在 Spring MVC 控制器中防止 XSS

【问题标题】:Prevent XSS in Spring MVC controller在 Spring MVC 控制器中防止 XSS
【发布时间】:2017-06-15 17:37:39
【问题描述】:

嗨,我的项目 Veracode 报告了一个 XSS 问题 CWE ID 80。在我的请求处理程序方法中:

@RequestMapping(value = "/Update.mvc")
public @ResponseBody String execute(@ModelAttribute UpdateForm updateForm, BindingResult result,
       HttpServletRequest request, HttpServletResponse response) throws ActionException {
    return executeAjax(updateForm, request, response, result);
}

那么executeAjax来自一个抽象类,有不同的实现? 在这些实现中,来自表单的用户输入被获取并被操作以构造返回的字符串。

所以我的问题是: 是不是 Veracode 的假设是在实现中可以有 XSS?还是一般的东西? - 如何防止这种情况?我总是使用转换输入数据并且在用户输入时不返回它? - 那么如何预防呢? - 我是否必须从 HttpServiceRequest 中转义所有标头/请求参数?

编辑: 我是否必须使用以下过滤器: SecurityWrapperRequest

【问题讨论】:

  • 您需要转义所有请求参数。例如。通过添加过滤器
  • @StanislavL 你能给出更详细的解释吗?我需要添加 HttpRequest 过滤器来转义请求中的所有标头和所有参数?或者我可以在本地工作并仅为我的 executeAjax 类的所有实现包装请求?点赞javacodegeeks.com/2012/07/…

标签: spring spring-mvc veracode


【解决方案1】:

您可以使用 XSSFilter 来转义所有请求参数。见here

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}

和包装器

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

实际上,您可以将过滤器用作基础并对其进行扩展以将任何所需的逻辑添加到包装器。

【讨论】:

  • 会对性能有什么负面影响,因为这些Patters匹配不是很轻?
  • 无论如何安全功能都会对性能产生负面影响。尝试用更快的模式检查替换模式检查。
  • ESAPI 包装器怎么样?我可以使用它吗? github.com/ESAPI/esapi-java-legacy/blob/…
  • 您可以使用任何符合您要求的过滤器,并且不允许包含无效内容的请求参数。甚至不止一个过滤器。为了使过滤器更快,您可以在创建时编译模式并重用它们。
  • 我们也可以将它应用于 HttpServletResponse 吗?因为我没有看到我的响应通过这个过滤器
猜你喜欢
  • 1970-01-01
  • 2011-01-10
  • 2011-01-07
  • 1970-01-01
  • 2017-08-25
  • 2012-10-28
  • 2011-04-11
  • 1970-01-01
  • 2014-11-14
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode