在 Spring MVC 中我应该怎么做才能防止 XSS?现在我只是将所有输出用户文本的地方都放入 JSTL<c:out>标记或fn:escapeXml()函数中,但这似乎很容易出错,因为我可能会错过一个地方。
有没有一种简单的系统方法来防止这种情况?也许像过滤器之类的?我通过@RequestParam在我的控制器方法上指定参数来收集输入。
问问题
109739 次
8 回答
63
在 Spring 中,您可以从<form>标签生成的 JSP 页面中转义 html。这关闭了 XSS 攻击的许多途径,并且可以通过三种方式自动完成:
对于文件中的整个应用程序web.xml:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
对于文件本身中给定页面上的所有表单:
<spring:htmlEscape defaultHtmlEscape="true" />
对于每个表格:
<form:input path="someFormField" htmlEscape="true" />
于 2010-01-27T15:28:54.943 回答
13
我将 Hibernate Validator via@Valid用于所有输入对象(绑定和@RequestBodyjson,请参阅https://dzone.com/articles/spring-31-valid-requestbody)。所以@org.hibernate.validator.constraints.SafeHtml对我来说是一个很好的解决方案。
HibernateSafeHtmlValidator依赖org.jsoup,所以需要再添加一个项目依赖:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
User用于带字段的 bean
@NotEmpty
@SafeHtml
protected String name;
<script>alert(123)</script>用于更新控制器中的值的尝试
@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
或者
@PostMapping
public void createOrUpdate(@Valid User user) {
被抛出用于BindException绑定和默认消息:MethodArgumentNotValidException@RequestBody
name may have unsafe html content
Validator 也适用于绑定,就像在持久化之前一样。可以在http://topjava.herokuapp.com/测试应用程序
更新:另见@GuyT 的评论
我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219,它已在 6.0.18.Final 和 6.1.0.Final 中修复......
然而,我们得出的结论是@SafeHtml 约束是脆弱的、高度安全敏感的并且依赖于不是为此目的而设计的外部库。将它包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划,所以我们的用户必须自己维护这个约束
给自己的简历:它是安全的,可以使用,直到找到更好的解决方案。
更新:由于@SafeHtml/SafeHtmlValidator从hibernate.validator使用中删除NoHtmlValidator,请参阅https://stackoverflow.com/a/68888601/548473
于 2016-11-16T23:38:38.207 回答
8
试试XSSFilter。
于 2010-01-27T15:12:29.300 回答
6
当你试图阻止 XSS 时,考虑上下文很重要。例如,如果您在 javascript 片段中的变量内输出数据,而不是在 HTML 标记或 HTML 属性中输出数据,那么转义的方式和内容是非常不同的。
我在这里有一个例子:http ://erlend.oftedal.no/blog/?blogid=91
还可以查看 OWASP XSS 预防备忘单:http ://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
所以简短的回答是,确保您按照 Tendayi Mawushe 的建议转义输出,但在以 HTML 属性或 javascript 输出数据时要特别小心。
于 2010-01-31T11:07:04.417 回答
0
首先,您是如何收集用户输入的?如果您使用的是:此问题/答案可能会有所帮助FormController:
于 2010-01-27T15:15:24.207 回答
0
始终手动检查您使用的方法、标签,并确保它们最终总是转义(一次)。框架在这方面有很多错误和差异。
于 2010-01-27T16:01:36.723 回答
0
不仅要依赖<c:out />,还应该使用 antixss 库,它不仅可以编码,还可以清理输入中的恶意脚本。可用的最佳库之一是 OWASP Antisamy,它非常灵活,可以根据需要进行配置(使用 xml 策略文件)。
例如,如果应用程序仅支持文本输入,则可以使用 OWASP 提供的大多数通用策略文件,它可以清理和删除大部分 html 标记。同样,如果应用程序支持需要各种 html 标签的 html 编辑器(例如 tinymce),则可以使用更灵活的策略,例如ebay 策略文件
于 2015-06-11T09:50:15.627 回答
-1
**To avoid XSS security threat in spring application**
XSS 问题的解决方案是在提交表单时过滤表单中的所有文本字段。
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter {
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
}
}
名为 RequestWrapper.java 的代码第二个类是:
包 com.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
唯一剩下的是 web.xml 文件中的 XML 条目:
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
/* 表示对于来自浏览器的每个请求,它将调用 CrossScriptingFilter 类。它将解析来自请求的所有组件/元素,并将黑客放置的所有javascript标签替换为空字符串,即
于 2017-10-27T20:02:54.370 回答