Jak uniemożliwić wykonywanie XSS w Spring MVC?

Spróbuj XSSFilter .

Kiedy próbujesz zapobiec XSS, ważne jest, aby myśleć o kontekście. Na przykład, jak i czym uciec jest bardzo różne, jeśli jesteś oupping dane wewnątrz zmiennej w fragmencie javascript w przeciwieństwie do wysyłania danych w znaczniku HTML lub atrybutu HTML.

Mam tego przykład tutaj: http://erlend.oftedal.no/blog/?blogid=91

Sprawdź również arkusz Prewencji OWASP XSS: http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

Więc krótka odpowiedź brzmi: upewnij się, że unikasz wyjścia, jak sugerował Tendayi Mawushe, ale zachowaj szczególną ostrożność podczas wysyłania danych w atrybutach HTML lub javascript.

Używam walidatora Hibernate poprzez @Valid dla wszystkich obiektów wejściowych (binding i @RequestBody json, patrz https://dzone.com/articles/spring-31-valid-requestbody ). więc {[7] } jest dla mnie dobrym rozwiązaniem.

Hibernate SafeHtmlValidator zależy od org.jsoup, więc trzeba dodać jeszcze jedną zależność projektu:

<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>

Dla fasoli User z polem

@NotEmpty
@SafeHtml
protected String name;

Dla próby aktualizacji z wartością <script>alert(123)</script> w kontrolerze

@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id) 

Lub

@PostMapping
public void createOrUpdate(@Valid User user) {

Jest rzucany BindException do wiązania i MethodArgumentNotValidException dla @RequestBody z domyślną wiadomością:

name may have unsafe html content

Walidator działa równie dobrze do wiązania, jak wcześniej. Aplikacje mogą być testowane na http://topjava.herokuapp.com/

Jak w ogóle zbierasz dane użytkowników? To pytanie / odpowiedź może pomóc, jeśli używasz FormController:

Spring: dane wyjściowe przy powiązaniu z poleceniem

Zawsze sprawdzaj ręcznie metody, tagi, których używasz i upewnij się, że na końcu zawsze uciekają (raz). Frameworki mają wiele błędów i różnic w tym aspekcie.

Przegląd: http://www.gablog.eu/online/node/91

Zamiast polegać tylko na <c:out />, należy również użyć biblioteki antixss, która nie tylko koduje, ale także dezaktywuje złośliwy skrypt w wejściu. Jedną z najlepszych dostępnych bibliotek jest OWASP Antisamy , jest bardzo elastyczna i może być skonfigurowana (za pomocą Plików polityki xml) zgodnie z wymaganiami.

Na przykład, jeśli aplikacja obsługuje tylko wprowadzanie tekstu, można użyć większości ogólnych plików policy file dostarczonych przez OWASP, które dezynfekują i usuwają większość znaczników html. Podobnie jeśli aplikacja obsługuje edytory html(takie jak tinymce), które wymagają wszelkiego rodzaju znaczników html, można użyć bardziej elastycznej polityki, takiej jak plik ebay policy file

**To avoid XSS security threat in spring application**

Rozwiązaniem problemu z XSS jest filtrowanie wszystkich pól tekstowych w postaci w momencie składania formularza.

    It needs XML entry in the web.xml file & two simple classes.

        java code :-
        The code for the  first class named CrossScriptingFilter.java is :

        package com.filter;

        import java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter {
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException {
                this.filterConfig = filterConfig;
            }

            public void destroy() {
                this.filterConfig = null;
            }

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            }

        }

Kod drugiej klasy o nazwie RequestWrapper.java to:

Pakiet com.filtr;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper {
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    }

Pozostał tylko wpis XML w sieci.plik xml:

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/ * wskazuje, że dla każdego żądania złożonego z przeglądarki, wywoła Klasa CrossScriptingFilter. Który będzie analizował wszystkie komponenty / elementy pochodzą z wniosku & zastąpi wszystkie znaczniki javascript umieszczone przez hackera pustym ciągiem TJ