Как мне запретить людям делать XSS в Spring MVC? - PullRequest
Новая
       47

Как мне запретить людям делать XSS в Spring MVC?

50 голосов
/ 27 января 2010

Что я должен сделать, чтобы предотвратить XSS в Spring MVC? Сейчас я просто помещаю все места, где я выводю пользовательский текст, в теги JSTL <c:out> или fn:escapeXml(), но это может привести к ошибкам, поскольку я могу пропустить место.

Есть ли простой систематический способ предотвратить это? Может быть, как фильтр или что-то? Я собираю данные, указав @RequestParam параметры в моих методах контроллера.

Ответы [ 8 ]

53 голосов
/ 27 января 2010

Весной вы можете избежать html со страниц JSP, сгенерированных тегами <form>.Это закрывает множество возможностей для атак XSS и может быть сделано автоматически тремя способами:

Для всего приложения в файле web.xml: 

<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

Для всех формуказанная страница в самом файле: 

<spring:htmlEscape defaultHtmlEscape="true" />

Для каждой формы: 

<form:input path="someFormField" htmlEscape="true" />
8 голосов
/ 27 января 2010

Попробуйте XSSFilter .

7 голосов
/ 17 ноября 2016

Я использую Hibernate Validator через @Valid для всех входных объектов (привязка и @RequestBody json, см. https://dzone.com/articles/spring-31-valid-requestbody). Так что @org.hibernate.validator.constraints.SafeHtml - хорошее решение для меня.

Hibernate SafeHtmlValidator зависит от org.jsoup, поэтому необходимо добавить еще одну зависимость проекта: 

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

Для бобов User с полем 

@NotEmpty
@SafeHtml
protected String name;

для попытки обновления со значением <script>alert(123)</script> в контроллере 

@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)

или 

@PostMapping
public void createOrUpdate(@Valid User user) {

выбрасывается BindException для привязки и MethodArgumentNotValidException для @RequestBody с сообщением по умолчанию: 

name may have unsafe html content

Validator работает так же хорошо для связывания, как и раньше. Приложения могут быть протестированы на http://topjava.herokuapp.com/

6 голосов
/ 31 января 2010

Когда вы пытаетесь предотвратить XSS, важно думать о контексте. Например, как и что избегать, очень отличается, если вы выводите данные внутри переменной в фрагменте JavaScript, а не выводите данные в теге HTML или атрибуте HTML.

У меня есть пример этого здесь: http://erlend.oftedal.no/blog/?blogid=91

Также ознакомьтесь с Шпаргалкой по профилактике OWASP XSS: http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

Итак, короткий ответ: убедитесь, что вы избегаете вывода, подобного предложенному Tendayi Mawushe, но будьте особенно внимательны при выводе данных в атрибутах HTML или javascript.

0 голосов
/ 27 октября 2017 
**To avoid XSS security threat in spring application**

решение проблемы XSS - отфильтровать все текстовые поля в форме на момент отправки формы. 

    It needs XML entry in the web.xml file & two simple classes.

        java code :-
        The code for the  first class named CrossScriptingFilter.java is :

        package com.filter;

        import java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter {
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException {
                this.filterConfig = filterConfig;
            }

            public void destroy() {
                this.filterConfig = null;
            }

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            }

        }

Код второго класса с именем RequestWrapper.java:

пакет com.filter; 

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper {
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    }

Единственное, что осталось - это запись XML в файле web.xml: 

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/ * указывает, что для каждого запроса, сделанного из браузера, он будет вызывать Класс CrossScriptingFilter. Который будет анализировать все компоненты / элементы, полученные из запроса & заменит все теги javascript, поставленные хакером, пустой строкой, т.е.

0 голосов
/ 11 июня 2015

Вместо того, чтобы полагаться только на <c:out />, следует также использовать библиотеку antixss, которая будет не только кодировать, но и дезинфицировать вредоносный скрипт при вводе. Одной из лучших доступных библиотек является OWASP Antisamy , она очень гибкая и может быть настроена (используя файлы политики xml) в соответствии с требованиями.

Например, если приложение поддерживает только ввод текста, то можно использовать наиболее общий файл политики , предоставленный OWASP, который дезинфицирует и удаляет большинство тегов html. Аналогично, если приложение поддерживает html-редакторы (такие как tinymce), которым требуются все виды html-тегов, можно использовать более гибкую политику, такую ​​как файл политики ebay

0 голосов
/ 27 января 2010

Всегда проверяйте вручную методы, теги, которые вы используете, и убедитесь, что они всегда выходят (один раз) в конце. Фреймворки имеют много ошибок и различий в этом аспекте.

Обзор: http://www.gablog.eu/online/node/91

0 голосов
/ 27 января 2010

Как вы собираете пользовательский ввод в первую очередь? Этот вопрос / ответ может помочь, если вы используете FormController:

Spring: экранирование ввода при привязке к команде

...