通过修改EL表达式输出行为解决XSS问题

最新推荐文章于 2024-03-04 08:43:41 发布
最新推荐文章于 2024-03-04 08:43:41 发布
阅读量5.6k 收藏 4
点赞数 1
分类专栏: Java 文章标签: jstl EL表达式 XSS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imhuqiao/article/details/52257044
版权

项目中有好多通过EL表达式输出字符时没有考虑XSS问题,比如

<div>
<span>${user.name}</span>
</div>

简单来说,可以使用jstl标签来显示就好了:

<div>
<span><c:out value="${user.name}"/></span>
</div>

问题是,系统中非常多地方都存在这种问题,要一一修改工作量简直就是灾难啊。
我想到的办法是,改变EL表达式的输出行为,使EL表达式输出的字符串本身就已经是替换过HTML敏感字符的了。

Tomcat的源码,最终找到了如下代码(org.apache.jasper.el.JasperELResolver):

 @Override
    public Object getValue(ELContext context, Object base, Object property)
        throws NullPointerException, PropertyNotFoundException, ELException {

        context.setPropertyResolved(false);

        int start;
        Object result = null;

        if (base == null) { 
            // call implicit and app resolvers
            int index = 1 /* implicit */ + appResolversSize;
            for (int i = 0; i < index; i++) {
                result = resolvers[i].getValue(context, base, property);
                if (context.isPropertyResolved()) {
                    return result;
                }
            }
            // skip stream, static and collection-based resolvers (map,
            // resource, list, array) and bean
            start = index + 7;
        } else {
            // skip implicit resolver only
            start = 1;
        }

        for (int i = start; i < size; i++) {
            result = resolvers[i].getValue(context, base, property);
            if (context.isPropertyResolved()) {
                return result;
            }
        }

        return null;
    }

这里遍历几个内置的ELResolver来进行表达式计算,几个Resolver包括:
这里写图片描述

可以确定,这里就是EL表达式最终返回到JSP的地方了。我需要在这里在返回之前,对result进行一些处理。
怎么实现符合XSS的字符,大可不必自己来写,jstl的out标签早就已经为我们写好了。下载jstl-impl源码,找到OutSupport.java的源码,可以看到如下代码:

/**
     * Outputs <tt>text</tt> to <tt>pageContext</tt>'s current JspWriter.
     * If <tt>escapeXml</tt> is true, performs the following substring
     * replacements (to facilitate output to XML/HTML pages):
     *
     *    & -> &amp;
     *    < -> &lt;
     *    > -> &gt;
     *    " -> &#034;
     *    ' -> &#039;
     *
     * See also Util.escapeXml().
     */
    public static void out(PageContext pageContext,
                           boolean escapeXml,
                           Object obj) throws IOException {
        JspWriter w = pageContext.getOut();
    if (!escapeXml) {
            // write chars as is
            if (obj instanceof Reader) {
                Reader reader = (Reader)obj;
                char[] buf = new char[4096];
                int count;
                while ((count=reader.read(buf, 0, 4096)) != -1) {
                    w.write(buf, 0, count);
                }
            } else {
                w.write(obj.toString());
            }
        } else {
            // escape XML chars
            if (obj instanceof Reader) {
                Reader reader = (Reader)obj;
                char[] buf = new char[4096];
                int count;
                while ((count = reader.read(buf, 0, 4096)) != -1) {
                    writeEscapedXml(buf, count, w);
                }
            } else {
                String text = obj.toString();
                writeEscapedXml(text.toCharArray(), text.length(), w);
            }
        }
    }

咱可以把这段代码移动到JasperELResolver.java中,然后创建下面这个方法:

    private Object ifStringThenHTMLSecurity(Object value){
        if(value instanceof String){
            String str = (String)value;
            str = escapeXml(str);
        } 
        return value;
    }

然后在JasperELResolver.java中的getValue方法中就可以直接对result进行调用了:

