如何防止人们在SpringMVC中使用XSS?
在SpringMVC中我应该如何防止XSS?现在,我只是将所有输出用户文本的地方放在JSTL如何防止人们在SpringMVC中使用XSS?,spring,jsp,spring-mvc,xss,html-escape-characters,Spring,Jsp,Spring Mvc,Xss,Html Escape Characters,在SpringMVC中我应该如何防止XSS?现在,我只是将所有输出用户文本的地方放在JSTL标记或fn:escapeXml()函数中,但这似乎容易出错,因为我可能会错过一个位置 有没有一个简单系统的方法来防止这种情况?也许是过滤器什么的?我通过在控制器方法上指定@RequestParam参数来收集输入 试试。您首先是如何收集用户输入的?如果您正在使用FormController,此问题/答案可能会有所帮助: 在春季,您可以从标记生成的JSP页面中转义html。这关闭了许多XSS攻击的途径,可以通
标记或fn:escapeXml()
函数中,但这似乎容易出错,因为我可能会错过一个位置
有没有一个简单系统的方法来防止这种情况?也许是过滤器什么的?我通过在控制器方法上指定
@RequestParam
参数来收集输入 试试。您首先是如何收集用户输入的?如果您正在使用FormController
,此问题/答案可能会有所帮助:
在春季,您可以从
标记生成的JSP页面中转义html。这关闭了许多XSS攻击的途径,可以通过三种方式自动完成:
对于web.xml
文件中的整个应用程序:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
默认HTMLescape
真的
对于文件本身中给定页面上的所有表单:
<spring:htmlEscape defaultHtmlEscape="true" />
对于每种形式:
<form:input path="someFormField" htmlEscape="true" />
始终手动检查您使用的方法和标记,并确保它们最终总是转义(一次)。框架在这方面有很多缺陷和差异
概述:当您试图阻止XSS时,考虑上下文是很重要的。例如,如果您在javascript代码段中的变量内输出数据,而不是在HTML标记或HTML属性中输出数据,那么转义的方式和内容将非常不同 我这里有一个例子: 还要签出OWASP XSS预防备忘单:
因此,简单的回答是,确保您按照Tendayi Mawuse的建议逃逸输出,但在以HTML属性或javascript输出数据时要特别小心。除了依赖
,还应该使用antixss库,它不仅可以编码输入中的恶意脚本,还可以清除恶意脚本。最好的可用库之一是OWASP,它非常灵活,可以根据需要进行配置(使用xml策略文件)
例如,如果一个应用程序只支持文本输入,那么可以使用OWASP提供的最通用的方法来清理和删除大多数html标记。类似地,如果应用程序支持需要所有类型html标记的html编辑器(如tinymce),则可以使用更灵活的策略,例如我通过
@Valid
为所有输入对象(绑定和@RequestBody
json,请参阅)使用Hibernate验证器。因此,@org.hibernate.validator.constraints.SafeHtml
对我来说是一个很好的解决方案
HibernateSafeThmlValidator
依赖于org.jsoup
,因此需要再添加一个项目依赖项:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
用于在控制器中使用值警报(123)
进行更新尝试
@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
或
为绑定抛出BindException
,为@RequestBody
抛出MethodArgumentNotValidException
,并显示默认消息:
name may have unsafe html content
与持久化之前一样,验证程序也适用于绑定。
应用程序可以在
更新:另见@GuyT的评论
我们已经了解到与@SafeHtml约束相关的CVE-2019-10219,它在6.0.18.Final和6.1.0.Final中都已修复
然而,我们得出的结论是@SafeHtml约束是脆弱的、高度安全敏感的,并且依赖于并非为此目的而设计的外部库。将其包含在核心Hibernate验证器中不是一个好主意。这就是为什么我们不推荐它并将其标记为删除。这里没有神奇的计划,所以我们的用户必须自己维护这个约束
我自己的简历:它是安全的,可以使用,直到找到更好的解决方案
**To avoid XSS security threat in spring application**
XSS问题的解决方案是过滤表单中的所有文本字段
在提交表格时
第二个名为RequestWrapper.java的代码类是:
包com.filter
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
import javax.servlet.http.HttpServletRequest;
导入javax.servlet.http.HttpServletRequestWrapper;
导入org.apache.log4j.Logger;
公共最终类RequestWrapper扩展了HttpServletRequestWrapper{
私有静态记录器=Logger.getLogger(RequestWrapper.class);
公共请求包装器(HttpServletRequest-servletRequest){
超级(servletRequest);
}
公共字符串[]getParameterValues(字符串参数){
logger.info(“InarameterValues..parameter…”);
字符串[]值=super.getParameterValues(参数);
如果(值==null){
返回null;
}
int count=value.length;
String[]encodedValues=新字符串[count];
for(int i=0;i**To avoid XSS security threat in spring application**
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter {
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
}
}
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>