彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)

最新推荐文章于 2024-09-18 02:31:30 发布
最新推荐文章于 2024-09-18 02:31:30 发布
阅读量2k 收藏
点赞数
分类专栏: 网站安全
原文链接:https://blog.csdn.net/sanyuesan0000/article/details/89918173
版权

目录

一,背景

二,名词解释

三,xss修复的一般处理方法

四、扩展jackson定制自己的objectMapper处理json出入参的转义

五、结语

一,背景
昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求的xss注入和post请求非json的注入,但是我们的注册页面保存接口的入参是json格式的,所以没有处理到。最后经过各种查找资料、阅读springmvc的源码和偿试,终于解决了,能够对入参和出参(包括json格式)进行转义的方法。

二,名词解释
xss是跨站脚本攻击。恶意攻击者往Web页面里插入恶意的Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。比如在页面的input输入框中输入一段js代码,如果没有做任何处理就保存到数据库,在页面回显时就会直接执行这段js,导致cookie盗取,钓鱼劫持等风险。

三,xss修复的一般处理方法
springmvc中常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法,在获取参数时对参数中的字符串进行转义,来进行XSS判断预防。网上很多说的是这种方法,但是这种方式不能对json格式的入参进行转义,所以还是存在问题的。

1,XssFilter

package com.tqmall.web.filter;
 
import com.tqmall.web.converter.XssStringJsonSerializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Primary;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.module.SimpleModule;
import org.springframework.stereotype.Component;
 
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
 
/**
 * 跨站脚本攻击过滤器
 * 
 * @author fanyajie
 * 
 */
public class XssFilter implements Filter {
 
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
        // TODO Auto-generated method stub
 
    }
 
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // TODO Auto-generated method stub
        chain.doFilter(new XssRequestWrapper((HttpServletRequest) request), response);
    }
 
    @Override
    public void destroy() {
        // TODO Auto-generated method stub
 
    }
 
}
2,在web.xml中添加filter

<!-- Xss -->
    <filter>
        <description>跨站脚本攻击过滤器</description>
        <filter-name>XssFilter</filter-name>
        <filter-class>com.tqmall.web.filter.XssFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>XssFilter</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
3,XssRequestWrapper

package com.tqmall.web.filter;
 
import com.alibaba.fastjson.JSON;
import com.sun.xml.internal.bind.v2.TODO;
import org.springframework.web.util.HtmlUtils;
 
import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.Charset;
import java.util.HashMap;
import java.util.Map;
 
/**
 * 跨站脚本请求包装器,将html脚本转译成普通字符串
 *
 * @author fanyajie
 *
 */
public class XssRequestWrapper extends HttpServletRequestWrapper {
 
    public XssRequestWrapper(HttpServletRequest request) {
        super(request);
    }
 
    @Override
    public String[] getParameterValues(String parameter) {
        String[] values = super.getParameterValues(parameter);
        if (values == null) {
            return null;
        }
        int count = values.length;
        String[] encodedValues = new String[count];
        for (int i = 0; i < count; i++) {
            encodedValues[i] = cleanXSS(values[i]);
        }
        return encodedValues;
    }
 
    @Override
    public String getHeader(String name) {
        String value = super.getHeader(name);
        return cleanXSS(value);
    }
 
    /**
     * 转译get入参,防止站点脚本注入
     */
    @Override
    public String getParameter(String parameter) {
        String value = super.getParameter(parameter);
        return cleanXSS(value);
    }
 
    private String cleanXSS(String value) {
        if(value!=null){
            value = HtmlUtils.htmlEscape(value);
        }
        return value;
    }
 
}
四、扩展jackson定制自己的objectMapper处理json出入参的转义
大家都知道,springmvc是通过MappingJackson2HttpMessageConverter对json进行序列化和反序列化的,所以我们可以自定义objectMapper对json中的字符中进行转义。

1,spring-mvc.xml

<mvc:annotation-driven
        ignore-default-model-on-redirect="true">
        <mvc:message-converters register-defaults="true">
            <bean id="mappingJacksonHttpMessageConverter"
                  class="org.springframework.http.converter.json.MappingJackson2HttpMessageConverter" >
                <property name="supportedMediaTypes">
                    <list>
                        <value>text/html;charset=UTF-8</value>
                        <value>application/json;charset=UTF-8</value>
                    </list>
                </property>
                <property name="objectMapper">
                    <bean class="com.tqmall.web.converter.CustomObjectMapper" />
                </property>
            </bean>
        </mvc:message-converters>
    </mvc:annotation-driven>
2,自定义ObjectMapper,网上很多是继承JsonSerializer类,根据类名可知这是对序列化的json进行处理,也就是对出参的json进行转义,经过查找资料,才找到JsonDeserializer是对反序列化的json进行处理,也就是可对入参的json进行转义。