    @Override
    public Object getValue(ELContext context, Object base, Object property)
        throws NullPointerException, PropertyNotFoundException, ELException {

        context.setPropertyResolved(false);

        int start;
        Object result = null;

        if (base == null) { 
            // call implicit and app resolvers
            int index = 1 /* implicit */ + appResolversSize;
            for (int i = 0; i < index; i++) {
                result = resolvers[i].getValue(context, base, property);
                if (context.isPropertyResolved()) {
                    return ifStringThenHTMLSecurity(result);
                }
            }
            // skip stream, static and collection-based resolvers (map,
            // resource, list, array) and bean
            start = index + 7;
        } else {
            // skip implicit resolver only
            start = 1;
        }

        for (int i = start; i < size; i++) {
            result = resolvers[i].getValue(context, base, property);
            if (context.isPropertyResolved()) {
                return ifStringThenHTMLSecurity(result);
            }
        }

        return null;
    }

这样,就顺利的将EL表达式输出的字符串直接拥有了jstl的out标签特性了。

随便提一下修改Tomcat源码的方法。修改Tomcat源码时,不能像修改Spring之类的框架的源码那样,将同名(全限定名)放在项目src下就行了,而是需要对Tomcat的lib目录下的jar文件进行处理。我这里是需要修改JasperELResolver.java,找到源码之后,将它移动到自己的项目中:

这里写图片描述

这样,在编译成功之后,找到JasperELResolver.class文件,用它他替换Tomcat的lib/jasper.jar文件中对应的同名class文件 。

最后不得不说的是,这种方式的缺点是,对项目整体有些影响,因为EL表达式本身输出的内容已经拥有了原先需要通过out标签输出才有的特性了。所以项目中已经在使用out标签输出的需要改为直接输出。另外,真正有地方需要输出HTML时,需要手动再将HTML转义字符给替换回来。

