spring - 在 Spring MVC Controller 中防止 XSS-6ren

spring - 在 Spring MVC Controller 中防止 XSS

转载作者：行者123 更新时间：2023-12-04 14:27:49

24

4

您好，在我的项目中，Veracode 报告了一个 XSS 问题 CWE ID 80。在我的请求处理程序方法中:

@RequestMapping(value = "/Update.mvc")
public @ResponseBody String execute(@ModelAttribute UpdateForm updateForm, BindingResult result,
       HttpServletRequest request, HttpServletResponse response) throws ActionException {
    return executeAjax(updateForm, request, response, result);
}

所以 executeAjax 来自抽象类并且有不同的实现？在这些实现中，来自表单的用户输入被获取并被操纵以构造返回的字符串。

所以我的问题是:难道Veracode的假设是在实现中可以有XSS？还是一般的东西？- 如何防止这种情况？我总是使用转换输入数据，但它不会在用户输入时返回？- 那么如何预防呢？- 我是否必须从 HttpServiceRequest 中转义所有 header /请求参数？

编辑:我是否必须使用以下过滤器: SecurityWrapperRequest

最佳答案

您可以使用 XSSFilter 来转义所有请求参数。参见 here

public class XSSFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void destroy() {
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        chain.doFilter(new XSSRequestWrapper((HttpServletRequest) request), response);
    }

}

和包装器

import java.util.regex.Pattern;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

public class XSSRequestWrapper extends HttpServletRequestWrapper {

    public XSSRequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);

        if (values == null) {
            return null;
        }

        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = stripXSS(values[i]);
        }

        return encodedValues;
    }

    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);

        return stripXSS(value);
    }

    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return stripXSS(value);
    }

    private String stripXSS(String value) {
        if (value != null) {
            // NOTE: It's highly recommended to use the ESAPI library and uncomment the following line to
            // avoid encoded attacks.
            // value = ESAPI.encoder().canonicalize(value);

            // Avoid null characters
            value = value.replaceAll("", "");

            // Avoid anything between script tags
            Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid anything in a src='...' type of expression
            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\"(.*?)\\\"", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome </script> tag
            scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Remove any lonesome <script ...> tag
            scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid eval(...) expressions
            scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid expression(...) expressions
            scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid javascript:... expressions
            scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid vbscript:... expressions
            scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE);
            value = scriptPattern.matcher(value).replaceAll("");

            // Avoid onload= expressions
            scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL);
            value = scriptPattern.matcher(value).replaceAll("");
        }
        return value;
    }
}

实际上，您可以将过滤器用作地下室并扩展它以向包装器添加任何所需的逻辑。

关于spring - 在 Spring MVC Controller 中防止 XSS，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41938010/

24

4

0

文章推荐： ntlm - 带有 @ 密码的 SmbFile URL 路径

文章推荐： wpf - 如何将 System.Windows.Media.DrawingImage 转换为 Stream？

文章推荐： drive - Google "Brand Account"无法访问关联的 "Google Drive"