其中内部类JsonHtmlXssSerializer是对入参的json进行转义,JsonHtmlXssDeserializer是对出参的json进行转义,预访xss漏洞只需要一个,即转义入参或转义出参的任意一个就可以,这里只是把两种实现都贴出来了。

package com.tqmall.web.converter;
 
import com.fasterxml.jackson.core.JsonParser;
import com.fasterxml.jackson.databind.*;
import org.springframework.web.util.HtmlUtils;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.core.Version;
import com.fasterxml.jackson.databind.module.SimpleModule;
 
import java.io.IOException;
 
/**
 * @Author:fanyajie1
 * @Date:2019/5/6 18:59
 */
public class CustomObjectMapper extends ObjectMapper {
    private static final long serialVersionUID = -3448961813323784217L;
 
    public CustomObjectMapper() {
        SimpleModule module = new SimpleModule("XssStringJsonSerializer");
        module.addSerializer(new JsonHtmlXssSerializer(String.class));
        module.addDeserializer(String.class,new JsonHtmlXssDeserializer(String.class));
        this.registerModule(module);
    }
 
    /**
     * 对出参的json进行转义
     */
    class JsonHtmlXssSerializer extends JsonSerializer<String> {
 
        public JsonHtmlXssSerializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
        @Override
        public void serialize(String value, JsonGenerator jsonGenerator,
                              SerializerProvider serializerProvider) throws IOException{
            if (value != null) {
                String encodedValue = HtmlUtils.htmlEscape(value.toString());
                jsonGenerator.writeString(encodedValue);
            }
        }
    }
 
    /**
     * 对入参的json进行转义
     */
    class JsonHtmlXssDeserializer extends JsonDeserializer<String> {
 
        public JsonHtmlXssDeserializer(Class<String> string) {
            super();
        }
 
        @Override
        public Class<String> handledType() {
            return String.class;
        }
 
        @Override
        public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException, JsonProcessingException {
            String value = jsonParser.getValueAsString();
            if (value != null) {
                return HtmlUtils.htmlEscape(value.toString());
            }
            return value;
        }
    }
}
五、结语
网上还有很多解决json格式xss漏洞的方法,有重写filter中getInputStream方法,或者重载MappingJackson2HttpMessageConverter类的,或许是我在尝试的方法有问题,只有自定义ObjectMapper是正常的,如有问题,请批评指正。

