     }
    
46. 
    
47.     /**
    
48.      * 主要是针对HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE 获取pathvalue的时候把原来的pathvalue经过xss过滤掉
    
49.      */
    
50.     @Override
    
51.     public Object getAttribute(String name) {
    
52.         // 获取pathvalue的值
    
53.         if (HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE.equals(name)) {
    
54.             Map uriTemplateVars = (Map) super.getAttribute(HandlerMapping.URI_TEMPLATE_VARIABLES_ATTRIBUTE);
    
55.             if (Objects.isNull(uriTemplateVars)) {
    
56.                 return uriTemplateVars;
    
57.             }
    
58.             Map newMap = new LinkedHashMap<>();
    
59.             uriTemplateVars.forEach((key, value) -> {
    
60.                 if (value instanceof String) {
    
61.                     newMap.put(key, XssUtil.cleanXSS((String) value));
    
62.                 } else {
    
63.                     newMap.put(key, value);
    
64. 
    
65.                 }
    
66.             });
    
67.             return newMap;
    
68.         } else {
    
69.             return super.getAttribute(name);
    
70.         }
    
71.     }
    
72. }

复制代码

1. package org.jeecg.config.xss;
   
2. 
   
3. import com.fasterxml.jackson.databind.ObjectMapper;
   
4. import com.fasterxml.jackson.databind.module.SimpleModule;
   
5. 
   
6. /**
   
7. * Created by sunh on 2012/12/29.
   
8. * 创建xss的json转换器
   
9. */
   
10. public class XssObjectMapper extends ObjectMapper {
    
11. 
    
12.     public XssObjectMapper() {
    
13.         SimpleModule module = new SimpleModule("XSS JsonDeserializer");
    
14.         module.addDeserializer(String.class, new XssStringJsonDeserializer());
    
15.         this.registerModule(module);
    
16.     }
    
17. }

复制代码

1. package org.jeecg.config.xss;
   
2. 
   
3. import com.fasterxml.jackson.core.JsonParser;
   
4. import com.fasterxml.jackson.databind.DeserializationContext;
   
5. import com.fasterxml.jackson.databind.JsonDeserializer;
   
6. import org.springframework.web.util.HtmlUtils;
   
7. 
   
8. import java.io.IOException;
   
9. 
   
10. /**
    
11. * Created by sunh on 2012/12/29.
    
12. * 基于xss的JsonDeserializer
    
13. */
    
14. public class XssStringJsonDeserializer extends JsonDeserializer<String> {
    
15. 
    
16. 
    
17.     @Override
    
18.     public Class<String> handledType() {
    
19.         return String.class;
    
20.     }
    
21. 
    
22.     @Override
    
23.     public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException {
    
24.         return HtmlUtils.htmlEscape(jsonParser.getValueAsString());
    
25.     }
    
26. }

复制代码

1. package org.jeecg.config.xss;
   
2. 
   
3. 
   
4. import java.util.Objects;
   
5. 
   
6. /**
   
7. * Created by sunh on 2012/12/29
   
8. * xss工具类
   
9. */
   
10. public class XssUtil {
    
11. 
    
12.     public static String cleanXSS(String value) {
    
13.         if (Objects.isNull(value)) {
    
14.             return value;
    
15.         }
    
16.         //You'll need to remove the spaces from the html entities below
    
17.         value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
    
18.         value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
    
19.         value = value.replaceAll("'", "& #39;");
    
20.         value = value.replaceAll("eval\\((.*)\\)", "");
    
21.         value = value.replaceAll("[\\"\\\'][\\s]*javascript:(.*)[\\"\\\']", """");
    
22.         value = value.replaceAll("script", "");
    
23.         return value;
    
24.     }
    
25. }

复制代码

4. 测试结果

启动后端，在浏览器访问地址

1. http://localhost:8080/jeecg-boot/jmreport/view/')%22οnmοuseοver=alert('hacking')%20%20(

复制代码

未弹出对话框

启动前端，原来的服务能正常访问。