YeLogs.com
知識庫

知識庫 / Spring / Spring Security RSS 訂閱

防止 Spring 應用中的跨站腳本攻擊 (XSS)

Spring Security
HongKong
6
12:41 PM · Dec 06 ,2025

1. 概述

在構建 Spring Web 應用程序時,關注安全性至關重要。跨站腳本攻擊 (XSS) 是 Web 安全性中最關鍵的攻擊之一。

防止 XSS 攻擊在 Spring 應用程序中是一個挑戰。Spring 提供了內置幫助,以實現全面的保護。

在本教程中,我們將使用 Spring Security 可用的功能。

2. 什麼是跨站腳本攻擊 (XSS)?

跨站腳本攻擊 (XSS) 是一種惡意攻擊,攻擊者將惡意腳本注入到受信任的網站中。當用户訪問被注入腳本的網頁時,瀏覽器會執行這些腳本,從而導致攻擊者可以竊取用户憑據、重定向用户到惡意網站或執行其他惡意操作。

以下是 XSS 攻擊的幾個關鍵方面:

  • 攻擊原理: XSS 攻擊利用了 Web 應用程序對用户輸入數據的信任。當應用程序沒有正確地驗證和清理用户輸入時,攻擊者可以將惡意腳本注入到網頁中。
  • 攻擊類型:
    • 反射型 XSS: 攻擊者將惡意腳本通過 URL 或其他方式發送到受害者,當受害者訪問包含惡意腳本的 URL 時,惡意腳本會被執行。
    • 存儲型 XSS: 攻擊者將惡意腳本存儲在服務器上(例如,在數據庫中或在 Web 應用程序的配置中),當其他用户訪問包含惡意腳本的網頁時,惡意腳本會被執行。
    • DOM-based XSS: 惡意腳本通過修改客户端的 DOM(文檔對象模型)來執行。
  • 防禦措施:
    • 輸入驗證: 驗證所有用户輸入,確保它們符合預期的格式和類型。
    • 輸出編碼: 對用户輸入進行編碼,以防止瀏覽器將其解釋為代碼。
    • 使用 Web 應用程序防火牆 (WAF): WAF 可以檢測和阻止 XSS 攻擊。
// 示例代碼 (僅用於説明,不應直接複製)
// 這是一個簡單的 XSS 攻擊示例,用於演示目的
// 請勿在生產環境中使用此代碼
// 這是一個示例代碼,用於説明 XSS 攻擊的原理
// 攻擊者可以利用此漏洞竊取用户的 Cookie
// 攻擊者可以利用此漏洞執行惡意代碼

2.1. 問題的定義

XSS(跨站腳本攻擊)是一種常見的注入攻擊類型。在XSS攻擊中,攻擊者試圖在Web應用程序中執行惡意代碼。他們通過Web瀏覽器或HTTP客户端工具(如Postman)與該應用程序交互。

XSS攻擊主要有兩種類型:

  • 反射型或非持久型XSS
  • 存儲型或持久型XSS

在反射型或非持久型XSS中,不受信任的用户數據提交到Web應用程序,並立即在響應中返回,從而將不可信的內容添加到頁面中。Web瀏覽器假定代碼來自Web服務器並執行它。這可能允許黑客發送一個鏈接,當您點擊該鏈接時,您的瀏覽器會從您使用的網站檢索您的私有數據,然後將該數據轉發到黑客的服務器。

在存儲型或持久型XSS中,攻擊者的輸入由Web服務器存儲。隨後,任何未來的訪問者都可以執行該惡意代碼。

2.2. 防禦 XSS 攻擊

防止 XSS 攻擊的主要策略是清理用户輸入。

在 Spring Web 應用程序中,用户的輸入是一個 HTTP 請求。為了防止攻擊,我們應該檢查 HTTP 請求的內容並刪除任何可能被服務器或瀏覽器執行的內容。

對於通過 Web 瀏覽器訪問的常規 Web 應用程序,我們可以使用 Spring Security 的內置功能(反射型 XSS)。

3. 使用 Spring Security 使應用程序免受 XSS 攻擊

Spring Security 默認提供多個安全頭。它包括 X-XSS-Protection 頭部。X-XSS-Protection 頭部告訴瀏覽器阻止疑似 XSS 的內容。Spring Security 可以自動將此安全頭部添加到響應中。要激活此功能,我們配置 Spring Security 配置類中的 XSS 支持。

使用此功能,當瀏覽器檢測到 XSS 嘗試時,不會進行渲染。但是,一些 Web 瀏覽器尚未實現 XSS 審計器。在這種情況下,它們不會利用X-XSS-Protection 頭部。為了克服這個問題,我們還可以使用 內容安全策略 (CSP) 功能。

CSP 是一種額外的安全層,有助於緩解 XSS 和數據注入攻擊。要啓用它,我們需要配置應用程序以通過提供 SecurityFilterChain 豆來返回 Content-Security-Policy 頭部:

@Configuration
public class SecurityConf {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.headers(headers ->
                headers.xssProtection(
                        xss -> xss.headerValue(XXssProtectionHeaderWriter.HeaderValue.ENABLED_MODE_BLOCK)
                ).contentSecurityPolicy(
                        cps -> cps.policyDirectives("script-src 'self'")
                ));
        return http.build();
    }
}

4. 結論

在本文中,我們瞭解到如何通過使用 Spring Security 的 xssProtection 功能來防止 XSS 攻擊。

user avatar
0 位用戶收藏了這個故事!
收藏

發佈 評論

Some HTML is okay.