当前位置：首页 > news >正文

Java Web安全防护：SQL注入、XSS攻击的预防与处理

news 2025/10/19 7:28:25

在当今互联网时代，Web应用安全已成为开发者必须重视的核心问题。SQL注入和XSS攻击作为OWASP Top 10中的常见威胁，每年都会给企业和用户带来巨大损失。本文将深入探讨这两种攻击方式的原理，并提供Java开发中的实用防护方案。

一、SQL注入攻击：数据库的噩梦

什么是SQL注入

SQL注入是指攻击者通过在应用程序的输入字段中插入恶意SQL代码，从而操纵数据库查询的一种攻击方式。当应用程序直接将用户输入拼接到SQL语句中而不进行适当验证时，就可能遭受此类攻击。

攻击示例

假设有一个简单的登录验证代码：

String username = request.getParameter("username");
String password = request.getParameter("password");String sql = "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql);

攻击者可以输入以下内容：

用户名: admin' --
密码: 任意内容

实际执行的SQL变成：

SELECT * FROM users WHERE username='admin' --' AND password='xxx'

注释符 -- 会使密码验证部分失效，攻击者无需知道密码即可登录。

SQL注入的预防措施

1. 使用预编译语句（PreparedStatement）

这是防御SQL注入最有效的方法：

String sql = "SELECT * FROM users WHERE username=? AND password=?";
PreparedStatement pstmt = connection.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs = pstmt.executeQuery();

原理： PreparedStatement会将参数值作为纯数据处理，而非SQL代码的一部分，从而避免注入攻击。

2. 使用ORM框架

现代ORM框架如Hibernate、MyBatis等都内置了防SQL注入机制：

// MyBatis示例
@Select("SELECT * FROM users WHERE username=#{username} AND password=#{password}")
User findUser(@Param("username") String username, @Param("password") String password);

使用 #{} 而非 ${} 可以确保参数被正确转义。

3. 输入验证与白名单

对用户输入进行严格验证：

public boolean isValidUsername(String username) {// 只允许字母、数字和下划线return username.matches("^[a-zA-Z0-9_]{3,20}$");
}

4. 最小权限原则

数据库账户应仅拥有必要的权限：

-- 为应用创建专用账户，不授予DROP、CREATE等危险权限
GRANT SELECT, INSERT, UPDATE ON database.* TO 'app_user'@'localhost';

5. 错误信息处理

避免向用户暴露详细的数据库错误信息：

try {// 数据库操作
} catch (SQLException e) {logger.error("Database error", e);// 向用户返回通用错误信息return "操作失败，请稍后重试";
}

二、XSS攻击：浏览器中的陷阱

什么是XSS攻击

跨站脚本攻击（Cross-Site Scripting，XSS）是指攻击者在网页中注入恶意脚本，当其他用户浏览该网页时，恶意脚本会在他们的浏览器中执行，从而窃取cookie、会话令牌或其他敏感信息。

XSS攻击类型

1. 反射型XSS（非持久型）

攻击代码通过URL参数传递，立即反射到页面：

// 危险代码
String keyword = request.getParameter("search");
out.println("<div>搜索结果：" + keyword + "</div>");

攻击URL: http://example.com/search?keyword=<script>alert(document.cookie)</script>

2. 存储型XSS（持久型）

恶意脚本被存储在数据库中，影响所有访问用户：

// 危险代码：用户评论未经过滤直接存储和显示
String comment = request.getParameter("comment");
// 存入数据库
// 后续从数据库读取并直接输出到页面
out.println("<div class='comment'>" + comment + "</div>");

3. DOM型XSS

通过操纵DOM环境实现攻击，完全在客户端执行。

XSS攻击的预防措施

1. 输出编码（最重要）

对所有用户输入进行HTML编码后再输出：

import org.apache.commons.text.StringEscapeUtils;String userInput = request.getParameter("input");
String safeOutput = StringEscapeUtils.escapeHtml4(userInput);
out.println("<div>" + safeOutput + "</div>");

编码效果：

<script> → <script>
" → "
' → '

2. 使用安全的模板引擎

现代模板引擎默认会进行转义：

<!-- JSP中使用JSTL -->
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>
<c:out value="${userInput}" /><!-- Thymeleaf自动转义 -->
<div th:text="${userInput}"></div>

3. Content Security Policy (CSP)

通过HTTP头限制可执行脚本的来源：

response.setHeader("Content-Security-Policy", "default-src 'self'; script-src 'self' https://trusted-cdn.com");

4. HttpOnly Cookie

防止JavaScript访问敏感Cookie：

Cookie sessionCookie = new Cookie("JSESSIONID", sessionId);
sessionCookie.setHttpOnly(true);
sessionCookie.setSecure(true); // 仅通过HTTPS传输
response.addCookie(sessionCookie);

5. 输入验证

虽然不能完全防御XSS，但可以作为纵深防御的一层：

public String sanitizeInput(String input) {// 移除潜在危险字符return input.replaceAll("[<>\"']", "");
}

6. 使用专业的安全库

OWASP Java Encoder提供了全面的编码方案：

import org.owasp.encoder.Encode;// HTML编码
String safe = Encode.forHtml(userInput);// JavaScript编码
String jsValue = Encode.forJavaScript(userInput);// URL编码
String urlValue = Encode.forUriComponent(userInput);

三、综合防护策略

1. 安全开发生命周期

将安全考虑融入开发的每个阶段：

设计阶段： 进行威胁建模
开发阶段： 遵循安全编码规范
测试阶段： 进行安全测试和代码审查
部署阶段： 配置安全的运行环境

2. 使用安全框架

Spring Security提供了全面的安全保护：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.headers().contentSecurityPolicy("script-src 'self'").and().xssProtection().and().csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());}
}

3. 定期安全审计

使用静态代码分析工具（如SonarQube、Checkmarx）
进行渗透测试
及时更新依赖库，修复已知漏洞

4. 安全配置检查清单

// web.xml或Spring Boot配置
// 1. 启用HTTPS
server.ssl.enabled=true// 2. 设置安全头
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true// 3. 隐藏服务器信息
server.server-header=// 4. 会话超时设置
server.servlet.session.timeout=30m

四、实战案例：构建安全的用户评论系统

下面展示一个综合应用安全防护措施的完整示例：

@RestController
@RequestMapping("/api/comments")
public class CommentController {@Autowiredprivate CommentService commentService;@PostMappingpublic ResponseEntity<String> addComment(@RequestParam String content,@RequestParam Integer articleId) {// 1. 输入验证if (content == null || content.trim().isEmpty()) {return ResponseEntity.badRequest().body("评论内容不能为空");}if (content.length() > 500) {return ResponseEntity.badRequest().body("评论内容过长");}// 2. XSS防护：使用安全库编码String safeContent = Encode.forHtml(content);// 3. SQL注入防护：Service层使用PreparedStatement或ORMtry {commentService.saveComment(safeContent, articleId);return ResponseEntity.ok("评论发布成功");} catch (Exception e) {// 4. 错误处理：不暴露敏感信息logger.error("Failed to save comment", e);return ResponseEntity.status(500).body("服务器错误，请稍后重试");}}@GetMapping("/{articleId}")public ResponseEntity<List<CommentDTO>> getComments(@PathVariable Integer articleId) {// 评论在返回时已经过编码，前端可以安全显示List<CommentDTO> comments = commentService.getCommentsByArticle(articleId);return ResponseEntity.ok(comments);}
}// Service层
@Service
public class CommentService {@Autowiredprivate JdbcTemplate jdbcTemplate;public void saveComment(String content, Integer articleId) {// 使用PreparedStatement防止SQL注入String sql = "INSERT INTO comments (article_id, content, create_time) VALUES (?, ?, ?)";jdbcTemplate.update(sql, articleId, content, new Timestamp(System.currentTimeMillis()));}public List<CommentDTO> getCommentsByArticle(Integer articleId) {String sql = "SELECT id, content, create_time FROM comments WHERE article_id = ? ORDER BY create_time DESC";return jdbcTemplate.query(sql, new Object[]{articleId}, new CommentRowMapper());}
}