如何防止人们在 Spring MVC 中进行 XSS?

问题描述 投票:0回答:8

如何防止 Spring MVC 中的 XSS?现在我只是将所有输出用户文本的地方放入 JSTL 

<c:out>
标签或 
fn:escapeXml()
函数中,但这似乎很容易出错,因为我可能会错过某个地方。

有没有一种简单的系统方法来防止这种情况发生?也许像过滤器什么的?我通过在控制器方法上指定 

@RequestParam
参数来收集输入。

spring jsp spring-mvc xss html-escape-characters
8个回答
65
投票

在 Spring 中,您可以从由 

<form>
标签生成的 JSP 页面中转义 html。这关闭了许多 XSS 攻击的途径,并且可以通过三种方式自动完成:

对于 

web.xml
文件中的整个应用程序:

<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

对于文件本身给定页面上的所有表单:

<spring:htmlEscape defaultHtmlEscape="true" />

对于每种表格:

<form:input path="someFormField" htmlEscape="true" />
13
投票

我通过 

@Valid
对所有输入对象使用 Hibernate Validator(绑定和 
@RequestBody
json,请参阅 https://dzone.com/articles/spring-31-valid-requestbody)。所以
@org.hibernate.validator.constraints.SafeHtml
对我来说是一个很好的解决方案。

Hibernate 

SafeHtmlValidator
依赖于
org.jsoup
,所以需要再添加一个项目依赖:

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

对于豆

User
带字段

@NotEmpty
@SafeHtml
protected String name;

尝试在控制器中使用值 

<script>alert(123)</script>
进行更新

@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id) 


@PostMapping
public void createOrUpdate(@Valid User user) {

抛出 

BindException
用于绑定,
MethodArgumentNotValidException
用于 
@RequestBody
,默认消息:

name may have unsafe html content

验证器对于绑定也同样有效,就像之前的持久化一样。 应用程序可以在 http://topjava.herokuapp.com/

进行测试

更新:另请参阅@GuyT 的评论

CVE-2019-10219 和 @SafeHtml 的状态

我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219,它已在 6.0.18.Final 和 6.1.0.Final 中修复......

但是,我们得出的结论是,@SafeHtml 约束很脆弱,对安全性高度敏感,并且依赖于并非为此目的设计的外部库。将其包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划,所以我们的用户必须自己维护这个约束

我自己的简历:它是安全的并且可以使用,直到找到更好的解决方案。

更新:由于从

@SafeHtml/SafeHtmlValidator
中删除
hibernate.validator
,请使用自己的
NoHtmlValidator
,请参阅https://stackoverflow.com/a/68888601/548473

8
投票

尝试XSSFilter

6
投票

当您尝试防止 XSS 时,考虑上下文很重要。举个例子,如果您在 JavaScript 代码片段中的变量内输出数据,而不是在 HTML 标签或 HTML 属性中输出数据,那么转义的方式和内容是非常不同的。

我这里有一个这样的例子。另请查看 OWASP XSS 预防备忘单

所以简短的答案是,确保按照 Tendayi Mawushe 的建议转义输出,但在 HTML 属性或 JavaScript 中输出数据时要特别小心。

0
投票

您首先如何收集用户输入?如果您使用的是 

FormController
,这个问题/答案可能会有所帮助:

Spring:绑定到命令时转义输入

0
投票

始终手动检查您使用的方法、标签,并确保它们最终总是逃逸(一次)。框架在这方面有很多错误和差异。

概述:http://www.gablog.eu/online/node/91

0
投票

不应仅依赖

<c:out />
,还应该使用 antixss 库,它不仅可以编码,还可以清理输入中的恶意脚本。最好的可用库之一是 OWASP Antisamy,它非常灵活,可以根据要求进行配置(使用 xml 策略文件)。

例如如果应用程序仅支持文本输入,则可以使用 OWASP 提供的最通用的策略文件来清理和删除大部分 html 标签。同样,如果应用程序支持需要各种html标签的html编辑器(例如tinymce),则可以使用更灵活的策略,例如ebay策略文件

-1
投票
**To avoid XSS security threat in spring application**

XSS问题的解决方案是过滤表单中的所有文本字段 提交表格时。

    It needs XML entry in the web.xml file & two simple classes.

        java code :-
        The code for the  first class named CrossScriptingFilter.java is :

        package com.filter;

        import java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter {
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException {
                this.filterConfig = filterConfig;
            }

            public void destroy() {
                this.filterConfig = null;
            }

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            }

        }

名为RequestWrapper.java的第二个类的代码是:

包 com.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper {
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    }

唯一剩下的是 web.xml 文件中的 XML 条目:

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/* 表示对于浏览器发出的每个请求,它都会调用 CrossScriptingFilter 类。它将解析来自请求的所有组件/元素& 将用空字符串替换黑客放置的所有 javascript 标签,即

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.