如何防止人们在 Spring MVC 中进行 XSS?

Posted

技术标签:

【中文标题】如何防止人们在 Spring MVC 中进行 XSS?【英文标题】:How do I prevent people from doing XSS in Spring MVC? 【发布时间】:2011-01-10 00:23:14 【问题描述】:

在 Spring MVC 中我应该怎么做才能防止 XSS?现在我只是把我输出用户文本的所有地方都放到了 JSTL <c:out> 标签或 fn:escapeXml() 函数中,但这似乎很容易出错,因为我可能会错过一个地方。

有没有一种简单的系统方法来防止这种情况发生?也许像过滤器之类的?我通过在我的控制器方法上指定@RequestParam 参数来收集输入。

【问题讨论】:

查看 Joel Spolsky 的 Making Code Look Wrong -- joelonsoftware.com/articles/Wrong.html -- 这是关于如何处理这个确切问题的。 标题可能被滑稽地误读并回答“首先,在人的大脑中安装一个 JVM”。 ;) 一个非常相似的问题可以在这里找到:***.com/questions/2658922/xss-prevention-in-java 我写了一篇关于如何过滤掉 Jersey REST API 的 XSS 漏洞的博文。将其映射到标准 Java 过滤器很容易:codehustler.org/… 【参考方案1】:

我通过@Valid 对所有输入对象(绑定和@RequestBody json,参见https://dzone.com/articles/spring-31-valid-requestbody)使用Hibernate Validator。所以@org.hibernate.validator.constraints.SafeHtml 对我来说是一个很好的解决方案。

Hibernate SafeHtmlValidator 依赖于org.jsoup,所以需要再添加一个项目依赖:

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

对于带有字段的 bean User

@NotEmpty
@SafeHtml
protected String name;

用于在控制器中使用值 &lt;script&gt;alert(123)&lt;/script&gt; 进行更新尝试

@PutMapping(value = "/id", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id) 

@PostMapping
public void createOrUpdate(@Valid User user) 

BindException 用于绑定,MethodArgumentNotValidException 用于@RequestBody 并带有默认消息:

name may have unsafe html content

Validator 也适用于绑定,就像在持久化之前一样。 应用可以在http://topjava.herokuapp.com/进行测试

更新:另见@GuyT 的评论

CVE-2019-10219 and status of @SafeHtml

我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219,它已在 6.0.18.Final 和 6.1.0.Final....中得到修复。

但是,我们得出的结论是,@SafeHtml 约束很脆弱,对安全性高度敏感,并且依赖于并非为此目的而设计的外部库。将它包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划,所以我们的用户必须自己维护这个约束

我自己的简历:它是安全的,可以使用,直到找到更好的解决方案。

更新:由于从hibernate.validator 中删除@SafeHtml/SafeHtmlValidator 使用自己的NoHtmlValidator,请参阅https://***.com/a/68888601/548473

【讨论】:

请注意,由于安全问题***.com/questions/58913428/…,现在已弃用【参考方案2】:
**To avoid XSS security threat in spring application**

XSS 问题的解决方法是过滤表单中的所有文本字段 在提交表单时。

    It needs XML entry in the web.xml file & two simple classes.

        java code :-
        The code for the  first class named CrossScriptingFilter.java is :

        package com.filter;

        import java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter 
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException 
                this.filterConfig = filterConfig;
            

            public void destroy() 
                this.filterConfig = null;
            

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException 
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            

        

名为 RequestWrapper.java 的代码第二个类是:

包 com.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper 
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) 
        super(servletRequest);
    

    public String[] getParameterValues(String parameter) 
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) 
            return null;
        
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) 
            encodedValues[i] = cleanXSS(values[i]);
        
        return encodedValues;
    

    public String getParameter(String parameter) 
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) 
            return null;
        
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    

    public String getHeader(String name) 
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    

    private String cleanXSS(String value) 
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    

唯一剩下的就是 web.xml 文件中的 XML 条目:

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/*表示浏览器的每一个请求,都会调用 CrossScriptingFilter 类。它将解析来自请求的所有组件/元素 & 将用空字符串替换黑客放置的所有javascript标签,即

【讨论】:

您的代码是避免 XSS 的错误模式。您无需使用替换方法执行 à Blacklist。你需要对输出进行编码才能真正对抗 XSS! 正如@SPoint 所说,将您的输入列入黑名单,就像在这个答案中提出的那样,是一种不好的方法。您需要一个两管齐下的解决方案:1 个转义输出和 2 个白名单输入。白名单限制了用户被允许提交的内容,而不是在您允许任何内容并希望自己清理输入的黑名单中【参考方案3】:

