- Java 双重比较
- java - 比较器与 Apache BeanComparator
- Objective-C 完成 block 导致额外的方法调用?
- database - RESTful URI 是否应该公开数据库主键?
我在开发一个允许用户上传图像的内部工具,然后将这些图像显示给他们和其他人。
这是一个 Java/Spring 应用程序。我的好处是只需要确切地担心 IE11 和 Firefox v38+(Chrome v43+ 会很不错)
在第一次开发该功能后,用户似乎可以创建一个文本文件,如:
<script>alert("malicious code here!")</script>
并将其保存为“maliciousImage.jpg”并上传。
稍后,当该图像显示在图像标签内时,例如:
<img src="blah?imgName=foobar" id="someImageID">
actualImage.jpg 正常显示,而 maliciousImage.jpg 显示为损坏的链接 - 最重要的是没有恶意内容被解释!
但是如果用户右键单击这个断开的链接,然后单击“查看图像”...就会发生不好的事情。
浏览器执行“内容嗅探”这个对我来说很新的概念,检测到“maliciousImage.jpg”实际上是一个文本文件,并且非常友善地毫不犹豫地将其呈现为 HTML。任何脚本标记都会传递给 JavaScript 解释器,正如您所想象的,我们不希望这样。
简而言之,我能想到的每一种可能的响应头组合都可以防止浏览器进行内容嗅探。我在 stackoverflow 和其他文档上找到的所有答案都暗示设置内容类型 header 应该阻止大多数浏览器进行内容嗅探,设置 X-content 选项应该阻止某些版本的 IE。
我正在将 x-content-type-options 设置为不嗅探,并且正在设置响应内容类型。我读过的文档让我相信这应该停止内容嗅探。
response.setHeader("X-Content-Type-Options", "nosniff");
response.setContentType("image/jpg");
我正在拦截响应并且存在这些 header ,但似乎对恶意内容的处理方式没有影响...
我也尝试过在上传时检测哪些图像是恶意的,哪些不是恶意的,但我很快意识到这非常重要......
自然 - 任何不是真正图像的图像输出(乱码、未处理的异常等)都比将文本文件作为 HTML/javascript 以明文形式执行,但将任何恶意 HTML 显示为更好转义/CDATA'd 纯文本将是理想的......虽然可能有点不切实际。
最佳答案
所以我最终解决了这个问题,但忘了回答我自己的问题:
为了快速解决问题,我只是添加了一些相当直白的代码来检查图像是否实际上 - 在上传期间和提供之前,使用 imageio 库:
import javax.imageio.ImageIO;
//......
Image img = attBO.getImage(imgId);
InputStream x = new ByteArrayInputStream(img.getData());
BufferedImage s;
try {
s = ImageIO.read(x);
s.getWidth();
} catch (Exception e) {
throw new myCustomException("Invalid image");
}
现在,最初我希望这能解决我的问题 - 但实际上并没有那么简单,只是让生成有效负载变得更加困难。
虽然这会阻塞:
<script>alert("malicious code here!")</script>
很有可能生成同时也是 XSS 有效负载的有效图像 - 只需付出更多努力....
事实证明,有一整套我从未接触过的后处理工作流程,它执行诸如将标记附加到响应主体以及使用其他框架通过 CSS、页眉、页脚等装饰响应等操作。
这意味着,尽管 Controller 显式返回 image/png,但它被抓取并放置(作为字节)后处理采用该字节流,并将其包装在页眉和页脚中,以形成完全合格的“ View ” ' - 此 View 始终具有“内容类型”文本/html,因此从未正确显示。
这个问题的症结在于我的 Controller 以 RESTful 方式直接返回图像,而构建框架的其余部分是为了处理返回完整 View 的 Controller 。
所以我不得不逐步完成这个工作流程,并在我的代码中为 Controller 创建异常,这些 Controller 返回的内容不是以 Restful 方式工作。
例如对于 site-mesh 它只是一个排除(一如既往,一旦我理解了问题就简单修复...):
<decorators defaultdir="/WEB-INF/decorators">
<excludes>
<pattern>*blah.ctl*</pattern>
</excludes>
<decorator name="foo" page="myDecorator.jsp">
<pattern>*</pattern>
</decorator>
然后是其他一些定制的调用后拦截器。
现在,我终于到了只提供图像字节码并且没有指定或明确生成评论的阶段。
一个名为“内容协商”的 Spring 特性开始发挥作用。它试图协调请求的“接受” header 与它手头的“消息转换器”以产生此类响应。
因为默认情况下 spring 没有消息转换器来生成 image/png 响应,它正在回退到 text/html - 我仍然看到问题。
现在,如果我使用 spring 4,我可以简单地添加注释:
@Produces("image/png")
到我的 Controller - 简单修复...