文章推荐： proxy - Nginx 背后的 Rundeck 反向代理

php - 防止/限制方法继承
我有一个应用程序，其中许多对象都扩展了一个抽象类，该抽象类定义了诸如 create() edit() retrieve() 和 delete()。由于每个子类对这些函数使用相同的逻辑，抽象类定义了默认
angularjs - 防止$anchorScroll修改url
我正在使用$anchorScroll滚动到页面顶部，其中 html 元素具有 ID #brand。 AngularJS 代码: $location.hash(
Silverlight - 防止 OOB
我想停用我的应用程序中的右键单击，该右键单击提供了在桌面上安装应用程序的选项。我该如何做这样的事情？最佳答案右键单击 Visual Studio 中的项目并选择属性。那里有一个复选框“启用浏览器运
jquery - 防止:hover
我使用 jquery 定位 div，在我的 CSS 中我有一个 div.right-sm:hover{background-color: blue} 我想使用 jquery 停止悬停: $(this
jquery - 防止 'caret'跳转焦点
所以，我正在尝试复制 html5“占位符”属性功能。我目前坚持的一件事是，在获得元素焦点时，插入符号立即出现在输入的开头。就目前情况而言，插入符号出现在用户单击的位置，然后当我使用 jQuery
javascript - php表单刷新再次发送表单(防止)
当表单填写并发送时，如果您刷新页面，它表示表单将再次发送。 (再次提交表格)。防止这种情况发生的好方法是什么？或者终止这个 session ？这方面有什么指导吗？谢谢最佳答案处理完POST信
javascript - 防止@被输入输入字段？
我想阻止 @ 被输入到 input 中。但它不起作用，知道为什么吗？ $(function() { $(document).on('keyup', '[placeholder="x"]', fun
php - 防止 "corruption"
我正在使用 PHP 创建一个应用程序并涉及 MySQL。如果在请求过程中发生错误，我将如何“将查询分组在一起”，检查它是否会成功，然后对真实表进行实际影响。如果对表的实际更新失败，则恢复到更新之前的状
java - 防止/减慢反编译的技术
这个问题在这里已经有了答案: 关闭 11 年前。 Possible Duplicate: Best Java obfuscator ? 对于我的示例，我知道 eclipse 提供了一个反编译插件。而
html - 防止 my::after 阻止我的选择
这是一个演示我的问题的 fiddle :JSFiddle 我正在制作自定义下拉菜单(实际上我使用的是 icomoon 图标而不是 V)...它看起来不错，但是父元素的 ::after 是阻止选择:(
Python:防止 "if"楼梯？
每当我编写需要大量条件的代码时，我都会这样做: if foo: if bar: if foobar: if barfoo: if foobarfoo:
android - 防止/使修补二进制程序集变得困难
我不确定术语是否正确，您可以使用哪些代码实践来使某人难以修改二进制文件/程序集以绕过检查: 例如在源代码中。 bool verificationResult = verify(); if (verif
MySql 防止/跟踪跨多个字段的重复字段
我正在寻找一种简单的方法来检查多个零件表，以确定给定零件号在添加到给定表之前是否已经存在。我目前想到的最好的想法是一个辅助表，它简单地将所有表中的每个 PN 列在一个列中，并带有一个唯一的键；但是我
javascript - 防止 "bubbling"？
这个问题在这里已经有了答案: jquery stop child triggering parent event (7 个答案) 关闭 8 年前。我不确定这是否真的冒泡，我会解释。我有这个:
java - 防止 & 符号转换为 &
我有一个 Spring MVC web 应用程序(不确定该信息是否重要，但它可能是)使用 ModelAndView 将字符串值传递给 JSP 文件。字符串值的形式是: d@.
php - 防止 csrf
我在这里尝试使用表单 key 方法进行 csrf 保护 http://net.tutsplus.com/tutorials/php/secure-your-forms-with-form-keys/
PHP 防止 xss
htmlentities 是防止 PHP 中的 XSS 的最佳解决方案吗？我还想允许像 b、i、a 和 img 这样的简单标签。实现这一点的最佳解决方案是什么？我确实考虑过 bbcode，但发现如果没
java - 防止 'PersistentObjectException'
我有一个非常基本的 JAX-RS 服务(下面的 BookService 类)，它允许创建 Book 类型的实体(也在下面)。 POST负载 { "acquisitionDate": 14188
typescript - 防止 "this"被重写TypeScript编译
我正在使用 Polymer 1.5，我确实需要“this”变量不要映射到外部。我知道 typescript 会为某些人做这件事 valid reasons . declare var Polymer:
python - 防止/改变对类变量的访问
这个问题在这里已经有了答案: Class-level read-only properties in Python (3 个答案) 关闭 6 年前。有没有一种方法可以通过重写实例变量的 __set

首页

博学

6Ren·AI

商城

spring - 在 Spring MVC Controller 中防止 XSS