不要只依赖&lt;c:out /&gt;,还应该使用antixss 库,它不仅可以编码,还可以清理输入中的恶意脚本。可用的最佳库之一是 OWASP Antisamy,它非常灵活,可以根据需要进行配置(使用 xml 策略文件)。

例如如果应用程序仅支持文本输入,则可以使用 OWASP 提供的大多数通用 policy file 来清理和删除大部分 html 标签。同样,如果应用程序支持需要各种html标签的html编辑器(例如tinymce),可以使用更灵活的策略,例如ebay policy file

【讨论】:

【参考方案4】:

在 Spring 中,您可以从 &lt;form&gt; 标签生成的 JSP 页面中转义 html。这为 XSS 攻击关闭了很多途径,并且可以通过三种方式自动完成:

对于web.xml 文件中的整个应用程序:

<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

对于文件本身中给定页面上的所有表单:

<spring:htmlEscape defaultHtmlEscape="true" /> 

对于每种形式:

<form:input path="someFormField" htmlEscape="true" /> 

【讨论】:

我将 放在了一个包含文件中,该文件包含在我的所有页面中,但它似乎并没有什么不同。该标签会导致 $param.q 被转义吗? 如果您在 HTML 属性或 Javascript 中使用生成的字符串,defaultHTMLEscape 是不够的,请使用 &lt;c:out /&gt;-tag。似乎 defaultHtmlEscape 不会转义所有 html 字符。它逃脱例如'' 或 '&' 但双引号 " 没有为我转义。如果使用结果字符串,这可能会导致问题,例如在 html 属性或 javascript 中。 (另见 Erlend 的回答) 我将 context-param 添加到我的 web.xml 但它不起作用。 是输入编码还是输出转义?【参考方案5】:

试试XSSFilter。

【讨论】:

我的应用程序在配置 xssflt.jar 后停止工作。一旦我从 web xml 中删除过滤器和过滤器映射,它就开始工作了。 如何在基于 Maven 的项目中使用它? 它不适用于表单类型 multipart,这意味着当我们发送带有表单的文件时,此过滤不起作用,我的查询是否正确?如果是,有什么解决办法吗?或者我怎么了【参考方案6】:

当您试图阻止 XSS 时,考虑上下文很重要。例如,如果您在 javascript sn-p 中的变量内输出数据,而不是在 HTML 标记或 HTML 属性中输出数据,那么如何以及如何转义是非常不同的。

我在这里有一个例子:http://erlend.oftedal.no/blog/?blogid=91

还可以查看 OWASP XSS 预防备忘单:http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

所以简短的回答是,确保您按照 Tendayi Mawushe 的建议转义输出,但在以 HTML 属性或 javascript 输出数据时要特别小心。

【讨论】:

“特别小心” = 在 HTML 属性或 javascript 中输出数据时使用 &lt;c:out /&gt;-tag。 (请参阅我在 Tendayi Mawushe 的回答中的评论) 嗯,这不仅仅是使用 。 Javascript 具有除 HTML 之外的其他控制字符,并且可以以不同的方式受到攻击,因此需要使用其他类型的转义来处理。一个简单的例子:var a = ''; var b = '';如果 a 中的输入是单个反斜杠,则 b 中的脚本将运行。转义取决于上下文。【参考方案7】:

始终手动检查您使用的方法、标签,并确保它们最终总是转义(一次)。框架在这方面有很多错误和差异。

概述:http://www.gablog.eu/online/node/91

【讨论】:

【参考方案8】:

首先,您如何收集用户输入?如果您使用FormController,此问题/答案可能会有所帮助:

Spring: escaping input when binding to command

【讨论】:

以上是关于如何防止人们在 Spring MVC 中进行 XSS?的主要内容,如果未能解决你的问题,请参考以下文章

.net mvc如何防止用户后退,现在保存订单后能回到订单页面重复提交,如何能防止后退

如何在 Spring 3 MVC 应用程序中对文件上传进行病毒扫描[关闭]

写的太细了!Spring MVC拦截器的应用,建议收藏再看!

在JSP中常见问题,防止SpringMVC拦截器拦截js等静态资源文件的解决方案

如何在 Spring MVC 中模拟安全上下文以进行测试

spring mvc+spring + hibernate 整合