当前位置：首页 > news >正文

Java Web开发实战：SQL注入与XSS攻击的防御原理与最佳实践

news 2026/6/29 5:55:27

1. 项目概述：为什么Java开发者必须亲手搞定SQL注入与XSS？

干了这么多年Java后端，我见过太多因为SQL注入和XSS攻击导致的“惨案”。有次凌晨两点被电话叫醒，说用户数据库疑似泄露，登录日志里全是奇怪的SQL语句拼接痕迹，最后排查下来，就是一个老项目里用了字符串拼接的Statement，被攻击者用‘ or ‘1’=‘1这种经典手法给绕过去了。还有一次，一个内容展示页面被嵌入了恶意脚本，用户一点开，Cookie就被悄无声息地发到了攻击者的服务器上。这些事儿，没摊上觉得是危言耸听，摊上了就是P0级故障。

所以，今天我们不谈那些空泛的“安全重要性”，就扎扎实实地聊两个在Java Web开发中最常见、也最容易被忽视的漏洞：SQL注入和跨站脚本攻击。这不仅仅是面试八股文里的常客，更是每个一线开发者每天写代码时都应该绷紧的一根弦。很多人觉得用了MyBatis、Spring Data JPA就高枕无忧了，其实不然，错误的使用姿势照样会打开安全的大门。这篇文章，我会结合我踩过的坑和修复过的案例，从攻击原理、到代码层面的防御、再到框架的最佳实践，给你讲透、讲明白。目标就一个：让你看完之后，不仅能回答面试官，更能写出让运维兄弟睡个安稳觉的代码。

2. 核心攻击原理拆解：知己知彼，百战不殆

在动手修复之前，我们得先搞清楚敌人在怎么进攻。一知半解的安全配置，往往是最危险的。

2.1 SQL注入：你的数据库是如何被“一句话”攻破的？

SQL注入的本质，是攻击者将恶意的SQL代码“注入”到应用程序原本的SQL查询语句中，从而欺骗数据库服务器执行非预期的操作。它的核心前提是：程序将用户输入的数据，未经充分处理，直接拼接到了SQL语句里。

我们来看一个最经典的漏洞代码：

String username = request.getParameter(“username”); String password = request.getParameter(“password”); String sql = “SELECT * FROM users WHERE username = ‘“ + username + “‘ AND password = ‘“ + password + “‘“; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql);

看起来很正常对吧？但如果用户在用户名输入框里输入的不是“zhangsan”，而是‘ OR ‘1’=‘1’ --，那么拼接出来的SQL语句就变成了：

SELECT * FROM users WHERE username = ‘’ OR ‘1’=‘1’ -- ‘ AND password = ‘xxx’

这里，‘提前闭合了username的字符串，OR ‘1’=‘1’使得WHERE条件永远为真，而--在大多数数据库中是注释符，它会把后面所有的语句（包括密码检查）都注释掉。结果就是，攻击者无需知道密码，就能以第一个用户的身份登录系统。

这还只是入门级。更危险的攻击包括：

联合查询注入：利用UNION关键字，窃取其他表的数据。
布尔盲注：通过页面返回的真假差异，一点点“猜”出数据库内容。
时间盲注：利用SLEEP()等函数，通过响应时间差异来判断条件真假。
堆叠查询：执行多条SQL语句，进行增删改甚至删除表等破坏性操作。

注意：很多新手会误以为过滤了“空格”、“引号”就安全了。攻击者会用/**/代替空格，用CHAR(39)代替单引号，绕过简单的过滤。永远不要试图通过黑名单（过滤特定字符）来防御SQL注入，这是条死路。

2.2 XSS攻击：当你的页面成了攻击者的“扩音器”

XSS，全称跨站脚本攻击。它的原理是攻击者将恶意脚本代码“注入”到目标网页中，当其他用户浏览该网页时，嵌入的脚本就会被执行。与SQL注入攻击服务器不同，XSS的最终受害者是访问网页的用户。