但是因为我只有 spring 3.0.5(并且无法升级)我不得不尝试其他东西。
我尝试注册新的 messageconverters 但那很让人头疼,或者添加一个新的后方法拦截器来简单地将内容类型改回 'image/png' - 但那是一件令人头疼的事情。
最后我只是在 Controller 中公开了请求/响应,并将我的图像直接写入响应主体——完全绕过了 Spring 的内容协商
....最后我的图像被用作图像并显示为图像 - 没有执行任何注入(inject)的代码!
关于javascript - 处理用户上传图片时防止 'content-sniffing'类型漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34288688/
我有一个应用程序,其中许多对象都扩展了一个抽象类,该抽象类定义了诸如 create() edit() retrieve() 和 delete()。由于每个子类对这些函数使用相同的逻辑,抽象类定义了默认
我正在使用$anchorScroll滚动到页面顶部,其中 html 元素具有 ID #brand。 AngularJS 代码: $location.hash(
我想停用我的应用程序中的右键单击,该右键单击提供了在桌面上安装应用程序的选项。我该如何做这样的事情? 最佳答案 右键单击 Visual Studio 中的项目并选择属性。那里有一个复选框“启用浏览器运
我使用 jquery 定位 div,在我的 CSS 中我有一个 div.right-sm:hover{background-color: blue} 我想使用 jquery 停止悬停: $(this
所以,我正在尝试复制 html5“占位符”属性功能。 我目前坚持的一件事是,在获得元素焦点时,插入符号立即出现在输入的开头。 就目前情况而言,插入符号出现在用户单击的位置,然后当我使用 jQuery
当表单填写并发送时,如果您刷新页面,它表示表单将再次发送。 (再次提交表格)。 防止这种情况发生的好方法是什么?或者终止这个 session ? 这方面有什么指导吗? 谢谢 最佳答案 处理完POST信
我想阻止 @ 被输入到 input 中。但它不起作用,知道为什么吗? $(function() { $(document).on('keyup', '[placeholder="x"]', fun
我正在使用 PHP 创建一个应用程序并涉及 MySQL。如果在请求过程中发生错误,我将如何“将查询分组在一起”,检查它是否会成功,然后对真实表进行实际影响。如果对表的实际更新失败,则恢复到更新之前的状
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Best Java obfuscator ? 对于我的示例,我知道 eclipse 提供了一个反编译插件。而
这是一个演示我的问题的 fiddle :JSFiddle 我正在制作自定义下拉菜单(实际上我使用的是 icomoon 图标而不是 V)...它看起来不错,但是父元素的 ::after 是阻止选择:(
每当我编写需要大量条件的代码时,我都会这样做: if foo: if bar: if foobar: if barfoo: if foobarfoo:
我不确定术语是否正确,您可以使用哪些代码实践来使某人难以修改二进制文件/程序集以绕过检查: 例如在源代码中。 bool verificationResult = verify(); if (verif
我正在寻找一种简单的方法来检查多个零件表,以确定给定零件号在添加到给定表之前是否已经存在。 我目前想到的最好的想法是一个辅助表,它简单地将所有表中的每个 PN 列在一个列中,并带有一个唯一的键;但是我
这个问题在这里已经有了答案: jquery stop child triggering parent event (7 个答案) 关闭 8 年前。 我不确定这是否真的冒泡,我会解释。 我有这个:
我有一个 Spring MVC web 应用程序(不确定该信息是否重要,但它可能是)使用 ModelAndView 将字符串值传递给 JSP 文件。 字符串值的形式是: d@.
我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/
htmlentities 是防止 PHP 中的 XSS 的最佳解决方案吗?我还想允许像 b、i、a 和 img 这样的简单标签。实现这一点的最佳解决方案是什么?我确实考虑过 bbcode,但发现如果没
我有一个非常基本的 JAX-RS 服务(下面的 BookService 类),它允许创建 Book 类型的实体(也在下面)。 POST负载 { "acquisitionDate": 14188
我正在使用 Polymer 1.5,我确实需要“this”变量不要映射到外部。我知道 typescript 会为某些人做这件事 valid reasons . declare var Polymer:
这个问题在这里已经有了答案: Class-level read-only properties in Python (3 个答案) 关闭 6 年前。 有没有一种方法可以通过重写实例变量的 __set
我是一名优秀的程序员,十分优秀!