如何防止人们在 Spring MVC 中进行 XSS?
Posted
技术标签:
【中文标题】如何防止人们在 Spring MVC 中进行 XSS?【英文标题】:How do I prevent people from doing XSS in Spring MVC? 【发布时间】:2011-01-10 00:23:14 【问题描述】:在 Spring MVC 中我应该怎么做才能防止 XSS?现在我只是把我输出用户文本的所有地方都放到了 JSTL <c:out> 标签或 fn:escapeXml() 函数中,但这似乎很容易出错,因为我可能会错过一个地方。
有没有一种简单的系统方法来防止这种情况发生?也许像过滤器之类的?我通过在我的控制器方法上指定@RequestParam 参数来收集输入。
【问题讨论】:
查看 Joel Spolsky 的 Making Code Look Wrong -- joelonsoftware.com/articles/Wrong.html -- 这是关于如何处理这个确切问题的。 标题可能被滑稽地误读并回答“首先,在人的大脑中安装一个 JVM”。 ;) 一个非常相似的问题可以在这里找到:***.com/questions/2658922/xss-prevention-in-java 我写了一篇关于如何过滤掉 Jersey REST API 的 XSS 漏洞的博文。将其映射到标准 Java 过滤器很容易:codehustler.org/… 【参考方案1】:我通过@Valid 对所有输入对象(绑定和@RequestBody json,参见https://dzone.com/articles/spring-31-valid-requestbody)使用Hibernate Validator。所以@org.hibernate.validator.constraints.SafeHtml 对我来说是一个很好的解决方案。
Hibernate SafeHtmlValidator 依赖于org.jsoup,所以需要再添加一个项目依赖:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
对于带有字段的 bean User
@NotEmpty
@SafeHtml
protected String name;
用于在控制器中使用值 <script>alert(123)</script> 进行更新尝试
@PutMapping(value = "/id", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
或
@PostMapping
public void createOrUpdate(@Valid User user)
BindException 用于绑定,MethodArgumentNotValidException 用于@RequestBody 并带有默认消息:
name may have unsafe html content
Validator 也适用于绑定,就像在持久化之前一样。 应用可以在http://topjava.herokuapp.com/进行测试
更新:另见@GuyT 的评论
CVE-2019-10219 and status of @SafeHtml
我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219,它已在 6.0.18.Final 和 6.1.0.Final....中得到修复。
但是,我们得出的结论是,@SafeHtml 约束很脆弱,对安全性高度敏感,并且依赖于并非为此目的而设计的外部库。将它包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划,所以我们的用户必须自己维护这个约束
我自己的简历:它是安全的,可以使用,直到找到更好的解决方案。
更新:由于从hibernate.validator 中删除@SafeHtml/SafeHtmlValidator 使用自己的NoHtmlValidator,请参阅https://***.com/a/68888601/548473
【讨论】:
请注意,由于安全问题***.com/questions/58913428/…,现在已弃用【参考方案2】:**To avoid XSS security threat in spring application**
XSS 问题的解决方法是过滤表单中的所有文本字段 在提交表单时。
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException
this.filterConfig = filterConfig;
public void destroy()
this.filterConfig = null;
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
名为 RequestWrapper.java 的代码第二个类是:
包 com.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest)
super(servletRequest);
public String[] getParameterValues(String parameter)
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null)
return null;
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++)
encodedValues[i] = cleanXSS(values[i]);
return encodedValues;
public String getParameter(String parameter)
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null)
return null;
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
public String getHeader(String name)
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
private String cleanXSS(String value)
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
唯一剩下的就是 web.xml 文件中的 XML 条目:
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
/*表示浏览器的每一个请求,都会调用 CrossScriptingFilter 类。它将解析来自请求的所有组件/元素 & 将用空字符串替换黑客放置的所有javascript标签,即
【讨论】:
您的代码是避免 XSS 的错误模式。您无需使用替换方法执行 à Blacklist。你需要对输出进行编码才能真正对抗 XSS! 正如@SPoint 所说,将您的输入列入黑名单,就像在这个答案中提出的那样,是一种不好的方法。您需要一个两管齐下的解决方案:1 个转义输出和 2 个白名单输入。白名单限制了用户被允许提交的内容,而不是在您允许任何内容并希望自己清理输入的黑名单中【参考方案3】:不要只依赖<c:out />,还应该使用antixss 库,它不仅可以编码,还可以清理输入中的恶意脚本。可用的最佳库之一是 OWASP Antisamy,它非常灵活,可以根据需要进行配置(使用 xml 策略文件)。
例如如果应用程序仅支持文本输入,则可以使用 OWASP 提供的大多数通用 policy file 来清理和删除大部分 html 标签。同样,如果应用程序支持需要各种html标签的html编辑器(例如tinymce),可以使用更灵活的策略,例如ebay policy file
【讨论】:
【参考方案4】:在 Spring 中,您可以从 <form> 标签生成的 JSP 页面中转义 html。这为 XSS 攻击关闭了很多途径,并且可以通过三种方式自动完成:
对于web.xml 文件中的整个应用程序:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
对于文件本身中给定页面上的所有表单:
<spring:htmlEscape defaultHtmlEscape="true" />
对于每种形式:
<form:input path="someFormField" htmlEscape="true" />
【讨论】:
我将defaultHTMLEscape 是不够的,请使用 <c:out />-tag。似乎 defaultHtmlEscape 不会转义所有 html 字符。它逃脱例如'' 或 '&' 但双引号 " 没有为我转义。如果使用结果字符串,这可能会导致问题,例如在 html 属性或 javascript 中。 (另见 Erlend 的回答)
我将 context-param 添加到我的 web.xml 但它不起作用。
是输入编码还是输出转义?【参考方案5】:
试试XSSFilter。
【讨论】:
我的应用程序在配置 xssflt.jar 后停止工作。一旦我从 web xml 中删除过滤器和过滤器映射,它就开始工作了。 如何在基于 Maven 的项目中使用它? 它不适用于表单类型 multipart,这意味着当我们发送带有表单的文件时,此过滤不起作用,我的查询是否正确?如果是,有什么解决办法吗?或者我怎么了【参考方案6】:当您试图阻止 XSS 时,考虑上下文很重要。例如,如果您在 javascript sn-p 中的变量内输出数据,而不是在 HTML 标记或 HTML 属性中输出数据,那么如何以及如何转义是非常不同的。
我在这里有一个例子:http://erlend.oftedal.no/blog/?blogid=91
还可以查看 OWASP XSS 预防备忘单:http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
所以简短的回答是,确保您按照 Tendayi Mawushe 的建议转义输出,但在以 HTML 属性或 javascript 输出数据时要特别小心。
【讨论】:
“特别小心” = 在 HTML 属性或 javascript 中输出数据时使用<c:out />-tag。 (请参阅我在 Tendayi Mawushe 的回答中的评论)
嗯,这不仅仅是使用 始终手动检查您使用的方法、标签,并确保它们最终总是转义(一次)。框架在这方面有很多错误和差异。
概述:http://www.gablog.eu/online/node/91
【讨论】:
【参考方案8】:首先,您如何收集用户输入?如果您使用FormController,此问题/答案可能会有所帮助:
Spring: escaping input when binding to command
【讨论】:
以上是关于如何防止人们在 Spring MVC 中进行 XSS?的主要内容,如果未能解决你的问题,请参考以下文章
.net mvc如何防止用户后退,现在保存订单后能回到订单页面重复提交,如何能防止后退
如何在 Spring 3 MVC 应用程序中对文件上传进行病毒扫描[关闭]
写的太细了!Spring MVC拦截器的应用,建议收藏再看!