如何防止人们在 Spring MVC 中进行 XSS？

Question

在 Spring MVC 中我应该怎么做才能防止 XSS？现在我只是把我输出用户文本的所有地方都放到了 JSTL <c:out> 标签或 fn:escapeXml() 函数中，但这似乎很容易出错，因为我可能会错过一个地方。

有没有一种简单的系统方法来防止这种情况发生？也许像过滤器之类的？我通过在我的控制器方法上指定@RequestParam 参数来收集输入。

Answer 1

我通过@Valid 对所有输入对象（绑定和@RequestBody json，参见https://dzone.com/articles/spring-31-valid-requestbody）使用Hibernate Validator。所以@org.hibernate.validator.constraints.SafeHtml 对我来说是一个很好的解决方案。

Hibernate SafeHtmlValidator 依赖于org.jsoup，所以需要再添加一个项目依赖：

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

对于带有字段的 bean User

@NotEmpty
@SafeHtml
protected String name;

用于在控制器中使用值 <script>alert(123)</script> 进行更新尝试

@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id) 

或

@PostMapping
public void createOrUpdate(@Valid User user) {

BindException 用于绑定，MethodArgumentNotValidException 用于@RequestBody 并带有默认消息：

name may have unsafe html content

Validator 也适用于绑定，就像在持久化之前一样。 应用可以在http://topjava.herokuapp.com/进行测试

更新：另见@GuyT 的评论

CVE-2019-10219 and status of @SafeHtml

我们已获悉与 @SafeHtml 约束相关的 CVE-2019-10219，它已在 6.0.18.Final 和 6.1.0.Final....中得到修复。

但是，我们得出的结论是，@SafeHtml 约束很脆弱，对安全性高度敏感，并且依赖于并非为此目的而设计的外部库。将它包含在核心 Hibernate Validator 中并不是一个好主意。这就是我们弃用它并将其标记为删除的原因。这里没有神奇的计划，所以我们的用户必须自己维护这个约束

我自己的简历：它是安全的，可以使用，直到找到更好的解决方案。

更新：由于从hibernate.validator 中删除@SafeHtml/SafeHtmlValidator 使用自己的NoHtmlValidator，请参阅https://stackoverflow.com/a/68888601/548473

Answer 2

**To avoid XSS security threat in spring application**

XSS 问题的解决方法是过滤表单中的所有文本字段 在提交表单时。

    It needs XML entry in the web.xml file & two simple classes.

        java code :-
        The code for the  first class named CrossScriptingFilter.java is :

        package com.filter;

        import java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter {
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException {
                this.filterConfig = filterConfig;
            }

            public void destroy() {
                this.filterConfig = null;
            }

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            }

        }

名为 RequestWrapper.java 的代码第二个类是：

包 com.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper {
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    }

唯一剩下的就是 web.xml 文件中的 XML 条目：

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/*表示浏览器的每一个请求，都会调用 CrossScriptingFilter 类。它将解析来自请求的所有组件/元素 & 将用空字符串替换黑客放置的所有javascript标签，即

Answer 3

不要只依赖<c:out />，还应该使用antixss 库，它不仅可以编码，还可以清理输入中的恶意脚本。可用的最佳库之一是 OWASP Antisamy，它非常灵活，可以根据需要进行配置（使用 xml 策略文件）。

例如如果应用程序仅支持文本输入，则可以使用 OWASP 提供的大多数通用 policy file 来清理和删除大部分 html 标签。同样，如果应用程序支持需要各种html标签的html编辑器（例如tinymce），可以使用更灵活的策略，例如ebay policy file

Answer 4

在 Spring 中，您可以从 <form> 标签生成的 JSP 页面中转义 html。这为 XSS 攻击关闭了很多途径，并且可以通过三种方式自动完成：

对于web.xml 文件中的整个应用程序：

<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

对于文件本身中给定页面上的所有表单：

<spring:htmlEscape defaultHtmlEscape="true" /> 

对于每种形式：

<form:input path="someFormField" htmlEscape="true" /> 

Answer 5

试试XSSFilter。

Answer 6

当您试图阻止 XSS 时，考虑上下文很重要。例如，如果您在 javascript sn-p 中的变量内输出数据，而不是在 HTML 标记或 HTML 属性中输出数据，那么如何以及如何转义是非常不同的。

我在这里有一个例子：http://erlend.oftedal.no/blog/?blogid=91

还可以查看 OWASP XSS 预防备忘单：http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

所以简短的回答是，确保您按照 Tendayi Mawushe 的建议转义输出，但在以 HTML 属性或 javascript 输出数据时要特别小心。

Answer 7

始终手动检查您使用的方法、标签，并确保它们最终总是转义（一次）。框架在这方面有很多错误和差异。

概述：http://www.gablog.eu/online/node/91

Answer 8

首先，您如何收集用户输入？如果您使用FormController，此问题/答案可能会有所帮助：

Spring: escaping input when binding to command