0x07c00
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
EL表达式漏洞分析
不忘初心,护天下安全!
07-12 409
EL(Expression Language) 是为了使JSP写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让Jsp的代码更加简化。EL表达式主要功能如下:在JSP中访问模型对象是通过EL表达式的语法来表达。所有EL表达式的格式都是以${}表示。例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、applicat
JSTL,EL表达式语法简介
03-30
NULL 博文链接:https://li1314aishui.iteye.com/blog/1314537
java web xss_Java Web XSS安全防御
weixin_39621075的博客
02-13 129
XSS攻击简单来讲就是攻击者在请求中巧妙地加上执行脚本,达到攻击的目的。实践过滤器方案和JSP的EL表达式+JSTL标签库方案都还可以达到防XSS攻击的目的。一.过滤器方案XSSFilter.javapackage com.bijian.study.filter;import java.io.IOException;import javax.servlet.Filter;import javax....
EL 表达式注入攻击
最新发布
m0_62207482的博客
03-04 112
例如,${ userinfo}代表获取变量userinfo的值。当EL表达式中的变量不给定范围时,则默认在page范围查找,然后依次在request、session、application范围查找。也可以用范围作为前缀表示属于哪个范围的变量,例如:${ pageScope. userinfo}表示访问page范围中的userinfo变量。事实上,可以将EL表达式理解为一种简化的JSP代码。简单地说,使用EL表达式语法:${EL表达式}JSP表达式:<%=变量或表达式>声明jsp的成员变量或成员方法。
JSP中使用JSTL,并且解决XSS安全问题
qq_26817225的博客
01-11 2753
普通的Java Web项目中使用JSTL来简化JSP, 以及使用&lt;c:out&gt; 标签处理Cross-Site Scripting安全问题。 1. 下载JSTL必要的jar包 官方下载地址:http://archive.apache.org/dist/jakarta/taglibs/standard/binaries/ 下载 jakarta-taglibs-standard-1.1...
EL表达式中含有HTML标签|EL表达式防止XSS注入|EL表达式原样输出内容|JSP中输出特殊符号
永动机的白
12-10 2518
问题: 最近在复习JAVAEE,做邮件管理系统的项目时候遇到了一个问题: 如果用户发送邮件的内容包含HTML标签,接收到邮件的一方页面样式就会发生改变. 此处说明HTML标签被解析了,让我们看看出现问题的代码 <div class="content"> <div class="message"> <div class="tmenu...
vue中使用el-tooltip实现超出部分显示省略号且移入显示el-tooltip内容
码上暴富
03-16 1244
vue中使用el-tooltip实现超出部分显示省略号且移入显示el-tooltip内容
jsp中防止xss攻击
lilovfly的专栏
08-04 6579
早上坐着,事不多,突然想起el表达式能不能防止xss攻击,这个问题自己没有看过,那就来百度吧,根据查询的结果看,el表达式${user.name}不能防止xss攻击,不过c:out标记可以防止xss攻击,写法如下: ,原因在于c:out 有个缺省属性escapeXML="true" ,可以对特殊标记进行转义。
EL表达式param用法
dangwanma6489的博客
04-16 4815
${param.name} 等价于request.getParamter(“name”),主要是服务器从页面或者客户端获取信息的方法。 &lt;c:set value="coo" var="name1" scope="session"/&gt;1利用标签定义的变量名可以在EL表达式中使用,如${name1}就是从page/request/session/application中依次取值,直到取到未...
Spring EL表达式使用详解
lezaitianyali的博客
08-01 1万+
Spring EL表达式使用详解什么是Spring EL表达式注入字面值注入操作系统(OS)的属性注入properties配置文件中数据Bean属性调用Bean方法调用T运算符构造器内联集合给集合赋值内联Map给map赋值给数组赋值Elvis运算符#this和#root操作符(运算符)安全导航运算符从数组、List、Map集合取值集合选择集合投影${}和#{}的区别 什么是Spring EL表达式...
EL表达式漏洞利用
Kawa103的博客
11-23 2435
一、EL表达式简介   EL 全名为Expression Language。EL主要作用:   1、获取数据     EL表达式主要用于替换JSP页面中的脚本表达式,以从各种类型的web域 中检索java对象、获取数据。(某个web域 中的对象,访问javabean的属性、访问list集合、访问map集合、访问数组)   2、执行运算     利用EL表达式可以在JSP页面中执行
JSP 不能解析EL表达式解决办法
01-08
原因是:在默认情况下,Servlet 2.4 / JSP 2.0支持 EL 表达式解决的办法有两种: 1.修改web.xml的开头定义。 代码如下: ”2.4″ xss=removed xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance” xsi:...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
所有需要的文件均在里面,超有所值
解析php利用正则表达式解决采集内容排版的问题
12-19
本函数需要开启tidy扩展 */function removeFormat($content) { $replaces = array ( “/<font xss=removed> ”, “/<\/font>/i” => ”, “/<strong>/i” => ”, “/<\/strong>/i” => ”, “/<spa
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
LDAP账号同步和Windows域集成验证
热门推荐
0x7c00
03-13 2万+
应用场景 应用系统中的账号信息除了本地创建的之外,还要有LDAP中的,并且随时与LDAP中的最新数据一致; 公司所有人的电脑都在一个域中管理,员工通过域账号和密码登录他的计算机之后,在登录应用系统之后不再需要输入密码,直接进入系统; 如果员工拥有多个不同的域账号和密码,那么他也可以在选择任意一个域账号来登录应用系统(而不仅仅是登录计算机那个域账号和密码); 目标功能 1,LDAP账号同步 ...
嵌入式(embed)Tomcat的使用
0x7c00
10-24 1万+
本来想用InstallAnyWhere来制作一个安装文件,里面包含一个tomcat,结果发现InstallAnyWhere
Hibernate Criteria中的三种Distinct
0x7c00
09-17 7847
案例, Vis 第一种:直接查询某一个id
v-html中使用插值表达式
08-08
在Vue中,可以使用`v-html`指令将一个字符串作为原始的HTML插入到DOM元素中。插入的HTML将被视为不受限制的内容,因此需要谨慎使用。 除了直接传递一个字符串给`v-html`,还可以在插值表达式中使用`v-html`。插值表达式使用双大括号`{{}}`包裹,并且可以在其中执行简单的JavaScript表达式。 例如,假设有一个Vue实例`app`,其中有一个`message`属性,表达式`{{ message }}`将会动态地将`message`的值插入到`v-html`指令中。 HTML模板中的代码如下: ```html <div id="app"> <div v-html="formatMessage('{{ message }}')"></div> </div> ``` Vue实例的代码如下: ```javascript var app = new Vue({ el: '#app', data: { message: '<strong>Hello, Vue!</strong>' }, methods: { formatMessage: function(message) { return message.toUpperCase(); } } }); ``` 在上面的例子中,`formatMessage`方法将在插值表达式中被调用,而返回的结果将被作为HTML插入到`v-html`指令中。在这种情况下,最终渲染的结果是`<div><strong>HELLO, VUE!</strong></div>`。 需要注意的是,为了增强安全性,Vue默认不会编译并插入包含任何用户交互性质的HTML。如果您需要插入的HTML包含用户可交互的内容,确保自行过滤和验证输入,以防止XSS攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值