web-dev-qa-db-ja.com

Spring MVCで人々がXSSを実行するのを防ぐにはどうすればよいですか?

Spring MVCでXSSを防ぐにはどうすればよいですか?現在、ユーザーテキストを出力するすべての場所をJSTL _<c:out>_タグまたはfn:escapeXml()関数に入れていますが、場所を見逃す可能性があるため、エラーが発生しやすいようです。

これを防ぐ簡単な体系的な方法はありますか?たぶんフィルターか何かのように?コントローラーメソッドで_@RequestParam_パラメーターを指定して入力を収集しています。

53
Doug

Springでは、<form>タグによって生成されたJSPページからhtmlをエスケープできます。これにより、XSS攻撃の多くの手段が閉じられ、次の3つの方法で自動的に実行できます。

web.xmlファイル内のアプリケーション全体の場合:

<context-param>
    <param-name>defaultHtmlEscape</param-name>
    <param-value>true</param-value>
</context-param>

ファイル自体の特定のページにあるすべてのフォームの場合:

<spring:htmlEscape defaultHtmlEscape="true" /> 

各フォームについて:

<form:input path="someFormField" htmlEscape="true" /> 
54
Tendayi Mawushe

XSSFilter を試してください。

8
Bozho

すべての入力オブジェクトに対して_@Valid_経由でHibernate Validatorを使用します(バインディングおよび_@RequestBody_ json、 https://dzone.com/articles/spring-31-valid-requestbody を参照) 。だから_@org.hibernate.validator.constraints.SafeHtml_は私にとって良い解決策です。

Hibernate SafeHtmlValidatorは_org.jsoup_に依存するため、プロジェクトの依存関係をもう1つ追加する必要があります。

_<dependency>
    <groupId>org.jsoup</groupId>
    <artifactId>jsoup</artifactId>
    <version>1.10.1</version>
</dependency>
_

Bean Userのフィールド

_@NotEmpty
@SafeHtml
protected String name;
_

コントローラーの値<script>alert(123)</script>を使用した更新試行

_@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id) 
_

または

_@PostMapping
public void createOrUpdate(@Valid User user) {
_

デフォルトのメッセージで、バインディングにBindException、_@RequestBody_にMethodArgumentNotValidExceptionがスローされます。

_name may have unsafe html content
_

バリデーターは、永続化する前と同様に、バインディングに対しても機能します。アプリは http://topjava.herokuapp.com/ でテストできます

7
GKislin

XSSを防止しようとする場合、コンテキストについて考えることが重要です。例として、HTMLタグまたはHTML属性でデータを出力するのではなく、JavaScriptスニペットの変数内でデータを出力する場合、どのようにエスケープするかは非常に異なります。

ここにこの例があります: http://erlend.oftedal.no/blog/?blogid=91

OWASP XSS防止チートシートもご覧ください。 http://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet

簡単な答えは、Tendayi Mawusheが提案するように出力をエスケープすることを確認しますが、HTML属性またはjavascriptでデータを出力するときは特に注意してください。

6
Erlend

使用するメソッド、タグを常に手動で確認し、最後に必ずエスケープ(1回)するようにしてください。フレームワークには、この面で多くのバグと違いがあります。

概要: http://www.gablog.eu/online/node/91

0
sibidiba

そもそもユーザー入力をどのように収集していますか?この質問/回答は、FormControllerを使用している場合に役立ちます。

春:コマンドへのバインド時に入力をエスケープする

0
Ben
**To avoid XSS security threat in spring application**

xSS問題の解決策は、フォームの送信時にフォーム内のすべてのテキストフィールドをフィルタリングすることです。

    It needs XML entry in the web.xml file & two simple classes.

        Java code :-
        The code for the  first class named CrossScriptingFilter.Java is :

        package com.filter;

        import Java.io.IOException;
        import javax.servlet.Filter;
        import javax.servlet.FilterChain;
        import javax.servlet.FilterConfig;
        import javax.servlet.ServletException;
        import javax.servlet.ServletRequest;
        import javax.servlet.ServletResponse;
        import javax.servlet.http.HttpServletRequest;
        import org.Apache.log4j.Logger;

        public class CrossScriptingFilter implements Filter {
            private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
            private FilterConfig filterConfig;

            public void init(FilterConfig filterConfig) throws ServletException {
                this.filterConfig = filterConfig;
            }

            public void destroy() {
                this.filterConfig = null;
            }

            public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
                throws IOException, ServletException {
                logger.info("Inlter CrossScriptingFilter  ...............");
                chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
                logger.info("Outlter CrossScriptingFilter ...............");
            }

        }

RequestWrapper.Javaという名前のコード2番目のクラスは:

パッケージcom.filter;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;

import org.Apache.log4j.Logger;

public final class RequestWrapper extends HttpServletRequestWrapper {
    private static Logger logger = Logger.getLogger(RequestWrapper.class);
    public RequestWrapper(HttpServletRequest servletRequest) {
        super(servletRequest);
    }

    public String[] getParameterValues(String parameter) {
        logger.info("InarameterValues .. parameter .......");
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }

    public String getParameter(String parameter) {
        logger.info("Inarameter .. parameter .......");
        String value = super.getParameter(parameter);
        if (value == null) {
            return null;
        }
        logger.info("Inarameter RequestWrapper ........ value .......");
        return cleanXSS(value);
    }

    public String getHeader(String name) {
        logger.info("Ineader .. parameter .......");
        String value = super.getHeader(name);
        if (value == null)
            return null;
        logger.info("Ineader RequestWrapper ........... value ....");
        return cleanXSS(value);
    }

    private String cleanXSS(String value) {
        // You'll need to remove the spaces from the html entities below
        logger.info("InnXSS RequestWrapper ..............." + value);
        //value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
        //value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
        //value = value.replaceAll("'", "& #39;");
        value = value.replaceAll("eval\\((.*)\\)", "");
        value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");

        value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
        value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
        value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
        value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
        //value = value.replaceAll("<script>", "");
        //value = value.replaceAll("</script>", "");
        logger.info("OutnXSS RequestWrapper ........ value ......." + value);
        return value;
    }

残っているのはweb.xmlファイルのXMLエントリのみです。

        <filter>
        <filter-name>XSS</filter-name>
        <display-name>XSS</display-name>
        <description></description>
        <filter-class>com.filter.CrossScriptingFilter</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>XSS</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

/ *は、ブラウザから行われるすべてのリクエストに対して、CrossScriptingFilterクラスを呼び出すことを示します。これにより、リクエストからのすべてのコンポーネント/要素が解析され、ハッカーによって置かれたすべてのjavascriptタグが空の文字列に置き換えられますie =

0

<c:out />のみに依存する代わりに、antixssライブラリも使用する必要があります。これは、入力中の悪意のあるスクリプトをエンコードするだけでなく、サニタイズします。利用可能な最高のライブラリの1つはOWASP Antisamy です。柔軟性が高く、要件に応じて(xmlポリシーファイルを使用して)構成できます。

たとえばアプリケーションがテキスト入力のみをサポートする場合、ほとんどのhtmlタグをサニタイズして削除する、OWASPが提供する最も一般的な ポリシーファイル を使用できます。同様に、アプリケーションがあらゆる種類のhtmlタグを必要とするhtmlエディター(tinymceなど)をサポートする場合、 ebay policy file などのより柔軟なポリシーを使用できます

0
rjha