走走停停的小码农
关注
专栏目录
Springboot 防止XSS攻击,包含解决RequestBody 的Json 格式
KID5945的博客
04-27 1万+
一、前言 最近项目做安全测试,发现存在XSS攻击的可能,于是乎上网找找看,找了很多基本都是继承HttpServletRequestWrapper,对getParam、getQueryString等获取数的方法进行重写,对数进行html转义,马上找一个加上试了试,可是发现保存的对象还是没有转义的,后来才想到项目是前后端分离,基本都是@RequestBody注解接收application/jso......
SpringMvc处理xss攻击
Let_me_tell_you的博客
01-11 2063
XSS攻击是什么 利用漏洞通过注入恶意指令代码,使用户加载并执行代码达到攻击的目的。攻击的代码指令通常是JavaScript代码,比如<script>alert('弹窗')</script> 这段代码,就是一个弹窗代码。 案例代码 先上一段代码来演示下攻击效果,下面这个是一个spring boot例子,一个很简单的接口,支持GET和POST请求。 请求之后返回一个字符串,拼接请求传过来的name数。 XSS漏洞攻击工具 工欲善其事必先利其器,一个好用趁手的工具很重要。比如现在测
Spring框架漏洞总结
最新发布
weixin_42492000的博客
09-18 639
目录SpEL注入攻击Spring H2 Database Console未授权访问Spring Security OAuth2远程命令执行漏洞(CVE-2016-4977)Spring WebFlow远程代码执行漏洞(CVE-2017-4971)Spring Data Rest远程命令执行漏洞(CVE-2017-8046)Spring Messaging远程命令执行漏洞(CVE-2018-127...
springmvc项目中XSS漏洞解决
laok186的博客
08-01 2021
反射型XSS漏洞修复
Spring-MVC处理XSS、SQL注入攻击的方法总结
11-14
Spring-MVC处理XSS、SQL注入攻击的方法总结
解决Spring MVC XSS注入问题
qq_33413127的博客
03-02 725
解决Spring MVC XSS注入问题背景可能的方案可行的方案 背景 最近所从事的项目,线上被扫描出部分连接存在XSS注入问题。例如: http://www.xxx.com/yyy.html?applyId=5a20c06fa15243c109b66bb8%22%3E%3Csvg/οnlοad=alert(1)%3E&cate=&channel=0&isEmbed=0&level=0 上面连接中的 alert(1)脚本被执行。存在XSS漏洞。接下来开始解决,经过一个曲折的过
Spring MVC防止XSS攻击
u010077905的专栏
08-10 3245
1.在输出时过虑文本(JSONJSON的输出过程 具体的实现方式很简单,重写一个ObjectMapper,在里面注册一个新的JsonSerialize,在这个JsonSerialize里面对文本做过虑。再加一点配置就行了。 SpringMVC的处理过程需要从视图渲染开始,视图渲染在DispatcherServlet中进行调用,
SpringMVC中后台转换json格式
10-06
在开发Web应用时,SpringMVC作为Spring框架的一部分,常被用于处理HTTP请求和响应。在前后端交互中,JSON...在实际项目中,还可能需要考虑JSON安全问题,例如防止XSS和CSRF攻击,以及优化性能,如使用GZIP压缩等。
spring mvc spring uploadfiles 插件 实现多附件和存文本同时上传解决代码(实战项目)
08-16
根据提供的文件信息,本文将详细解析如何在Spring MVC框架中实现多附件与文本信息的同时上传功能。这在很多实际应用场景中都非常有用,例如用户在提交表单时常常需要附带图片或其他类型的文件。 ### 一、Spring MVC...
spring mvc xss html,SpringMvc防御XSS实践
weixin_34835470的博客
07-01 243
项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。方案目标:只配置一次,与业务接口无关过滤两种请求的数:Content-Type为form表单(application/x-www-form-urlencoded)和 j...
springmvc4配置防止XSS攻击的方法
04-05
配置防止XSS攻击的方法尝试,其中包含可以对sql注入的方法解决。
Spring4.2.9+mybatis3.4.4集成(整合Jackson、防御XSS版)支持JDK1.6、Tomcat6
05-12
如果您基于Java6(JDK1.6)开发项目,这应该是目前最新的版本了。
彻底解决Spring MVC XSS注入问题
热门推荐
zhuangnet的博客
12-07 1万+
彻底解决Spring MVC关于XSS注入问题,以改动和影响最小的方式实现。
修改控制器入参控制,解决Spring MVC XSS注入问题
刘迪敏的专栏
03-19 584
树挪死,人挪活。 大城市小人物,生活最终会把你变成你讨厌的人。 这个是解决spring mvcXSS问题spring boot的后面写 测试脚本: <script>for(var i=0;i<10;i++){alert("XSS攻击测试"+i);}</script> 解决后存数据库数据: &lt;script&gt;for(...
SpringMvc防御XSS实践
a120717的博客
06-13 1552
开始不知道csdn支持md格式,现在已修改,请移步: SpringMvc防御XSS实践—md格式 项目在漏洞扫描时发现xss漏洞, 本以为是常见漏洞,网上有很多解决方案,应该能很快搞定,但实际上文章看了不少,却并未找到十分“顺手”的解决方案。 历经波折终于完成了一套自己想要的方案,现将过程分享出来,希望能帮助到遇到同样的问题人。 方案目标: ---- * 只配置一次,与业务接口无关 * 过滤两...
spring mvc xss html,spring mvc 过滤跨站(XSS)的一个方法
weixin_42283048的博客
07-01 537
spring mvc 过滤跨站的一个方法XSS 是我们在工作中经常遇到的东西。让每个开发者都注意到这块的东西很不容易。很多开发者都不知道 什么是 XSS;对于这块的防护。我们一般都是用一个全局过滤器来处理 request 信息,挨个遍历替换处理危险内容。然后再保存到数据库。这样的实现网上有很多例子。下面我这针对spring mvc 过滤xss分享的一个小方法。。方法出处 stackoverflow...
SpringMVC防止XSS攻击
BlueKitty的博客
12-11 1万+
XSS全称为跨站脚本攻击 , 具体见百度百科 最常见的是用Filter来预防 , 就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取数时对数进行XSS判断预防). 1 . 在web.xml中添加Filter XssFilter com.xbz.filter.XssF
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
爱旅行的攻城狮
09-01 5903
问题描述: 一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。 那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构 的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值