根据恶意脚本的存储和触发位置，主要分为三类：

反射型XSS：最常见，也常与钓鱼结合。恶意脚本作为请求的一部分（比如在URL参数中），服务器直接“反射”回响应页面中执行。
- 攻击场景：攻击者构造一个包含恶意脚本的链接，如http://victim-site/search?keyword=<script>alert(document.cookie)</script>，然后通过邮件、论坛诱骗用户点击。用户一旦点击，脚本就在其浏览器中执行，可能盗取其在该网站的Cookie。
存储型XSS：危害最大。恶意脚本被永久地存储到服务器端（如数据库、文件系统），当任何用户访问包含该数据的页面时，脚本都会被加载执行。
- 攻击场景：论坛的帖子、用户昵称、商品评论框。攻击者提交一段带脚本的评论，保存到数据库。此后，所有浏览这条评论的用户都会中招。著名的“微博蠕虫”就是利用存储型XSS进行传播的。
DOM型XSS：一种前端漏洞。恶意脚本的注入和解析完全发生在客户端的DOM树操作过程中，不经过服务器。
- 攻击场景：页面上的JavaScript代码从location.hash、document.referrer等用户可控的来源获取数据，并直接使用innerHTML或eval()等危险方法进行处理。例如：<script>eval(location.hash.substring(1));</script>，如果URL是#alert(1)，就会触发。

XSS的危害远不止弹个警告框。它能：

盗取用户会话Cookie，实现身份冒充。
发起伪造请求（CSRF），以用户身份执行操作（如转账、改密）。
劫持用户浏览器，进行键盘记录、钓鱼。
植入木马，传播蠕虫。

实操心得：防御XSS，核心思路就一条：“对不可信的数据进行输出编码”。但具体在哪里编码、怎么编码，取决于数据最终被放入的上下文（HTML、JavaScript、CSS、URL）。用错地方等于没防。

3. 防御实战：从框架到代码的层层布防

知道了原理，我们就在每个可能出问题的环节筑起防线。安全是一个体系，不是某个孤立的特性。

3.1 根治SQL注入：告别拼接，拥抱预编译

防御SQL注入，最有效、最根本的方法是使用参数化查询，在Java中主要体现为PreparedStatement。它的原理是将SQL语句的结构与数据分离。SQL语句模板先被发送到数据库进行编译，用户输入的数据随后作为“参数”传入，数据库会严格将其视为数据，而非可执行代码的一部分。

正确做法示例：

String sql = “SELECT * FROM users WHERE username = ? AND password = ?“; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, username); // 参数1， 类型为String pstmt.setString(2, password); // 参数2， 类型为String ResultSet rs = pstmt.executeQuery();

无论username参数传入‘ OR ‘1’=‘1’ --还是其他任何内容，它都会被当作一个完整的字符串值去和username字段比较，而不会改变SQL语句的原有结构。

在ORM框架中的使用要点：

MyBatis：
- 必须使用#{}，禁止使用${}进行参数拼接。
- #{}在底层会生成PreparedStatement的参数占位符?，是安全的。
- ${}是直接的字符串替换，存在SQL注入风险，仅能用于动态指定列名、表名等无法参数化的场景，且使用时必须对输入进行严格白名单校验。
```
 <select id=“getUser” resultType=“User”> SELECT * FROM user WHERE name = #{name} </select>  <select id=“getUser” resultType=“User”> SELECT * FROM user ORDER BY ${orderByColumn} </select>
```

Spring Data JPA / Hibernate：

使用@Query注解时，同样要使用参数绑定。

// 安全：位置参数 @Query(“SELECT u FROM User u WHERE u.username = ?1 AND u.email = ?2“) User findByUsernameAndEmail(String username, String email); // 安全：命名参数（更推荐） @Query(“SELECT u FROM User u WHERE u.username = :uname AND u.email = :email“) User findByUsernameAndEmail(@Param(“uname”) String username, @Param(“email”) String email); // 危险！字符串拼接（错误示范） @Query(“SELECT u FROM User u WHERE u.username = ‘“ + “:username” + “‘“) // 错误！ User findUserUnsafe(String username);

