Jak uniemożliwić wykonywanie XSS w Spring MVC?
Co zrobić, aby zapobiec XSS w Spring MVC? W tej chwili umieszczam wszystkie miejsca, w których wypisuję tekst użytkownika do znaczników JSTL <c:out>
lub funkcji fn:escapeXml()
, ale wydaje się to podatne na błędy, ponieważ mogę przegapić miejsce.
8 answers
Wiosną można uciec html ze stron JSP generowanych przez tagi <form>
. To zamyka wiele możliwości dla ataków XSS i może być wykonane automatycznie na trzy sposoby:
Dla całej aplikacji w pliku web.xml
:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
Dla wszystkich formularzy na danej stronie w samym pliku:
<spring:htmlEscape defaultHtmlEscape="true" />
Dla każdej postaci:
<form:input path="someFormField" htmlEscape="true" />
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2012-07-12 15:39:26
Spróbuj XSSFilter .
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2011-07-11 12:02:04
Kiedy próbujesz zapobiec XSS, ważne jest, aby myśleć o kontekście. Na przykład, jak i czym uciec jest bardzo różne, jeśli jesteś oupping dane wewnątrz zmiennej w fragmencie javascript w przeciwieństwie do wysyłania danych w znaczniku HTML lub atrybutu HTML.
Mam tego przykład tutaj: http://erlend.oftedal.no/blog/?blogid=91
Sprawdź również arkusz Prewencji OWASP XSS: http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
Więc krótka odpowiedź brzmi: upewnij się, że unikasz wyjścia, jak sugerował Tendayi Mawushe, ale zachowaj szczególną ostrożność podczas wysyłania danych w atrybutach HTML lub javascript.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-01-31 11:07:04
Używam walidatora Hibernate poprzez @Valid
dla wszystkich obiektów wejściowych (binding i @RequestBody
json, patrz https://dzone.com/articles/spring-31-valid-requestbody ). więc {[7] } jest dla mnie dobrym rozwiązaniem.
Hibernate SafeHtmlValidator
zależy od org.jsoup
, więc trzeba dodać jeszcze jedną zależność projektu:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
Dla fasoli User
z polem
@NotEmpty
@SafeHtml
protected String name;
Dla próby aktualizacji z wartością <script>alert(123)</script>
w kontrolerze
@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
Lub
@PostMapping
public void createOrUpdate(@Valid User user) {
Jest rzucany BindException
do wiązania i MethodArgumentNotValidException
dla @RequestBody
z domyślną wiadomością:
name may have unsafe html content
Walidator działa równie dobrze do wiązania, jak wcześniej. Aplikacje mogą być testowane na http://topjava.herokuapp.com/
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2016-11-17 02:46:50
Jak w ogóle zbierasz dane użytkowników? To pytanie / odpowiedź może pomóc, jeśli używasz FormController
:
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-05-23 10:31:32
Zawsze sprawdzaj ręcznie metody, tagi, których używasz i upewnij się, że na końcu zawsze uciekają (raz). Frameworki mają wiele błędów i różnic w tym aspekcie.
Przegląd: http://www.gablog.eu/online/node/91
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2010-01-27 16:01:36
Zamiast polegać tylko na <c:out />
, należy również użyć biblioteki antixss, która nie tylko koduje, ale także dezaktywuje złośliwy skrypt w wejściu. Jedną z najlepszych dostępnych bibliotek jest OWASP Antisamy , jest bardzo elastyczna i może być skonfigurowana (za pomocą Plików polityki xml) zgodnie z wymaganiami.
Na przykład, jeśli aplikacja obsługuje tylko wprowadzanie tekstu, można użyć większości ogólnych plików policy file dostarczonych przez OWASP, które dezynfekują i usuwają większość znaczników html. Podobnie jeśli aplikacja obsługuje edytory html(takie jak tinymce), które wymagają wszelkiego rodzaju znaczników html, można użyć bardziej elastycznej polityki, takiej jak plik ebay policy file
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2015-06-11 09:50:15
**To avoid XSS security threat in spring application**
Rozwiązaniem problemu z XSS jest filtrowanie wszystkich pól tekstowych w postaci w momencie składania formularza.
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter {
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
}
}
Kod drugiej klasy o nazwie RequestWrapper.java to:
Pakiet com.filtr;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
Pozostał tylko wpis XML w sieci.plik xml:
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
/ * wskazuje, że dla każdego żądania złożonego z przeglądarki, wywoła Klasa CrossScriptingFilter. Który będzie analizował wszystkie komponenty / elementy pochodzą z wniosku & zastąpi wszystkie znaczniki javascript umieszczone przez hackera pustym ciągiem TJ
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/doraprojects.net/template/agent.layouts/content.php on line 54
2017-10-27 20:09:44