うからやってクロスサイト-スクリプティングにSpring MVC?
-
23-09-2019 - |
質問
どうしたらよいの防止クロスサイト-スクリプティングにSpring MVC?私は今だけ全てのI出力ユーザーテキスト入JSTL <c:out>
タグまたは fn:escapeXml()
機能があるが、このようエラーがどう忘れた場所です。
や体系的に防止す。そのようなフィルタまたは何かな?んの収入力を指定する @RequestParam
パラメータを自分のコントローラー。
解決
春にエスケープできますが、htmlからJSPのページの生成 <form>
タグです。これにより、多くが世界のクロスサイト-スクリプティング攻撃のときに自動的に次の
に対応したアプリケーションの web.xml
ファイル:
<context-param>
<param-name>defaultHtmlEscape</param-name>
<param-value>true</param-value>
</context-param>
すべての形で与えられたページのファイルそのもの:
<spring:htmlEscape defaultHtmlEscape="true" />
それぞれの形態:
<form:input path="someFormField" htmlEscape="true" />
他のヒント
試してみてください XSSFilterするます。
Iは、すべての入力オブジェクト(結合および@Valid
のJSONため@RequestBody
介しHibernateバリを使用 HTTPS参照します://dzone.com/articles/spring-31-valid-requestbodyする)。私にとっては良い解決策です。
@org.hibernate.validator.constraints.SafeHtml
だから
休止状態SafeHtmlValidator
もう一つのプロジェクトの依存関係を追加するのに必要ですので、org.jsoup
に依存します:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
フィールドを持つBeanのUser
の場合
@NotEmpty
@SafeHtml
protected String name;
値<script>alert(123)</script>
コントローラと更新の試みのために
@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
または
@PostMapping
public void createOrUpdate(@Valid User user) {
はデフォルトメッセージとBindException
のバインディングとMethodArgumentNotValidException
ため@RequestBody
がスローされます:
name may have unsafe html content
Validatorは持続以前のように、結合用として適しています。 アプリは http://topjava.herokuapp.com/する
で試験することができますきているクロスサイト-スクリプティングで考える上で、極めて重要と思われる。一例として、その時の逃げが非常に異なる場合ouputtingデータ内の変数にjavascriptのスニペットに対して出力データのHTMLタグはHTMLの属性。
私はその例はこちら http://erlend.oftedal.no/blog/?blogid=91
またレジには、OWASP防止クロスサイト-スクリプティングチートシート: http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet
その答えはただくには、脱出力されるTendayi Mawusheが、特別な注意を払い時に出力データをHTMLにおける属性を設定しています
どのようにして最初の場所でのユーザー入力を収集していますか?あなたがFormController
を使用している場合は、この質問/答えは助けることがあります:
必ず手動方法、あなたが使用するタグをチェックして、彼らは常に最後に(一度)を逃れることを確認してください。フレームワークは、この態様では多くのバグとの違いがあります。
の代わりに依拠すること <c:out />
, は、antixss図書館に活用されるべきであるが、まだエンコードもサニタイズの悪意あるスクリプトに入力します。の図書館をご利用の際にはOWASP Antisamy, で非常に柔軟性が高く設定でき(xmlを利用したポリシーファイル)としてます。
用例る場合、アプリケーションのみをサポートテキストを入力して最も汎用 ポリシーファイル によるOWASP使用できるsanitizesおよび削除しますのhtmlタグです。同様の場合はアプリケーションサポートhtmlエディタなどtinymce)必要とする全てのhtmlタグを、より柔軟な方針で利用など ebayポリシーファイル
**To avoid XSS security threat in spring application**
XSSの問題を解決するには、フォーム内のすべてのテキストフィールドをフィルタリングすることです フォームを送信する時ます。
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter {
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
}
}
の RequestWrapper.javaコードネーム番目のクラスは、次のとおりです。の
パッケージcom.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
残った唯一のものは、web.xmlファイルのXMLエントリです
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
の / *ブラウザから作られたすべての要求のために、それが呼び出すことを示しています CrossScriptingFilterクラス。すべてのコンポーネント/要素が要求から来た&パースれます 空の文字列すなわちの
とのハッカーによって置くすべてのJavaScriptタグに置き換えられます