使用Criteria API或QueryDSL进行动态查询，它们是类型安全的，天生免疫SQL注入。

注意事项：PreparedStatement并非绝对银弹。如果参数值本身用于动态拼接SQL逻辑（如ORDER BY后面的列名、表名），依然需要谨慎处理。这时应使用白名单机制，只允许预定义的、安全的选项。
// 白名单校验示例 private static final Set<String> SAFE_SORT_COLUMNS = Set.of(“createTime”, “username”, “id”); String sortBy = request.getParameter(“sortBy”); if (!SAFE_SORT_COLUMNS.contains(sortBy)) { sortBy = “createTime”; // 默认值 } String sql = “SELECT * FROM products ORDER BY “ + sortBy; // 此时拼接相对安全

3.2 全面防御XSS：输入过滤与输出编码的双重保险

XSS防御需要前后端配合，遵循“外部数据皆不可信”的原则。

3.2.1 后端防御：在数据输出前进行编码/过滤

HTML实体编码：这是防御XSS最基础、最重要的一环。当用户输入的数据需要作为文本内容（Text Content）显示在HTML标签内部时，必须进行HTML实体编码。
- 作用：将具有特殊HTML语义的字符（如<,>,&,“,’）转换为其对应的实体（如<,>,&,",'）。这样，浏览器会将其解析为普通文本，而不是HTML标签或属性。
- Java实现：可以使用Apache Commons Lang的StringEscapeUtils.escapeHtml4()，或者更现代的OWASP Java Encoder库。
```
import org.owasp.encoder.Encode; String userInput = “<script>alert(‘xss’)</script>“; String safeOutput = Encode.forHtmlContent(userInput); // safeOutput 变为：&lt;script&gt;alert(&#x27;xss&#x27;)&lt;/script&gt; // 在页面上会原样显示为文本，而不是执行脚本。
```
上下文相关的编码：编码不是一成不变的，取决于数据被放置的“上下文”。
- HTML属性上下文：数据放在HTML标签的属性值里（如<input value=“${data}”>）。需要使用Encode.forHtmlAttribute()。它除了处理HTML特殊字符，还会处理属性值引号。
- JavaScript上下文：数据需要嵌入到<script>标签内。必须使用Encode.forJavaScript()，它会转义JS中的特殊字符如引号、换行符和Unicode转义。
- URL上下文：数据作为URL的一部分（如<a href=“/profile?name=${data}”>）。需要使用Encode.forUriComponent()（类似JavaScript的encodeURIComponent）。
- CSS上下文：极少见，但如果需要，使用Encode.forCssString()。

使用安全的富文本处理：对于评论、文章等需要保留部分HTML格式（如加粗、斜体）的场景，不能简单地进行HTML编码（那会连合法的格式也破坏掉）。此时必须使用严格的“白名单”策略进行HTML过滤。

推荐工具：Jsoup是一个优秀的HTML解析和清理库。

import org.jsoup.Jsoup; import org.jsoup.safety.Safelist; String dirtyHtml = “<p><a href=‘http://example.com/‘ onclick=‘stealCookies()’>Link</a><script>alert(‘bad’)</script></p>“; // 定义一个相对宽松但安全的白名单，允许p、a、b、i等标签，以及a标签的href属性 Safelist whitelist = Safelist.relaxed() .addProtocols(“a”, “href”, “http”, “https”) // 只允许http/https链接 .removeAttributes(“a”, “onclick”); // 移除危险的事件属性 String cleanHtml = Jsoup.clean(dirtyHtml, whitelist); // cleanHtml 结果为：<p><a href=“http://example.com/“>Link</a></p> // 脚本、onclick事件都被过滤掉了。

