业务需求
框架:SSH
需要对全部接口的响应体 ResponseBody 做 XSS 拦截
解决方案
在全局拦截器中检测 Response Body 是否有非法字符,如果有,就抛出异常。
实际上,在 struts2 的拦截器上,我发现
即使修改了 action 中的返回结果,即使直接使用 HttpServletResponse 的 write 打印错误信息。
这些修改都不会成功,因为请求早已提交,所以当发现 Response Body 出现非法字符时,因为无法修改 响应内容,非法字符被直接返回给了用户。
此时,点进 struts2 源码中查看,发现可以抛出异常,这样也算一种解决方法:修改了响应体。
因为在这个拦截器中拿到了 action 对象,则需要判断其中的返回值字段是否合法,而这个项目中返回值字段存在以下这么多种。。。
也就是说,每个对象使用的返回值字段都不一样。
现在要判断的是 一个对象中的 这些字段 中有没有 非法字符。
以下是我第一版写的判断代码
当时我以为要判断的字段就 2-3 个,所以直接 if 嵌套了,可是当我重新梳理后,居然有 24 个字段。
重写刻不容缓。
使用责任链模式解决问题
责任节点定义
public interface XssHandler {/*** xss 拦截* @param action 要拦截的 action 对象*/boolean xss(Object action);/*** 责任链:设置下一个责任节点** @param fieldName 下一个责任节点要拦截的字段* @param xssHandlerType 下一个责任节点要拦截的字段类型*/XssHandler nextHandler(String fieldName, XssHandlerType xssHandlerType);/*** 为当前责任节点设置要拦截的字段名*/void setFieldName(String fieldName);}
具体实现一
public class StringXssHandler extends BaseXssHandlerTemplate<String> {@Overridepublic boolean handlerXss(String checkObject) {boolean result = XssUtils.stripXSS(checkObject);if (result) {return false;}return true;}
}
具体实现二
public class ListXssHandler extends BaseXssHandlerTemplate<List> {@Overridepublic boolean handlerXss(List checkObject) {for (Object re : checkObject) {Field[] declaredFields = re.getClass().getDeclaredFields();for (Field declaredField : declaredFields) {if (declaredField.getType() == String.class) {// 校验 StringdeclaredField.setAccessible(true);String value;try {value = (String) declaredField.get(re);} catch (IllegalAccessException e) {return true;}if (XssUtils.stripXSS(value)) {// xss 了,此次请求不合法return false;}}}}return true;}}
具体实现三
public class MapXssHandler extends BaseXssHandlerTemplate<Map> {@Overridepublic boolean handlerXss(Map checkObject) {// 遍历 mapSet keySet = checkObject.keySet();for (Object key : keySet) {Object value = checkObject.get(key);if (value instanceof String) {// 如果 map 里的值是 String,则进行 xss 校验String mapStringValue = (String) value;if (XssUtils.stripXSS(mapStringValue)) {// xss 了,此次请求不合法return false;}}}return true;}}
类图
其中混合了一个模板模式
BaseXssHandlerTemplate
这个类我是想把一切操作都准备好,最终留给子类做的就是单纯的针对一个对象进行检查。
/*** 模板模式,最基本的实现,实现基本操作,真实的 xss 校验留给子类实现* <CheckObjectType> 要检查的字段类型** @author SUN* @date 2023/3/22*/
public abstract class BaseXssHandlerTemplate<CheckObjectType> implements XssHandler {/*** 下一个责任节点*/private XssHandler nextHandler;/*** 当前责任节点要校验的字段名*/private String fieldName;/*** 直接获取到要处理的字段,字段有值就传给子类做真实的 xss 校验** @param action 要拦截的 action 对象*/@Overridepublic final boolean xss(Object action) {Class<?> actionClass = action.getClass();Field field;try {field = actionClass.getDeclaredField(getFieldName());} catch (NoSuchFieldException e) {// 没有这个字段,传给后面执行return goon(action);}field.setAccessible(true);try {Object checkObject = field.get(action);if (checkObject == null) {// 没有这个字段,传给后面执行return goon(action);}// 让子类实现真实的 检查方法CheckObjectType checkObjectType = (CheckObjectType) checkObject;boolean result = handlerXss(checkObjectType);if (result) {return goon(action);} else {return false;}} catch (IllegalAccessException e) {e.printStackTrace();// 不会出现这个问题因为已经 field.setAccessible(true);}// 直接成功return true;}/*** 子类负责处理 xss 拦截*/public abstract boolean handlerXss(CheckObjectType checkObject);public boolean goon(Object action) {if (nextHandler == null) {return true;}return nextHandler.xss(action);}/// ================================== setter / getter ===================================@Overridepublic final XssHandler nextHandler(String fieldName, XssHandlerType xssHandlerType) {XssHandler xssHandler = XssHandlerFactory.newHandler(fieldName, xssHandlerType);this.nextHandler = xssHandler;return xssHandler;}@Overridepublic final void setFieldName(String fieldName) {this.fieldName = fieldName;}public final String getFieldName() {return fieldName;}public final XssHandler getNextHandler() {return nextHandler;}}
子类实现
新建一个处理器责任节点只需要完成以下代码。
责任节点定义完了,看看代码如何组织
public class XssActionInterceptor {private final static XssHandler XSS_HANDLER;static {XSS_HANDLER =XssHandlerFactory.newHandler("result", STRING);XSS_HANDLER.nextHandler("map", MAP).nextHandler("errorCode", STRING).nextHandler("propertyVO", OBJECT).nextHandler("resContainer", RES_CONTAINER).nextHandler("payedDataList", STRING).nextHandler("ownerInformation", OBJECT).nextHandler("jsonData", LIST).nextHandler("feeDataList", STRING).nextHandler("collectInfo", STRING).nextHandler("payableDataList", STRING).nextHandler("roomInfo", STRING).nextHandler("dataList", LIST).nextHandler("propertys", STRING).nextHandler("results", STRING).nextHandler("logList", STRING).nextHandler("feeDetails", STRING).nextHandler("judgeNo", STRING).nextHandler("roomLogList", STRING).nextHandler("roomFees", STRING).nextHandler("payDetails", STRING).nextHandler("resultContainer", RESULT_CONTAINER).nextHandler("resultCode", STRING).nextHandler("exeResult", STRING);}}
使用枚举定义了类型 于 处理器之间的映射
然后使用工厂模式直接根据枚举类创建 对应的 处理器责任节点
忘记说了一点,就是责任的流转,责任链要往后传递
BaseXssHandlerTemplate
最后看看使用
今日水了一篇文章