Como evito que as pessoas façam XSS no Spring MVC?
-
23-09-2019 - |
Pergunta
O que devo fazer para evitar o XSS no Spring MVC?No momento, estou apenas colocando todos os lugares onde envio o texto do usuário em JSTL <c:out>
etiquetas ou fn:escapeXml()
funções, mas isso parece propenso a erros, pois posso perder um lugar.
Existe uma maneira fácil e sistemática de evitar isso?Talvez como um filtro ou algo assim?Estou coletando informações especificando @RequestParam
parâmetros em meus métodos de controlador.
Solução
O limite não deve ser o problema aqui. Você mudou o valor em ca e não parece estar recebendo nenhuma exceção. O SPFolder não está retornando tudo recursivamente, e basta despejar muitos espigões não especificados. Eu recomendaria usar contentista com processosinfolder tomando um spfo http://www.askousasp.net/_-_105_what_is_the_best_way_to_iterate_through_a_sharepoint_2010_folder_recur.aspx
Outras dicas
Tentar Xssfilter.
Eu uso o validador de hibernato via @Valid
para todos os objetos de entrada (ligação e @RequestBody
JSON, veja https://dzone.com/articles/spring-31-valid-requestbody). Então @org.hibernate.validator.constraints.SafeHtml
é uma boa solução para mim.
Hibernate SafeHtmlValidator
depende de org.jsoup
, então é necessário adicionar mais uma dependências do projeto:
<dependency>
<groupId>org.jsoup</groupId>
<artifactId>jsoup</artifactId>
<version>1.10.1</version>
</dependency>
Para Bean User
com campo
@NotEmpty
@SafeHtml
protected String name;
Para atualizar tentativa com valor <script>alert(123)</script>
no controlador
@PutMapping(value = "/{id}", consumes = MediaType.APPLICATION_JSON_VALUE)
public void update(@Valid @RequestBody User user, @PathVariable("id") int id)
ou
@PostMapping
public void createOrUpdate(@Valid User user) {
é jogado BindException
para ligação e MethodArgumentNotValidException
por @RequestBody
com mensagem padrão:
name may have unsafe html content
O validador também funciona para a ligação, como antes de persistir. Aplicativos podem ser testados em http://topjava.herokuapp.com/
Quando você está tentando prevenir o XSS, é importante pensar no contexto. Como exemplo, como e o que escapar é muito diferente se você estiver usando dados dentro de uma variável em um trecho JavaScript, em oposição à saída de dados em uma tag html ou em um atributo html.
Eu tenho um exemplo disso aqui: http://erlend.oftedal.no/blog/?blogid=91
Confira também a folha de dicas de prevenção do OWASP XSS: http://www.owasp.org/index.php/xss_%28cross_site_scripting%29_prevention_cheat_sheet
Portanto, a resposta curta é: escape de saída como sugerido por Tendayi Mawushe, mas tome cuidados especiais quando estiver emitindo dados em atributos HTML ou JavaScript.
Como você está coletando a entrada do usuário em primeiro lugar? Esta pergunta / resposta pode ajudar se você estiver usando um FormController
:
Verifique sempre manualmente os métodos, tags que você utiliza, e certifique-se de que eles sempre escapem (uma vez) no final.Frameworks possuem muitos bugs e diferenças nesse aspecto.
Uma visão geral: http://www.gablog.eu/online/node/91
Em vez de confiar apenas em <c:out />
, uma biblioteca AntixSS também deve ser usada, que não apenas codificará, mas também higienizar o script malicioso na entrada. Uma das melhores bibliotecas disponíveis é OWASP Antisamia, é altamente flexível e pode ser configurado (usando arquivos de política XML) conforme o requisito.
Por exemplo, se um aplicativo suportar apenas entrada de texto, a maioria genérica arquivo de política Fornecido pelo OWASP pode ser usado que higieniza e remove a maioria das tags HTML. Da mesma forma, se os editores HTML de suporte ao aplicativo (como o Tinymce) que precisam de todo tipo de tags HTML, uma política mais flexível pode ser usada, como arquivo de política do eBay
**To avoid XSS security threat in spring application**
A solução para o problema XSS é filtrar todos os campos de texto no formulário no momento da envio do formulário.
It needs XML entry in the web.xml file & two simple classes.
java code :-
The code for the first class named CrossScriptingFilter.java is :
package com.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import org.apache.log4j.Logger;
public class CrossScriptingFilter implements Filter {
private static Logger logger = Logger.getLogger(CrossScriptingFilter.class);
private FilterConfig filterConfig;
public void init(FilterConfig filterConfig) throws ServletException {
this.filterConfig = filterConfig;
}
public void destroy() {
this.filterConfig = null;
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException {
logger.info("Inlter CrossScriptingFilter ...............");
chain.doFilter(new RequestWrapper((HttpServletRequest) request), response);
logger.info("Outlter CrossScriptingFilter ...............");
}
}
A segunda classe Code denominada requestWrapper.java é:
pacote com.filter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import org.apache.log4j.Logger;
public final class RequestWrapper extends HttpServletRequestWrapper {
private static Logger logger = Logger.getLogger(RequestWrapper.class);
public RequestWrapper(HttpServletRequest servletRequest) {
super(servletRequest);
}
public String[] getParameterValues(String parameter) {
logger.info("InarameterValues .. parameter .......");
String[] values = super.getParameterValues(parameter);
if (values == null) {
return null;
}
int count = values.length;
String[] encodedValues = new String[count];
for (int i = 0; i < count; i++) {
encodedValues[i] = cleanXSS(values[i]);
}
return encodedValues;
}
public String getParameter(String parameter) {
logger.info("Inarameter .. parameter .......");
String value = super.getParameter(parameter);
if (value == null) {
return null;
}
logger.info("Inarameter RequestWrapper ........ value .......");
return cleanXSS(value);
}
public String getHeader(String name) {
logger.info("Ineader .. parameter .......");
String value = super.getHeader(name);
if (value == null)
return null;
logger.info("Ineader RequestWrapper ........... value ....");
return cleanXSS(value);
}
private String cleanXSS(String value) {
// You'll need to remove the spaces from the html entities below
logger.info("InnXSS RequestWrapper ..............." + value);
//value = value.replaceAll("<", "& lt;").replaceAll(">", "& gt;");
//value = value.replaceAll("\\(", "& #40;").replaceAll("\\)", "& #41;");
//value = value.replaceAll("'", "& #39;");
value = value.replaceAll("eval\\((.*)\\)", "");
value = value.replaceAll("[\\\"\\\'][\\s]*javascript:(.*)[\\\"\\\']", "\"\"");
value = value.replaceAll("(?i)<script.*?>.*?<script.*?>", "");
value = value.replaceAll("(?i)<script.*?>.*?</script.*?>", "");
value = value.replaceAll("(?i)<.*?javascript:.*?>.*?</.*?>", "");
value = value.replaceAll("(?i)<.*?\\s+on.*?>.*?</.*?>", "");
//value = value.replaceAll("<script>", "");
//value = value.replaceAll("</script>", "");
logger.info("OutnXSS RequestWrapper ........ value ......." + value);
return value;
}
A única coisa permaneceu é a entrada XML no arquivo web.xml:
<filter>
<filter-name>XSS</filter-name>
<display-name>XSS</display-name>
<description></description>
<filter-class>com.filter.CrossScriptingFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>XSS</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
O /* indica que, para cada solicitação feita do navegador, ele chamará de classe CrossScriptingFilter. Que analisará todos os componentes/elementos vieram da solicitação e substituirá todas as tags JavaScript colocadas por hacker com string vazia, ou seja,