3.2.2 前端辅助防御：内容安全策略

CSP是一种由浏览器提供的、声明式的安全层，它告诉浏览器哪些外部资源（脚本、样式、图片、字体等）可以被加载和执行，是防御XSS的终极利器。

原理：通过HTTP响应头Content-Security-Policy来定义策略。即使攻击者成功注入了脚本，如果该脚本的来源不在白名单内，浏览器也会拒绝执行。
示例策略：
```
Content-Security-Policy: default-src ‘self’; script-src ‘self’ https://trusted.cdn.com; style-src ‘self’ ‘unsafe-inline’; img-src *;
```
- default-src ‘self’：默认只允许加载同源资源。
- script-src ‘self’ https://trusted.cdn.com：脚本只允许来自同源和指定的CDN。
- style-src ‘self’ ‘unsafe-inline’：样式允许同源和内联（谨慎使用）。
- img-src *：图片可以从任何地方加载。

在Spring Boot中配置：

@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http // ... 其他配置 .headers() .contentSecurityPolicy(“default-src ‘self’; script-src ‘self’; style-src ‘self’;”); } }

实操心得：输出编码的时机比过滤更重要。我个人倾向于在视图层（如Thymeleaf、JSP、FreeMarker模板）或序列化层（如返回JSON的Controller）进行编码。因为数据在系统内部流转时可能需要保持原始格式，过早编码可能会破坏数据。像Thymeleaf模板引擎，默认就会对${...}表达式进行HTML转义，这为我们提供了很好的默认安全防护。

4. 框架级安全增强与最佳实践

除了基础的编码和参数化查询，现代Java生态提供了更强大的安全工具。

4.1 使用Spring Security进行深度防护

Spring Security不仅仅用于认证授权，它提供了全面的Web安全防护。

自动CSRF防护：Spring Security默认会为状态改变的请求（POST, PUT, DELETE等）启用CSRF令牌保护，有效防御跨站请求伪造攻击，这是XSS攻击常常结合利用的手段。
安全响应头：除了CSP，还可以方便地配置其他安全头，如：
- X-Content-Type-Options: nosniff：阻止浏览器MIME类型嗅探。
- X-Frame-Options: DENY：防止页面被嵌入到iframe中（点击劫持）。
- Strict-Transport-Security：强制使用HTTPS。
```
http.headers() .contentSecurityPolicy(“...“) .frameOptions().deny() .httpStrictTransportSecurity() .includeSubDomains(true) .maxAgeInSeconds(31536000);
```

4.2 依赖安全扫描：守住第三方库的入口

你的应用安全，你的依赖库不一定安全。像Log4j2漏洞这种由第三方库引发的“核弹级”问题，必须通过工具来防范。

工具推荐：OWASP Dependency-Check或GitHub Dependabot、Snyk。

集成到Maven构建流程：

<plugin> <groupId>org.owasp</groupId> <artifactId>dependency-check-maven</artifactId> <version>8.4.2</version> <executions> <execution> <goals> <goal>check</goal> </goals> </execution> </executions> </plugin>

作用：在编译或CI/CD流程中，自动分析项目依赖，比对已知漏洞数据库（如NVD），生成报告，提示存在安全风险的库及其修复版本。

4.3 实施安全的API设计

对于前后端分离的应用，API是主要入口，其安全设计至关重要。

输入验证：使用Bean Validation（@Valid,@NotNull,@Size,@Pattern）在Controller入口处对DTO进行强验证。

public class UserDTO { @NotBlank @Size(min=3, max=50) private String username; @Email private String email; @Pattern(regexp = “^[a-zA-Z0-9]{6,20}$“) // 限制密码格式 private String password; } @PostMapping(“/users“) public ResponseEntity createUser(@Valid @RequestBody UserDTO userDto) { // ... 业务逻辑 }

输出净化：在返回JSON数据前，对字符串字段进行适当的编码或清理，防止JSON劫持或通过API响应的XSS。可以结合Jackson的序列化器或AOP实现全局处理。
速率限制：对登录、注册、验证码请求等接口实施速率限制，防止暴力破解和DoS攻击。可以使用Spring Boot整合Redis轻松实现。

