JSF中的CSRF、XSS和SQL注入攻击预防
我有一个基于JSF构建的web应用程序,MySQL作为DB。我已经在我的应用程序中实现了防止CSRF的代码 既然我的底层框架是JSF,我想我不必处理XSS攻击,因为它已经被JSF中的CSRF、XSS和SQL注入攻击预防,jsf,xss,sql-injection,csrf,owasp,Jsf,Xss,Sql Injection,Csrf,Owasp,我有一个基于JSF构建的web应用程序,MySQL作为DB。我已经在我的应用程序中实现了防止CSRF的代码 既然我的底层框架是JSF,我想我不必处理XSS攻击,因为它已经被UIComponent处理过了。我没有在任何视图页面中使用任何JavaScript。即使我使用了,我真的需要实现代码来防止XSS攻击吗 对于DB,我们在所有DB交互中使用准备好的语句和存储过程 为了防止这3种常见的攻击,还需要处理其他任何事情吗? 我已经通过该网站和他们的 我需要处理任何其他潜在的攻击载体吗 我没有在任何视图页
UIComponentresponse.write("<b>" + x + "</b>")
等
欢迎,#{user.name}
escape=“false”
itemLabelEscaped列表而不是列表
或选择项[]
作为值()时,
错误地将标签呈现为不可替换。换句话说,如果您正在通过列表
将用户控制的数据重新显示为项目标签,则可能存在XSS漏洞。如果升级到至少Mojarra 2.2.6不是一个选项,那么您需要显式地将itemLabelEscaped
属性设置为true
,以防止出现这种情况
CSRF
在使用服务器端状态保存时,JSF2.x已经在表单中的javax.faces.ViewState
隐藏字段中内置了CSRF预防。在JSF1.x中,这个值非常弱,而且太容易预测(实际上它从来没有打算作为CSRF预防)。在JSF2.0中,通过使用一个长而强的自动生成值而不是一个相当可预测的序列值,这一点得到了改进,从而使其成为一个健壮的CSRF预防
在JSF2.2中,如果启用了客户端状态保存,这甚至可以通过使其成为JSF规范的必需部分,以及用于加密客户端状态的可配置AES密钥来进一步改进。另见和。JSF2.2中的新功能是对GET请求的CSRF保护
只有当您使用的是
中的无状态视图,或者应用程序中存在XSS攻击漏洞时,才可能存在CSRF攻击漏洞
SQL注入
这不是JSF的责任。如何防止这种情况取决于您使用的持久化API(原始JDBC、现代JPA或良好的ol'Hibernate),但归根结底,您应该永远不要像这样将用户控制的输入连接到SQL字符串中
String sql = "SELECT * FROM user WHERE username = '" + username + "' AND password = md5(" + password + ")";
String jpql = "SELECT u FROM User u WHERE u.username = '" + username + "' AND u.password = md5('" + password + "')";
想象一下,如果最终用户选择以下名称,会发生什么情况:
如果适用,应始终使用参数化查询
String sql = "SELECT * FROM user WHERE username = ? AND password = md5(?)";
String jpql = "SELECT u FROM User u WHERE u.username = ?1 AND u.password = md5(?2)";
在普通JDBC中,您需要使用它来填充参数值,而在JPA(和Hibernate)中,对象也提供了用于填充参数值的设置程序。当使用
和未替换的值(例如来自html文本编辑器)时,您将面临严重的XSS攻击。在这种情况下,我使用的是JSF转换器,它使用Jsoup从文本中删除javascript,而HTML保持不变。转换器也可用于净化用户输入。您可以这样使用它:
以及转换器本身:
/**
* Prevents from XSS attack if output text is not escaped.
*/
@FacesConverter("htmlSanitizingConverter")
public class HtmlSanitizingConverter implements Converter {
private static final Whitelist JSOUP_WHITELIST = Whitelist.relaxed()
.preserveRelativeLinks(true)
.addAttributes(":all","style");
/*
Optionally - add support for hyperlinks and base64 encoded images.
.addTags("img")
.addAttributes("img", "height", "src", "width")
.addAttributes("a", "href")
.addProtocols("img", "src", "http", "https", "data");
*/
@Override
public Object getAsObject(FacesContext context, UIComponent component, String submittedValue) {
return (submittedValue != null) ? Jsoup.clean(submittedValue, JSOUP_WHITELIST) : null;
}
@Override
public String getAsString(FacesContext context, UIComponent component, Object value) {
return (value != null) ? Jsoup.clean(value.toString(), JSOUP_WHITELIST) : "";
}
}
注:
当您将JSF与PrimeFaces一起使用时,请注意默认情况下,
-(6.2之前)没有清理用户输入。@ankit,是否有一句话让您感到困惑?问题是我正在使用JSF,我想就像其他框架一样,它会自动生成HTML。所以我仍然不知道
String sql = "SELECT * FROM user WHERE username = ? AND password = md5(?)";
String jpql = "SELECT u FROM User u WHERE u.username = ?1 AND u.password = md5(?2)";
/**
* Prevents from XSS attack if output text is not escaped.
*/
@FacesConverter("htmlSanitizingConverter")
public class HtmlSanitizingConverter implements Converter {
private static final Whitelist JSOUP_WHITELIST = Whitelist.relaxed()
.preserveRelativeLinks(true)
.addAttributes(":all","style");
/*
Optionally - add support for hyperlinks and base64 encoded images.
.addTags("img")
.addAttributes("img", "height", "src", "width")
.addAttributes("a", "href")
.addProtocols("img", "src", "http", "https", "data");
*/
@Override
public Object getAsObject(FacesContext context, UIComponent component, String submittedValue) {
return (submittedValue != null) ? Jsoup.clean(submittedValue, JSOUP_WHITELIST) : null;
}
@Override
public String getAsString(FacesContext context, UIComponent component, Object value) {
return (value != null) ? Jsoup.clean(value.toString(), JSOUP_WHITELIST) : "";
}
}