5. 常见问题排查与实战调试技巧

理论懂了，代码写了，但线上还是可能出问题。下面是一些我实践中总结的排查思路和技巧。

5.1 SQL注入漏洞排查清单

当你怀疑某个接口存在SQL注入时，可以按以下步骤排查：

代码审查：全局搜索项目中Statement、executeUpdate、executeQuery与字符串拼接（+）同时出现的地方。重点审查动态SQL构建的逻辑。
MyBatis XML检查：搜索所有${}的使用场景，确认其参数是否完全可控且未经验证。
日志分析：开启数据库的查询日志（注意性能影响），观察执行的SQL语句是否包含异常的拼接参数。在测试环境，可以临时开启MyBatis的SQL日志打印。
```
# application.yml for MyBatis logging: level: com.xxx.mapper: debug # 打印执行的SQL和参数
```
自动化工具扫描：使用SQLMap（仅用于授权测试！）对测试环境接口进行自动化探测。它可以帮你快速确认是否存在注入点以及注入类型。

5.2 XSS漏洞手动测试与验证

防御措施是否生效，需要测试。

基础Payload测试：
- <script>alert(‘XSS’)</script>：最基础的测试。
- <img src=“x” onerror=“alert(1)”>：利用图片加载错误事件。
- <svg onload=“alert(1)”>：利用SVG标签。
- “><script>alert(1)</script>：尝试闭合前一个属性或标签。
上下文测试：
- 如果输入点出现在<input value=“${here}”>，尝试输入“ onmouseover=“alert(1)。
- 如果输入点出现在<script>var data = ‘${here}’; </script>，尝试输入’; alert(1); //。
观察输出：
- 在浏览器中右键“查看页面源代码”，搜索你的测试输入，看它是否被原样输出（危险！）还是被转义成了HTML实体（安全）。
- 使用浏览器开发者工具的“元素”面板，查看动态生成的DOM结构，确认事件属性等是否被成功注入。
CSP有效性测试：尝试注入一个来自外部域的脚本，如<script src=“http://evil.com/bad.js”></script>。观察浏览器控制台是否出现CSP违规报告。

5.3 安全编码 checklist

在代码审查或自己编写代码时，心里默念这个清单：

场景	安全实践	风险点
数据库操作	一律使用`PreparedStatement`或ORM框架的参数绑定（`#{}`,`?`）。	使用字符串拼接SQL。
动态表名/列名	使用白名单校验，或从枚举/配置中获取。	直接使用用户输入拼接。
日志记录	对用户输入进行过滤后再记录，防止日志注入。	将未经验证的请求参数直接写入日志文件。
HTML输出	根据上下文（内容、属性、JS、CSS）使用对应的编码函数。	直接使用`${userInput}`输出到模板。
富文本处理	使用Jsoup等库进行基于白名单的HTML过滤。	使用黑名单或简单的正则过滤。
JSON输出	确保JSON序列化器能正确处理特殊字符，或提前编码。	手动拼接JSON字符串。
重定向/跳转	校验目标URL是否属于允许的域名（白名单）。	直接使用用户输入的URL进行重定向。
文件上传	校验文件类型（后缀、MIME类型）、大小，重命名存储。	信任客户端传来的文件名和类型。
错误信息	向用户展示友好的通用错误信息，而非详细的异常堆栈。	将数据库错误、Java异常直接返回给前端。

5.4 线上监控与应急响应

安全是持续的过程，需要监控和预案。

监控异常SQL：在应用层或数据库层部署监控，对执行时间异常长、执行频率异常高、或包含特定敏感关键词（如union select,sleep(,information_schema）的SQL语句进行告警。
WAF：在应用前端部署Web应用防火墙，它可以基于规则库拦截常见的SQL注入、XSS等攻击请求，为应用提供一道额外的缓冲层。但记住，WAF不能替代安全的代码，它是补充，不是根本。
应急响应：一旦发现漏洞被利用，立即：
- 隔离：通过WAF或网关快速封禁攻击源IP。
- 止血：评估漏洞点，进行临时代码修复或配置调整（如加强过滤规则）。
- 排查：分析日志，确定受影响的数据范围和用户。
- 修复与发布：完成根本原因修复，并进行安全测试后上线。
- 通知与复盘：根据法规要求通知受影响用户，并进行内部技术复盘，避免同类问题。